Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Gaobot.PX realiza las siguientes acciones:
Realiza una búsqueda de ciertas cadenas de texto dentro de los procesos que se encuentren activos en memoria. Si encuentra alguna coincidencia, finaliza el proceso.
Dichas cadenas de texto están asociadas a programas antivirus,
firewalls y herramientas de monitorización del sistema. La finalización de estos procesos deja al ordenador afectado vulnerable frente al ataque de otros
virus y
gusanos.
Para ver las cadenas de texto que
Gaobot.PX busca, pulse
aquí.
Finaliza los siguientes procesos, si se encuentran activos:
dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
tftpd.exe
winhlpp32.exe
winppr32.exeEstos procesos pertenecen a
Nachi.A,
Autorooter.A,
Sobig.F y varias variantes de
Blaster.
Impide que el usuario acceda a las siguientes páginas web, pertenecientes a diversas companías de programas antivirus:
avp.com, ca.com, customer.symantec.com, dispatch.mcafee.com, download.mcafee.com, f-secure.com, kaspersky.com, kaspersky-labs.com, liveupdate.symantec.com, liveupdate.symantecliveupdate.com, mast.mcafee.com, mcafee.com, my-etrust.com, nai.com, networkassociates.com, rads.mcafee.com, secure.nai.com, securityresponse.symantec.com, sophos.com, symantec.com, trendmicro.com, update.symantec.com, updates.symantec.com, us.mcafee.com, viruslist.com, viruslist.com, www.avp.com, www.ca.com, www.f-secure.com, www.grisoft.com, www.kaspersky.com, www.mcafee.com, www.my-etrust.com, www.nai.com, www.networkassociates.com, www.sophos.com, www.symantec.com, www.trendmicro.com y www.viruslist.com.
Provoca un aumento del tráfico de red por los
puertos 135 y 445.
Como backdoor, realiza las siguientes acciones:
Permite configurarse a sí mismo: verificar su estado, actualizarse, desinstalarse, etc.
Obtiene información sobre el ordenador afectado: CPU, RAM, espacio en disco,
sistema operativo, recursos compartidos, etc.
Actúa como sniffer, espiando el tráfico de red.
Descarga y ejecuta archivos.
Envía el gusano a otros usuarios de IRC.
Metodo de Infección
Gaobot.PX crea el archivo MSIWIN84.EXE en el directorio de sistema de Windows, aunque este nombre puede variar, dado que se han detectado diferentes variantes, con distintos nombres de archivo. Es una copia del gusano.
Gaobot.PX modifica el archivo HOSTS, que se encuentra en la subcarpeta DRIVERS\ ETC del directorio de sistema de Windows. De este modo, redirecciona ciertas páginas web, pertenecientes a compañías antivirus, a la dirección IP 0.0.0.0, impidiendo que el usuario pueda acceder a ellas.
Gaobot.PX crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft Update = msiwin84.exe - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
Microsoft Update = msiwin84.exe
Con estas entradas, Gaobot.PX consigue ejecutarse cada vez que se inicie Windows.
Método de Propagación
Gaobot.PX se propaga a través de Internet y de redes de ordenadores.
1.- Propagación a través de Internet.
Gaobot.PX se propaga atacando direcciones IP, en las que trata de aprovechar las vulnerabilidades RPC DCOM y WebDAV. Además, aunque posee código para explotar la Vulnerabilidad en el servicio LSASS, no funciona correctamente.
Por otra parte, Gaobot.PX también es capaz de aprovechar los puertos abiertos en ordenadores afectados por los gusanos Bagle.A y Mydoom.A para propagarse a los mismos.
2.- Propagación a través de redes.
Gaobot.PX realiza el siguiente proceso:
- Si el ordenador afectado forma parte de una red, Gaobot.PX intenta acceder a los recursos compartidos de red C$, D$, E$, ADMIN$ e IPC$.
- Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
Pulse aquí para ver una lista completa de los nombres y contraseñas que utiliza. - Si consigue acceder, Gaobot.PX realiza copias de sí mismo en dichos recursos compartidos.
- Gaobot.PX puede compartir o dejar de compartir dichos recursos en cualquier momento.
Otros Detalles
Gaobot.PX ha sido escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 138752 Bytes cuando se encuentra comprimido mediante UPX, y de 371712 Bytes una vez descomprimido.