Technorati
Facebook
MySpace
LinkedIn
OKNOtizie
Segnalo
Buzz
Wikio
Digg
Delicious
- Rilevato:
- 21 de Novembre de 2003
- Aggiornato:
- 13 de Febbraio de 2007 12:18:12 PM
- Va anche sotto il nome di:
- W32/Gaobot.worm.gen [McAfee], Backdoor.Agobot [Kaspersky], Phatbot
- Tipo:
- Worm
- Lunghezza dell’infezione:
- varies
- Sistemi operativi minacciati:
- Windows 2000, Windows NT, Windows XP
W32.HLLW.Gaobot.gen fa parte di un'ampia famiglia di worm che si diffondono approfittandosi di diverse vulnerabilità tra le quali:
- Password "deboli" sulle condivisioni di rete.
- La vulnerabilità DCOM RPC (descritta in Microsoft Security Bulletin MS03-026) che utilizza la porta TCP 135.
- La vulnerabilità WebDav (descritta in Microsoft Security Bulletin MS03-007) che utilizza la porta TCP 80.
- La vulnerabilità di overrun del buffer del servizio Workstation (descritta in Microsoft Security Bulletin MS03-049) che utilizza la porta TCP 445. Gli utenti di Windows XP sono protetti contro questa vulnerabilità se è stato applicato il Microsoft Security Bulletin MS03-043. Gli utenti di Windows 2000 devono applicare MS03-049.
- La vulnerabilità di overrun del buffer del servizio Microsoft Messenger (descritta in Microsoft Security Bulletin MS03-043).
- La vulnerabilità del servizio Locator (descritta in Microsoft Security Bulletin MS03-001) che utilizza la porta TCP 445. Il worm prende di mira specificatamente i computer con Windows 2000 utilizzando questo exploit.
- La vulnerabilità UPnP (descritta in Microsoft Security Bulletin MS01-059).
- Le vulnerabilità nel controllo Microsoft SQL Server 2000 o MSDE 2000 (descritte in Microsoft Security Bulletin MS02-061), che utilizzano la porta UDP 1434.
- Le porte backdoor aperte dai worm delle famiglie Beagle e Mydoom.
La maggior parte delle varianti è compressa con un programma di compressione run-time, come UPX.
Symantec Security Response ha sviluppato uno strumento di rimozione per pulire le infezioni di W32.HLLW.Gaobot.gen. Lo strumento di rimozione elimina molte delle varianti rilevate come W32.HLLW.Gaobot.gen ma non tutte.
Nota: Le definizioni dei virus, versione 60227t (versione estesa 2/27/2004 revisione 20) e successive, rilevano come W32.HLLW.Gaobot.gen la minaccia conosciuta con il nome di Phatbot.
Date protezione antivirus
- Versione iniziale Rapid Release24 de Novembre de 2003
- Ultima versione Rapid Release11 de Febbraio de 2012 revisione 025
- Versione iniziale Daily Certified24 de Novembre de 2003 revisione 036
- Ultima versione Daily Certified12 de Febbraio de 2012 revisione 017
- Data rilascio Weekly Certified iniziale26 de Novembre de 2003
Fare clic qui per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.
Valutazione della minaccia
In circolazione
- Livello di circolazione:Medium
- Numero di infezioni:More than 1000
- Numero di siti:More than 10
- Distribuzione geografica:Medium
- Contenimento della minaccia:Easy
- Rimozione:Moderate
Danno
- Livello del danno:Medium
- Rilascio di informazioni riservate:Allows unauthorized remote access. Steals the CD keys of several popular computer games.
- Compromissione delle impostazioni di sicurezza:Ends several processes belonging to antivirus and firewall software.
Distribuzione
- Livello di distribuzione:Medium
- Porte:TCP ports 135, 445, 80; outgoing connection to an IRC server on port 6667.
- Unità condivise:Attempts to copy itself to the network shares with weak passwords.
- Obiettivo dell’infezione:Accounts with weak passwords; systems not patched against the DCOM RPC vulnerability or the RPC locator vulnerability.
Documento di:Heather Shannon