Gaobot – korábbi fertőzések által kitaposott úton

A féreg paraméterei

Felfedezésének ideje: 2004. március 23.
Utolsó frissítés ideje: 2004. március 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 98.304 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba Hallowelt.exe néven
– amennyiben a lefuttatott állomány neve nem Hallowelt.exe, akkor felfüggeszti működését, és elindítja a Hallowelt.exe állományt, majd letörli az eredetileg elindított file-t
– hozzáadja a yeahdude.exe=hallowelt.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– a System/drivers/etc könyvtárban található hosts file tartalmát felülírja úgy, hogy elérhetetlenné teszi a Symantec, a Trend Micro és a McAfee egyes oldalait
– négyféle módon igyekszik terjedni:
. elküldi magát egy olyan backdoor portra, melyet a Beagle nyitott ki
. elküldi magát egy olyan backdoor portra, melyet a Mydoom nyitott ki
. kihasználja a WebDAV sérülékenységet patch letöltése
. kihasználja az RPC DCOM sebezhetőséget patch letöltése
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– megnyit egy TCP portot (véletlenszerűen választ), majd elküldi önmaga másolatát minden olyan távoli számítógépre, mely távolról ezt a portot használja
– FTP-szervert indít egy véletlenszerűen kiválasztott TCP porton
– leállítja a behatolásvédelmi szoftverek futó process-eit
– ezek után megkísérel behatolni a távoli gépeken található megosztásokba, ehhez számos felhasználónév/jelszó kombinációt próbálgat ki