Efectos 

Gaobot.XW realiza las siguientes acciones:

• Finaliza los procesos correspondientes a diversos programas antivirus, firewalls y herramientas de monitorización del sistema:
  msconfig.exe, navapw32.exe, navw32.exe, netstat.exe, regedit.exe, wincfg32.exe, zapro.exe y zonealarm.exe.
  La finalización de estos procesos deja al ordenador afectado vulnerable frente al ataque de otros virus y gusanos.
• Además, también termina los procesos correspondientes a otros gusanos:
  bbeagle.exe, d3dupdate.exe, i11r54n4.exe, irun4.exe, msblast.exe, MSBLAST.exe, mscvb32.exe, PandaAVEngine.exe, Penis32.exe, rate.exe, ssate.exe, sysinfo.exe, SysMonXP.exe, taskmon.exe, teekids.exe, winsys.exe y winupd.exe.
  Estos procesos pertenecen a varias variantes de Bagle.A, Netsky.A, y Blaster, entre otros.
• Provoca un aumento del tráfico de red por los puertos 135 y 445.

Como backdoor, realiza las siguientes acciones:

• Mantiene abierto el puerto 113.
• Permite configurarse a sí mismo: verificar su estado, actualizarse, desinstalarse, etc.
• Obtiene información sobre el ordenador afectado: CPU, RAM, espacio en disco, sistema operativo, recursos compartidos, etc.
• Registra las pulsaciones de teclado.
• Roba las claves de registro pertenecientes a diversos juegos.
• Permite comprobar el contenido del Portapapeles.
• Realiza ataques de tipo de denegación de servicio distribuida (DDoS).
• Descarga y ejecuta archivos.
• Envía el gusano a otros usuarios de IRC.

Metodo de Infección 

Gaobot.XW crea el archivo LSAC.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Gaobot.XW crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Microsoft Update = lsac.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
  Microsoft Update = lsac.exe
  Mediante estas entradas, Gaobot.XW consigue ejecutarse cada vez que se inicia Windows.

Método de Propagación 

Gaobot.XW se propaga a través de Internet y de redes de ordenadores.

1.- Propagación a través de Internet.

Gaobot.XW se propaga atacando direcciones IP, en las que trata de aprovechar las vulnerabilidades RPC DCOM y LSASS.

Además, puede propagarse a ordenadores afectados por alguno de los siguientes malware: Bagle.A, Mydoom.A, Optix, NetDevil, Kuang y SubSeven.

Del mismo modo, también puede penetrar en ordenadores que tengan instalada la aplicación DameWare Mini Remote Control, o que tengan instalado SQL Server y la cuenta de administrador se encuentre en blanco.

2.- Propagación a través de redes.

Gaobot.XW realiza el siguiente proceso:

• Si el ordenador afectado forma parte de una red, Gaobot.XW intenta acceder a los recursos compartidos de red C$, D$, E$, ADMIN$ e IPC$.
• Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
• Si consigue acceder, Gaobot.XW realiza copias de sí mismo en dichos recursos compartidos.

Otros Detalles  

Gaobot.XW ha sido escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 84992 Bytes cuando se encuentra comprimido mediante UPX, y de 194560 Bytes una vez descomprimido.