Hálózati megosztásokon terjed a legújabb Gaobot féreg

A féreg paraméterei

Felfedezésének ideje: 2005. április 27.
Utolsó frissítés ideje: 2005. április 28.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 105.428 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System mappában, run.exe néven
– létrehozza a “Windows” = “run.exe” Registry bejegyzést annak érdekében, hogy minden rendszerinduláskor betöltődjön a memóriába:
. EY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. EY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/OLE
– további Registry módosításokat végez, amivel védtelenebbé teszi a rendszert: . HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE “Enable DCom” = “N”
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA “Restrictanonymous” = “0”
– a féreg hátsó kaput nyitó komponense egy távoli IRC-szerverhez (nathan.stjohnspark.net vagy bleh.darkacidonline.us) kísérel meg csatlakozni a 8080-as TCP porton át, majd alkotójától érkező parancsokra várakozik
– leállítja a behatolásvédelmi szoftverek futó process-eit
– egy előre elkészített listából próbálgat végig számos felhasználónév-jelszó kombinációt annak érdekében, hogy a helyi hálózaton található számítógépekre be tudjon jutni