W32.HLLW.Gaobot.gen

W32.HLLW.Gaobot.gen est la détection d'une grande famille de vers qui se répandent en exploitant de nombreuses vulnérabilités, parmi lesquelles :

• Mots de passe faibles sur des partages réseau.
• Vulnérabilité DCOM RPC (décrite dans le Bulletin de sécurité Microsoft MS03-026) utilisant le port TCP 135.
• Vulnérabilité WebDav (décrite dans le Bulletin de sécurité Microsoft MS03-007) utilisant le port TCP 80.
• La vulnérabilité de saturation de la mémoire tampon dans le service Station de travail (décrite dans le Bulletin de sécurité Microsoft MS03-049) en utilisant le port TCP 445.
• Les utilisateurs de Windows XP sont protégés si le Bulletin de sécurité Microsoft MS03-043 a été appliqué. Les utilisateurs de Windows 2000 doivent appliquer MS03-049.
• Vulnérabilité de débordement de tampon dans le service Affichage des messages de Microsoft (décrite dans le Bulletin de sécurité Microsoft MS03-043).
• Vulnérabilité du service Locator (décrite dans le Bulletin de sécurité Microsoft MS03-001) utilisant le port TCP 445. Le ver vise en particulier les postes Windows 2000 utilisant cet exploit.
• Vulnérabilité UPnP (décrite dans le Bulletin de sécurité Microsoft MS01-059).
• Vulnérabilités de l'audit Microsoft SQL Server 2000 ou MSDE 2000 (décrites dans le Bulletin de sécurité Microsoft MS02-061), utilisant le port UDP 1434.
• Ports de porte dérobée ouverts par les familles de vers Beagle et Mydoom.

La plupart des variantes sont compressées avec un compresseur pour exécutables, tel que UPX.

Symantec Security Response a créé un outil de suppression pour nettoyer les infections de W32.HLLW.Gaobot.gen. L'outil de suppression éliminera la plupart des variantes détectées comme W32.HLLW.Gaobot.gen.

---

Remarque : Les définitions de virus, version 60227t (version étendue du 27.02.04, rév. 20) et ultérieure, détectent la menace Phatbot comme W32.HLLW.Gaobot.gen.

---

Protection

• Version initiale des définitions Rapid Release 24 Novembre 2003
• Dernière version des définitions Rapid Release 23 Novembre 2009 révision 033
• Version initiale des définitions Daily Certified 24 Novembre 2003 révision 036
• Dernière version des définitions Daily Certified 23 Novembre 2009 révision 037
• Date de la version initial des définitions Weekly Certified 26 Novembre 2003

Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

• Niveau de virulence : Moyen
• Nombre d'infections : More than 1000
• Nombre de sites : More than 10
• Distribution géographique : Moyen
• Contrôle de la menace : Facile
• Suppression : Modéré

Dommages

• Niveau de dommage : Moyen
• Déclencheur : Ne s'applique pas
• Charge utile : Ne s'applique pas
• Envoi de courrier électronique à grande échelle : Ne s'applique pas
• Supprime les fichiers : Ne s'applique pas
• Modifie les fichiers : Ne s'applique pas
• Divulgue des informations confidentielles : Permet l'accès à distance non autorisé. Dérobe les clés de CD de plusieurs jeux sur ordinateur connus.
• Dégrade les performances : Ne s'applique pas
• Entraîne l'instabilité du système : Ne s'applique pas
• Compromet les paramètres de sécurité : Termine plusieurs processus de divers logiciels antivirus ou de pare-feu.

Distribution

• Niveau de distribution : Moyen
• Objet du courrier électronique : Ne s'applique pas
• Nom de la pièce jointe : Ne s'applique pas
• Taille de la pièce jointe : Ne s'applique pas
• Ports : Ports TCP 135, 445, 80 ; connexion sortante vers un serveur IRC sur le port 6667.
• Lecteurs partagés : Tente de se copier sur les partages réseau avec mots de passe faibles.
• Cible d'infection : Comptes avec mots de passe faibles ; systèmes auxquels n'ont pas été appliqués les correctifs pour la vulnérabilité DCOM RPC ou la vulnérabilité du service Locator RPC.
• Horodatage de la pièce jointe : Ne s'applique pas