Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Gaobot.XW
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Gaobot.XW realiza las siguientes acciones:

Finaliza los procesos correspondientes a diversos programas antivirus, firewalls y herramientas de monitorización del sistema:
msconfig.exe, navapw32.exe, navw32.exe, netstat.exe, regedit.exe, wincfg32.exe, zapro.exe y zonealarm.exe.
La finalización de estos procesos deja al ordenador afectado vulnerable frente al ataque de otros virus y gusanos.
Además, también termina los procesos correspondientes a otros gusanos:
bbeagle.exe, d3dupdate.exe, i11r54n4.exe, irun4.exe, msblast.exe, MSBLAST.exe, mscvb32.exe, PandaAVEngine.exe, Penis32.exe, rate.exe, ssate.exe, sysinfo.exe, SysMonXP.exe, taskmon.exe, teekids.exe, winsys.exe y winupd.exe.
Estos procesos pertenecen a varias variantes de Bagle.A, Netsky.A, y Blaster, entre otros.
Provoca un aumento del tráfico de red por los puertos 135 y 445.

Como backdoor, realiza las siguientes acciones:

Mantiene abierto el puerto 113.
Permite configurarse a sí mismo: verificar su estado, actualizarse, desinstalarse, etc.
Obtiene información sobre el ordenador afectado: CPU, RAM, espacio en disco, sistema operativo, recursos compartidos, etc.
Registra las pulsaciones de teclado.
Roba las claves de registro pertenecientes a diversos juegos.
Permite comprobar el contenido del Portapapeles.
Realiza ataques de tipo de denegación de servicio distribuida (DDoS).
Descarga y ejecuta archivos.
Envía el gusano a otros usuarios de IRC.

Metodo de Infección

Gaobot.XW crea el archivo LSAC.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Gaobot.XW crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Microsoft Update = lsac.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
Microsoft Update = lsac.exe
Mediante estas entradas, Gaobot.XW consigue ejecutarse cada vez que se inicia Windows.

Método de Propagación

Gaobot.XW se propaga a través de Internet y de redes de ordenadores.

1.- Propagación a través de Internet.

Gaobot.XW se propaga atacando direcciones IP, en las que trata de aprovechar las vulnerabilidades RPC DCOM y LSASS.

Además, puede propagarse a ordenadores afectados por alguno de los siguientes malware: Bagle.A, Mydoom.A, Optix, NetDevil, Kuang y SubSeven.

Del mismo modo, también puede penetrar en ordenadores que tengan instalada la aplicación DameWare Mini Remote Control, o que tengan instalado SQL Server y la cuenta de administrador se encuentre en blanco.

2.- Propagación a través de redes.

Gaobot.XW realiza el siguiente proceso:

Si el ordenador afectado forma parte de una red, Gaobot.XW intenta acceder a los recursos compartidos de red C$, D$, E$, ADMIN$ e IPC$.
Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
Si consigue acceder, Gaobot.XW realiza copias de sí mismo en dichos recursos compartidos.

Otros Detalles

Gaobot.XW ha sido escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 84992 Bytes cuando se encuentra comprimido mediante UPX, y de 194560 Bytes una vez descomprimido.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info