W32/Gaobot.KW. Se copia como "svchosts.exe"Nombre: W32/Gaobot.KW
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.KW, Agobot.KW, W32/Agobot-KW, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades (MS03-001, MS03-007,MS03-039.
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\svchosts.exe
También copia la siguiente utilidad que no posee código viral. Es una herramienta legítima usada por el gusano para su propagación:
Más información:
http://www.vsantivirus.com/gaobot-kw.htmBack/Padodor.AB. Roba información confidencialNombre: Back/Padodor.AB
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: Padodor.AB, Backdoor.Padodor.ab, Win32/Padodor.NAD, BackDoor-AXJ.dll, Backdoor.Padodor.gen, Win32/Webber.W.Trojan, Win32.Webber.W
Plataforma: Windows 32-bit
Troyano que roba información confidencial de la computadora infectada, así como datos de cuentas bancarias, capturando todo lo tecleado por el usuario al acceder a bancos on-line.
Se han reportado instalaciones de este troyano al visitar sitios infectados.
El troyano puede descargar otros componentes de Internet, además de enviar la dirección IP de la máquina infectada a otros equipos, actuando como Proxy de hasta 100 conexiones simultáneas. Esto puede ser usado para que un usuario remoto utilice la máquina infectada como "lanzadera" de cualquier clase de datos, por ejemplo SPAM.
Cuando se ejecuta el troyano, se descarga e instala clandestinamente un servidor proxy.
Además de robar contraseñas, intenta extraer información de la máquina infectada y enviarla a un script de CGI a un determinado sitio ruso de Internet.
El troyano busca toda la información almacenada en el caché de contraseñas de Windows, lo que incluye contraseñas de accesos telefónicos, etc.
Para registrar la información obtenida, utiliza varios archivos con nombres al azar en la carpeta System o System32, según el sistema operativo.
Luego, examina todas las ventanas abiertas e intercepta cualquier clase de datos ingresados a ellas, así como el contenido del portapapeles (lo que se guarda al seleccionar Cortar o Copiar).
También se activa cuando el usuario ingresa datos en cualquier ventana que contenga algunas de las siguientes cadenas:
.earthlink.
.juno .com
.paypal .com
.yahoo .com
my .juno .com/s/
signin .ebay.
webmail .juno .com
De este modo puede interceptar accesos a cuentas bancarias on-line, y robar la información ingresada.
Para que el usuario ingrese los datos desde el teclado, modifica el registro para que los mismos no queden guardados por defecto (la opción "Recordar datos").
Para ello cambia estos valores:
HKCU\Software\Microsoft\Internet Explorer\Main
FormSuggest Passwords = Yes
FormSuggest PW Ask = Yes
Use FormSuggest = Yes
También crea la siguiente entrada para iniciar un nuevo proceso cada vez que se ejecuta una ventana del navegador:
HKCU\Software\Microsoft\Windows\CurrentVersion
\Explorer\BrowseNewProcess
BrowseNewProcess = Yes
El componente principal, se copia a si mismo también en el directorio System o System 32 de Windows, y luego crea un .DLL relacionado. Todos los archivos copiados utilizan nombres creados al azar, de 8 o 6 caracteres, en ocasiones finalizados en "32". Ejemplos:
c:\windows\system\????????32.exe
c:\windows\system\????????32.dll
Donde "????????" representa letras al azar.
La información obtenida, la almacena en el siguiente archivo:
c:\windows\system\surf.dat
El troyano no crea ni modifica ninguna entrada conocida en el registro o archivos de inicio de Windows para autoejecutarse.
En lugar de ello, emplea un mecanismo diferente, modificando la siguiente clave del registro:
HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}
InProcServer32 = [nombre del componente DLL]
ThreadingModel = Apartment
HKLM\Software\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad
Web Event Logger = {79FEACFF-FFCE-815E-A900-316290B5B738}
Básicamente, la librería .DLL del troyano se identifica como clase con un valor específico, de 128 bits, el denominado Class ID (la clave CLSID en el registro de Windows).
Luego, se apunta la subclave "InprocServer32" a dicha librería para ponerla en funcionamiento cuando se ejecuta un evento determinado. El valor "ThreadingModel" con el dato "Apartment", indica que el objeto solo puede ejecutar un solo hilo.
Finalmente se suplanta el valor correspondiente al "Monitor de sitios Web" del Internet Explorer (que entre otras cosas carga la página de Inicio del Explorer), por una llamada a la Class ID creada por el troyano.
Como resultado, de acuerdo a ciertos eventos, el troyano será activado.
El componente principal es un proxy que queda "escuchando" hasta 100 conexiones informando la dirección IP de la máquina infectada. Además envía la información capturada antes por el robador de contraseñas, a una dirección específica de Internet.
También puede descargar y ejecutar otros archivos desde Internet.
El archivo del troyano está encriptado, y su rutina de desencriptación posee características polimórficas, cambiando en cada instalación.
c:\windows\system32\npf.sys
Más información:
http://www.vsantivirus.com/back-padodor-ab.htm
