Yigg
Delicious
LinkArena
Google
Mister Wong
MySpace
Blinklist
Web News
Buzz
- Entdeckt am:
- 21 November 2003
- Aktualisiert:
- 13 Februar 2007 12:18:25 PM
- Auch bekannt als:
- W32/Gaobot.worm.gen [McAfee], Backdoor.Agobot [Kaspersky], Phatbot
- Typ:
- Worm
- Infektionslänge:
- Variiert
- Betroffene Systeme:
- Windows 2000, Windows NT, Windows XP
W32.HLLW.Gaobot.gen ist ein allgemeiner Erkennungsname für eine große Familie von Würmern, die zu ihrer Verbreitung verschiedene Sicherheitslücken ausnutzen. Dazu zählen folgende:
- Schwache Kennwörter und Netzwerkfreigaben.
- Die DCOM RPC-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-026) über den TCP-Port 135.
- Die WebDav-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-007) über den TCP-Port 80.
- Die Pufferüberlaufschwachstelle im Arbeitsstationsdienst (beschrieben im Microsoft Security Bulletin MS03-049) über den TCP-Port 445. Windows-XP-Benutzer sind vor dieser Bedrohung geschützt, wenn das Microsoft Security Bulletin MS03-043 angewendet wurde. Windows-2000-Benutzer müssen den MS03-049-Patch anwenden.
- Die Pufferüberlaufschwachstelle im Microsoft Nachrichtendienst (beschrieben im Microsoft Security Bulletin MS03-043).
- Die Locator-Dienst-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-001) über den TCP-Port 445. Der Wurm greift speziell Computer mit dem Betriebssystem Windows 2000 über diese Schwachstelle an.
- Die UPnP-Schwachstelle (beschrieben im Microsoft Security Bulletin MS01-059).
- Die Schwachstellen in Microsoft SQL Server 2000 oder MSDE 2000 (beschrieben im Microsoft Security Bulletin MS02-061) über den UDP-Port 1434.
- Die Hintertür ("Backdoor")-Ports, die durch Varianten der Beagle- und Mydoom-Familien geöffnet werden.
Symantec Security Response hat ein Programm zur Entfernung von W32.HLLW.Gaobot.gen-Infektionen entwickelt. Das Entfernungsprogramm entfernt zwar viele, jedoch nicht alle Varianten, die als W32.HLLW.Gaobot.gen erkannt werden.
Hinweis: Virusdefinitionen der Version 60227t (erweiterte Version 27.02.2004, rev. 20) oder höher erkennen die als Phatbot bekannte Bedrohung als W32.HLLW.Gaobot.gen.
Termine für Antivirus-Schutz
- Erste Rapid Release-Version24 November 2003
- Neueste Rapid Release-Version11 Februar 2012Änderung025
- Erste Daily Certified-Version24 November 2003Änderung036
- Neueste Daily Certified-Version7 Februar 2012Änderung005
- Datum der ersten Weekly Certified-Version26 November 2003
Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.
Beurteilung der Bedrohung
Im Umlauf
- Im Umlauf:Medium
- Anzahl der Infektionen:More than 1000
- Anzahl der Websites:More than 10
- Geografische Verbreitung:Medium
- Bekämpfungschance:Easy
- Entfernung:Moderate
Schaden
- Schadensstufe:Medium
- Offenlegung vertraulicher Informationen:Ermöglicht nicht autorisierten Remote-Zugriff. Stiehlt die CD-Schlüssel von verschiedenen beliebten Computerspielen.
- Manipulation von Sicherheitseinstellungen:Beendet verschiedene Prozesse von Virenschutzprogrammen und Firewalls.
Verteilung
- Grad der Verteilung:Medium
- Ports:TCP-Ports 135, 445, 80; ausgehende Verbindungen an einen IRC-Server auf Port 6667.
- Freigegebene Laufwerke:Versucht, sich selbst auf alle gemeinsamen Netzwerkfreigaben mit schwachen Kennwörtern zu verbreiten.
- Ziel der Infektion:Benutzerkonten mit schwachen Kennwörtern; Systeme ohne Patch gegen die DCOM RPC-Schwachstelle oder die RPC-Locator-Schwachstelle.
Dokument verfasst von:Heather Shannon