W32/Gobot.Y. Se propaga por redes P2P, IRC, etc.Nombre: Win32/Gobot.Y
Nombre NOD32: Win32/Gobot.Y
Tipo: Gusano de Internet
Alias: Gobot.Y, Backdoor.GhostBot.A, BackDoor.Gobot.Y, Backdoor:Win32/Gobot.Y, Exploit-Mydoom, Trojan.IRCBot-16, W32.Gobot.A, W32/Gobot.C.worm, W32/Gobot.C@bd, W32/Gobot-Y, Win32.HLLW.Ghostbot, Win32/Gobot.Y, Win32:Gobot-D
Fecha: 28/dic/04
Plataforma: Windows 32-bit
Tamaño: variable
Gusano que se propaga a través de redes P2P, canales de IRC, computadoras infectadas con alguna de las variantes del Mydoom, y a través de recursos compartidos en red.
El gusano posee también un componente backdoor que abre una puerta trasera en el equipo infectado, por medio de la cual un atacante puede obtener acceso remoto a la misma, a través de canales de IRC (Internet Relay Chat).
Cuando se ejecuta por primera vez, el gusano crea el siguiente archivo:
c:\windows\[nombre al azar]
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Luego, para auto ejecutarse cada vez que se reinicie Windows, el gusano crea la siguiente entrada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\[nombre al azar]
Al ejecutarse luego de esos cambios, busca otras computadoras conectadas a Internet, que posean activa aún la puerta trasera instalada por el gusano Mydoom. Si las encuentra, se envía a cada una de ellas, y luego se ejecuta a si mismo en aquellas.
También intenta conectarse al recurso compartido C$ de todas las unidades de red locales, y se copia a si mismo en la carpeta de inicio por defecto:
C:\Documents and Settings\All Users
\Menú inicio\Programas\Inicio\[nombre gusano].exe
Luego se copia a si mismo a las carpetas compartidas por defecto de las utilidades P2P:
Edonkey
Kazaa
LimeWire
Morpheus
ShareAza
XoloX
Utiliza para ello alguno de los siguientes nombres:
AIM_Account_Stealer_Crack.exe
AIM_Account_Stealer_Crack.exe
AIM_Account_Stealer_Full.exe
AIM_Account_Stealer_Full.exe
AIM_Account_Stealer_ISO_Full.exe
AIM_Account_Stealer_Key_Generator.exe
AIM_Account_Stealer_Patch.exe
AIM_Account_Stealer_Patch.exe
Cat_Attacks_Child_Crack.exe
Cat_Attacks_Child_Full.exe
Cat_Attacks_Child_ISO_Full.exe
Cat_Attacks_Child_ISO_Full.exe
Cat_Attacks_Child_Key_Generator.exe
Cat_Attacks_Child_Key_Generator.exe
Cat_Attacks_Child_Patch.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe
DSL_Modem_Uncapper_Crack.exe
DSL_Modem_Uncapper_Crack.exe
DSL_Modem_Uncapper_Full.exe
DSL_Modem_Uncapper_Full.exe
DSL_Modem_Uncapper_ISO_Full.exe
DSL_Modem_Uncapper_ISO_Full.exe
DSL_Modem_Uncapper_Key_Generator.exe
DSL_Modem_Uncapper_Patch.exe
Hacking_Tool_Collection_Crack.exe
Hacking_Tool_Collection_Crack.exe
Hacking_Tool_Collection_Full.exe
Hacking_Tool_Collection_ISO_Full.exe
Hacking_Tool_Collection_Key_Generator.exe
Hacking_Tool_Collection_Patch.exe
Hacking_Tool_Collection_Patch.exe
Internet_and_Computer_Speed_Booster_Crack.exe
Internet_and_Computer_Speed_Booster_Crack.exe
Internet_and_Computer_Speed_Booster_Full.exe
Internet_and_Computer_Speed_Booster_ISO_Full.exe
Internet_and_Computer_Speed_Booster_Key_Generator.exe
Internet_and_Computer_Speed_Booster_Patch.exe
Macromedia_Flash_5.0_Crack.exe
Macromedia_Flash_5.0_Full.exe
Macromedia_Flash_5.0_ISO_Full.exe
Macromedia_Flash_5.0_ISO_Full.exe
Macromedia_Flash_5.0_Key_Generator.exe
Macromedia_Flash_5.0_Key_Generator.exe
Macromedia_Flash_5.0_Patch.exe
MSN_Password_Hacker_and_Stealer_Crack.exe
MSN_Password_Hacker_and_Stealer_Full.exe
MSN_Password_Hacker_and_Stealer_Full.exe
MSN_Password_Hacker_and_Stealer_ISO_Full.exe
MSN_Password_Hacker_and_Stealer_Key_Generator.exe
MSN_Password_Hacker_and_Stealer_Patch.exe
Windows_XP_Crack.exe
Windows_XP_Crack.exe
Windows_XP_Full.exe
Windows_XP_Full.exe
Windows_XP_ISO_Full.exe
Windows_XP_Key_Generator.exe
Windows_XP_Key_Generator.exe
Windows_XP_Patch.exe
ZoneAlarm_Firewall_Crack.exe
ZoneAlarm_Firewall_Full.exe
ZoneAlarm_Firewall_ISO_Full.exe
ZoneAlarm_Firewall_Patch.exe
ZoneAlarm_Firewall_Patch.exe
Puede agregarse (infectar) a todos los archivos .EXE existentes en las carpetas vistas antes.
Se conecta a un servidor IRC predeterminado y queda a la espera de diversos comandos por parte de un usuario remoto, entre ellos:
- Cerrar cualquier proceso que esté en ejecución.
- Ejecutar cualquier comando en la máquina.
- Obtener direcciones de correo electrónico.
- Obtener el número de activación de Windows (Product ID)
- Obtener información del registro.
- Obtener información del tráfico HTTP, FTP e IRC.
- Obtener listas de contactos que usen un servicio HTTP.
- Obtener números de activación de varios videojuegos.
- Realizar ataques con paquetes HTTP, ICMP, SYN y UDP.
- Reiniciar el sistema.
- Revisar archivos desde un FTP o HTTP.
- Terminar alguno de los servicios de Windows.
El gusano también intenta finalizar el proceso activo de conocidos antivirus y aplicaciones de seguridad.
Reparación manualNota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información
http://www.vsantivirus.com/gobot-y.htm