Sebezhető rendszereken terjed a Gaobot új változata

A féreg paraméterei

Felfedezésének ideje: 2004. július 18.
Utolsó frissítés ideje: 2004. július 20.
Veszélyeztetett rendszerek: Windows NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 159.823 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba videons32.exe névvel, majd le is futtatja ezt az állományt
– hozzáadja a Windows Video Drivers=videons32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run, a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices kulcsokhoz
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– leállítja a következő futó process-eket (ha azok megtalálhatók a rendszerben), melyek más férgekkel vannak kapcsolatban:
. taskmon.exe
. bbeagle.exe
. d3dupdate.exe
. winsys.exe
. ssate.exe
. i11r54n4.exe
. rate.exe
. irun4.exe
. Ssate.exe
– a fertőzött számítógép hosts állományát kiegészíti az ismertebb antivírus cégek honlapjainak URL-jével és a local loopback IP-címmel (127.0.0.1), ennek révén elérhetetlenné teszi ezeket az oldalakat
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; majd alkotójától érkező parancsokra vár
– négy sebezhetőség kiaknázásával igyekszik terjedni:
. az DCOM RPC sérülékenység által a 135-ös TCP porton
. az RPC locator sérülékenység révén a 445-ös TCP porton
. a WebDav sebezhetőség által a 80-as TCP porton
. illetve a Workstation service buffer overrun nevű biztonsági rés révén, szintén a 445-ös TCP porton át
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez rengeteg felhasználónév/jelszó kombinációt próbálgat ki, illetve a NetUserEnum() által megtalált felhasználóneveket is beveti
– ahova sikeresen bejutott, oda felmásolja magát
– amennyiben a fertőzött számítógépet használó meglátogatja a www.paypal.com URL-t, a féreg megpróbálja ellopni a PayPal bejelentkezési információt a billentyűzet-leütés figyelésével
– hasonlóképpen járhat el az AOL azonnali üzenőprogramja (AIM) kapcsán is