pondělí 21. května 2012

Worm:Win32/Gaobot


Encyklopedický vstup
Aktualizováno: 21.března 2007  |  Zveřejněno: Dec 22, 2004 Aliasy


  • W32.HLLW.Gaobot (Symantec)
  • W32/Gaobot.worm (McAfee)
  • WORM_AGOBOT (Trend Micro)

Úroveň pohotovosti (?)
Těžká

Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.95.110.0
Vydáno: 18.listopadu 2010
Detekce původně vytvořeny:
Definice: 1.45.287.0
Datum vydání: Říjen 07, 2008


 

Shrnutí

Win32/Gaobot.worm rodina červů pomazánek použití různých metod v závislosti na variantě. Některé varianty se šířil do stroje se slabými hesly. Jiní využívají zranitelná místa k infikování počítače. Jakmile počítač je infikován, červ se připojí k IRC serveru přijímat příkazy.


 

Příznaky

Váš počítač může být napaden některou z variant Win32/Gaobot.worm pokud máte jeden nebo více z následujících příznaků:
  • Operační systém vypne po zobrazení následující dialogové okno:
    Vypnutí systému
  • Zobrazí se chybové hlášení LSA Shell dialogové okno:
  • Počítač se restartuje bez zásahu uživatele. Můžete vidět vypnutí systému dialogové okno:


 

Technické informace (analýza)

Když Win32/Gaobot.worm běží, kopíruje se buď Windows nebo systémových adresářích. V mnoha případech se přidává hodnotu klíče registru:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
nebo
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
Tato hodnota způsobí červ spustit při startu Windows. Některé varianty mohou také přidat službu Windows dosáhnout podobných výsledků.
 
Win32/Gaobot.worm připojí ke vzdálenému serveru IRC a spojuje určitý kanál přijímat příkazy. Tyto příkazy mohou zahrnovat akce jako skenování neopravených strojů v síti, stahování a spouštění vzdálených souborů, přidávání a odebírání místních uživatelů, načítání konfiguraci stroje a aktualizaci červa.
 
Červ se šíří do vzdálených počítačích tím, že využívá jednu nebo více z osmi bezpečnostních chyb. Například červ zneužívá zranitelnost MS03-026 pro vytvoření vzdáleného shellu na cílovém počítači. Červ využívá Vzdálený shell zkopírovat a spustit červa na vzdáleném počítači. Červ využívá osmi různých zranitelná různými způsoby, ale cílem červa je v souladu: vždy se snaží kopírovat a spouštět na vzdáleném stroji.
 
Win32/Gaobot.worm mohou rozšířit i na strojích s slabých hesel pomocí seznam konkrétních hesel, až získá přístup. Červ zkopíruje sám sebe a vytvoří úkol na cílovém počítači spustit kopii.
 
Některé varianty červa končí bezpečnostní produkty, které jsou založeny na seznamu procesů jmen.
 
Pozdější varianty červa patří v uživatelském režimu utajení, který skryje proces červa a soubor z Task Manager a Windows Explorer.
 
Pozdější varianty červa přepsání hostitele soubor systému Windows blokovat přístup na různých místech zabezpečení stránek.

Žádné komentáře:

Okomentovat