Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Gaobot.CJQ | |
Peligrosidad Daño Propagación |
De un vistazo
| |
| Nombre común: | Gaobot.CJQ |
| Nombre técnico: | W32/Gaobot.CJQ.worm |
| Peligrosidad: | Baja |
| Tipo: | Gusano |
| Efectos: | Aprovecha las vulnerabilidades RPC DCOM y WebDAV, entre otros métodos, para propagarse al mayor número de ordenadores posibles. Se conecta a un servidor IRC y espera órdenes. Consigue información confidencial del ordenador afectado, ejecuta archivos, etc. |
| Plataformas que infecta: |
Windows 2003/XP/2000/NT |
| Fecha de detección: | 07/01/2005 |
| Detección actualizada: | 07/01/2005 |
| Estadísticas | No |
Descripción Breve | |
Gaobot.CJQ es un gusano con características de backdoor que pertenece a la familia de gusanos Gaobot. Esta familia tiene las siguientes características generales: Afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT, dado que intenta explotar las vulnerabilidades LSASS, RPC DCOM y WebDAV para propagarse al mayor número de ordenadores posible. Dichas vulnerabilidades sólo se presentan en los sistemas operativos mencionados. Se propaga realizando copias de sí mismo en recursos compartidos de red a los que logra acceso. Se conecta a un servidor IRC determinado y espera órdenes de control. Permite obtener información del ordenador afectado, ejecutar archivos, realizar ataques de denegación de servicio distribuida (DDoS), subir archivos por FTP, etc.
Además, algunas de las variantes de Gaobot son capaces de: Aprovechar los backdoors abiertos por los gusanos Bagle.A y Mydoom.A para propagarse a los ordenadores afectados por ellos. Finalizar procesos pertenecientes a programas antivirus, cortafuegos y herramientas de monitorización del sistema, entre otros. Esto deja al ordenador afectado vulnerable frente al ataque de otro malware. Finalizar los procesos correspondientes a otros gusanos tales como Nachi.A, Autorooter.A, Sobig.F y varias variantes de Blaster.
Si su ordenador tiene como sistema operativo Windows 2003/XP/2000/NT, es recomendable descargar los parches de seguridad para las vulnerabilidades LSASS, RPC DCOM y WebDAV desde la página de Microsoft. |
Síntomas Visibles | |
Gaobot.CJQ es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia. |
Detalles técnicos
Efectos |
Los gusanos pertenecientes a la familia Gaobot tienen los siguientes efectos generales: Permite configurarse a sí mismo: verificar su estado, actualizarse, desinstalarse, etc. Obtiene información sobre el ordenador afectado: CPU, RAM, espacio en disco, sistema operativo, recursos compartidos, etc. Actúa como sniffer, espiando el tráfico de red. Realiza ataques de tipo de denegación de servicio distribuida (DDoS). Descarga y ejecuta archivos. Envía el gusano a otros usuarios de IRC. Provoca un aumento del tráfico de red por los puertos 135 y 445.
Adicionalmente, algunas variantes también realizan las siguientes acciones: Realiza una búsqueda de ciertas cadenas de texto dentro de los procesos que se encuentren activos en memoria. Si encuentra alguna coincidencia, finaliza el proceso.
Dichas cadenas de texto están asociadas a programas antivirus, cortafuegos y herramientas de monitorización del sistema, entre otros. La finalización de estos procesos deja al ordenador afectado vulnerable frente al ataque de otros malware. Finaliza los siguientes procesos, si se encuentran activos:
dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
tftpd.exe
winhlpp32.exe
winppr32.exe
Estos procesos pertenecen a Nachi.A, Autorooter.A, Sobig.F y varias variantes de Blaster. Impide que el usuario acceda a determinadas páginas web, pertenecientes a diversas companías de programas antivirus.
|
Método de Propagación
Los gusanos de la familia Gaobot se propagan a través de Internet y de redes de ordenadores.
1.- Propagación a través de Internet.
Se propaga atacando direcciones IP, en las que trata de aprovechar alguna de las siguientes vulnerabilidades: Vulnerabilidad en el servicio LSASS, RPC DCOM y WebDAV.
2.- Propagación a través de redes.
Realiza el siguiente proceso:
- Si el ordenador afectado forma parte de una red, intenta acceder a los recursos compartidos de red C$, D$, E$, ADMIN$ e IPC$.
- Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
- Si consigue acceder, realiza copias de sí mismo en dichos recursos compartidos.
Adicionalmente, algunas variantes de Gaobot son capaces de aprovechar los puertos abiertos en ordenadores afectados por los gusanos Bagle.A y Mydoom.A para propagarse a los mismos.
Otros Detalles
Gaobot.CJQ ha sido escrito en el lenguaje de programación Visual C++ v6.0.
>
