W32.HLLW.Gaobot.gen

W32.HLLW.Gaobot.gen fa parte di un'ampia famiglia di worm che si diffondono approfittandosi di diverse vulnerabilità tra le quali:

• Password "deboli" sulle condivisioni di rete.
• La vulnerabilità DCOM RPC (descritta in Microsoft Security Bulletin MS03-026) che utilizza la porta TCP 135.
• La vulnerabilità WebDav (descritta in Microsoft Security Bulletin MS03-007) che utilizza la porta TCP 80.
• La vulnerabilità di overrun del buffer del servizio Workstation (descritta in Microsoft Security Bulletin MS03-049) che utilizza la porta TCP 445. Gli utenti di Windows XP sono protetti contro questa vulnerabilità se è stato applicato il Microsoft Security Bulletin MS03-043. Gli utenti di Windows 2000 devono applicare MS03-049.
• La vulnerabilità di overrun del buffer del servizio Microsoft Messenger (descritta in Microsoft Security Bulletin MS03-043).
• La vulnerabilità del servizio Locator (descritta in Microsoft Security Bulletin MS03-001) che utilizza la porta TCP 445. Il worm prende di mira specificatamente i computer con Windows 2000 utilizzando questo exploit.
• La vulnerabilità UPnP (descritta in Microsoft Security Bulletin MS01-059).
• Le vulnerabilità nel controllo Microsoft SQL Server 2000 o MSDE 2000 (descritte in Microsoft Security Bulletin MS02-061), che utilizzano la porta UDP 1434.
• Le porte backdoor aperte dai worm delle famiglie Beagle e Mydoom.

La maggior parte delle varianti è compressa con un programma di compressione run-time, come UPX.

Symantec Security Response ha sviluppato uno strumento di rimozione per pulire le infezioni di W32.HLLW.Gaobot.gen. Lo strumento di rimozione elimina molte delle varianti rilevate come W32.HLLW.Gaobot.gen ma non tutte.

---

Nota: Le definizioni dei virus, versione 60227t (versione estesa 2/27/2004 revisione 20) e successive, rilevano come W32.HLLW.Gaobot.gen la minaccia conosciuta con il nome di Phatbot.

---

Protezione

• Versione iniziale delle definizioni Rapid 24 de Novembre de 2003
• Ultima versione delle definizioni Rapid Release 30 de Agosto de 2008 revisione 025
• Versione iniziale delle definizioni Daily certified 24 de Novembre de 2003 revisione 036
• Ultima versione delle definizioni Daily certified 30 de Agosto de 2008 revisione 024
• Data di iniziale delle definizioni Weekly Certified 26 de Novembre de 2003

Fare clic per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

• Livello di circolazione: Medio
• Numero di infezioni: More than 1000
• Numero di siti: More than 10
• Distribuzione geografica: Medio
• Contenimento della minaccia: Semplice
• Rimozione: Moderato

Danno

• Livello del danno: Medio
• Trasmette informazioni riservate: Allows unauthorized remote access. Steals the CD keys of several popular computer games.
• Compromette le impostazioni di sicurezza: Ends several processes belonging to antivirus and firewall software.

Distribuzione

• Livello di distribuzione: Medio
• Porte: TCP ports 135, 445, 80; outgoing connection to an IRC server on port 6667.
• Unità condivise: Attempts to copy itself to the network shares with weak passwords.
• Obiettivo dell'infezione: Accounts with weak passwords; systems not patched against the DCOM RPC vulnerability or the RPC locator vulnerability.