Delicious
Meneame
Technorati
Digg
Yahoo Buzz
Google
Facebook
Reddit
Newsvine
StumbleUpon
- Descoberto:
- 21 de Novembro de 2003
- Atualizado:
- 13 de Fevereiro de 2007 12:17:17 PM
- Também conhecido como:
- W32/Gaobot.worm.gen [McAfee], Backdoor.Agobot [Kaspersky], Phatbot
- Tipo:
- Worm
- Extensão da infecção:
- varies
- Sistemas afetados:
- Windows 2000, Windows NT, Windows XP
W32.HLLW.Gaobot.gen é uma detecção para uma grande família de worms que se propagam usando múltiplas vulnerabilidades, incluindo:
- Senhas vulneráveis em compartilhamentos de rede.
- A vulnerabilidade DCOM RPC (descrita em Microsoft Security Bulletin MS03-026) usando a porta TCP 135.
- A vulnerabilidade WebDav (descrita em Microsoft Security Bulletin MS03-007) usando a porta TCP 80.
- A vulnerabilidade de buffer não verificado no serviço Workstation (descrita em Microsoft Security Bulletin MS03-049) usando a porta TCP 445. Os usuários do Windows XP são protegidos contra essa vulnerabilidade se o Microsoft Security Bulletin MS03-043 foi aplicado. Os usuários do Windows 2000 devem aplicar o MS03-049.
- A vulnerabilidade de Buffer Não Verificado no Serviço Microsoft Messenger (descrita em Microsoft Security Bulletin MS03-043).
- A vulnerabilidade do serviço Localizador (descrita em Microsoft Security Bulletin MS03-001) usando a porta TCP 445. Ao usar essa ameaça, o worm visa máquinas com o Windows 2000.
- A vulnerabilidade UPnP (descrita em Microsoft Security Bulletin MS01-059).
- As vulnerabilidades no Microsoft SQL Server 2000 ou no MSDE 2000 audit (descritas em Microsoft Security Bulletin MS02-061) usando a porta UDP 1434.
- A vulnerabilidade do LSASS (descrita em Microsoft Security Bulletin MS04-011) usando as portas TCP 139 e 445.
- As portas backdoor abertas pelas famílias de worms Beagle e Mydoom.
A maioria das variantes é compactada com um compactador como o UPX.
O Symantec Security Response desenvolveu uma ferramenta de remoção para limpar as infecções do W32.HLLW.Gaobot.gen. A ferramenta deverá remover muitas, porém nem todas as variantes que são detectadas como W32.HLLW.Gaobot.gen.
Nota: As definições de vírus, versão 60227t (versão estendida 2/27/2004 rev. 20) e posteriores, detectam como W32.HLLW.Gaobot.gen a ameaça conhecida como Phatbot.
Datas da proteção antivírus
- Versão inicial do Rapid Release24 de Novembro de 2003
- Última versão do Rapid Release13 de Fevereiro de 2012 revisão036
- Versão inicial diária certificada24 de Novembro de 2003 revisão036
- Última versão diária certificada13 de Fevereiro de 2012 revisão038
- Data da versão inicial semanal certificada26 de Novembro de 2003
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.
Avaliação da ameaça
Disseminação
- Nível de disseminação:Medium
- Número de infecções:More than 1000
- Número de sites:More than 10
- Distribuição geográfica:Medium
- Contenção da ameaça:Easy
- Remoção:Moderate
Dano
- Nível do dano:Medium
- Acionador de atividade:Não disponível
- Atividade:Não disponível
- Envio de e-mail em grande escala:Não disponível
- Exclui arquivos:Não disponível
- Modifica arquivos:Não disponível
- Divulga informações confidenciais:Permite acesso remoto não autorizado. Rouba os números de série de vários jogos populares de computador.
- Reduz o desempenho:Não disponível
- Causa a instabilidade do sistema:Não disponível
- Compromete as configurações de segurança:Finaliza vários processos pertencentes a softwares antivírus e de firewall.
Distribuição
- Nível de distribuição:Medium
- Assunto do e-mail:Não disponível
- Nome do anexo:Não disponível
- Tamanho do anexo:Não disponível
- Portas:Portas TCP 135, 445, 80: conexões de saída para um servidor IRC na porta 6667.
- Unidades compartilhadas:Tenta fazer uma cópia dele mesmo para os compartilhamentos de rede com senhas vulneráveis.
- Alvo da infecção:Contas com senhas vulneráveis; sistemas não corrigidos contra as vulnerabilidades DCOM RPC ou localizador RPC.
- Carimbo de hora do anexo:Não disponível
Escrito por:Heather Shannon