Sebezhetőségek garmadáját képes kihasználni az új Gaobot féreg

A féreg paraméterei

Felfedezésének ideje: 2004. április 21.
Utolsó frissítés ideje: 2004. április 22.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 125 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba változó névvel (néhány példa: Winhlpp32.exe, Msmscfg.exe)
– hozzáadja a fenti állományra vonatkozó bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból letörli a következő, korábbi vírusfertőzésre utaló bejegyzéseket: Ssate.exe, rate.exe, d3dupdate.exe, TaskMon, Explorer
– le tudja állítani a rendszert esetleg korábban már megfertőzött férgek futó process-eit, a következő állományokhoz kapcsolódóan: irun4.exe, i11r54n4.exe, winsys.exe, bbeagle.exe, taskmon.exe; ezeket az állományokat le is törli a System könyvtárból
– törli az upnphost nevű service-t
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– a System/drivers/etc könyvtárban található hosts file tartalmát felülírja úgy, hogy elérhetetlenné teszi a Symantec, a Trend Micro, a Kaspersky, a Network Associates a Sophos, a McAfee és még más, IT-biztonsággal foglalkozó cégek egyes weboldalait
– hétféle (!) módon igyekszik terjedni:
. kihasználja az ˝RPC DCOM˝ sebezhetőséget a 135-ös TCP porton keresztül patch letöltése
. kihasználja a ˝WebDav˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
. kihasználja a ˝Workstation service buffer overrun˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
. kihasználja a ˝Microsoft Messenger Service Buffer Overrun˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
. kihasználja a ˝Locator service˝ sebezhetőséget a 445-ös TCP porton keresztül patch letöltése
. kihasználja a ˝UPnP˝ sebezhetőséget patch letöltése
. kihasználja a Microsoft SQL Server 2000 és/vagy az MSDE 2000 audit sebezhetőségeit a 1434-es UDP porton keresztül patch letöltése
– a fentieken felül a Beagle és a Mydoom által megnyitott hátsó kapuk révén is igyekszik terjedni
– egy véletlenszerűen kiválasztott TCP porton FTP-szervert indít
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– HTTP GET kérelmek küldésével felméri a megfertőzött rendszer Internet-hozzáférésének sebességét
– lehallgatja a HTTP, az FTP és az IRC adatforgalmat
– letilthat további férgeket is, állományaik és Registry beírásaik törlésével, futó process-eik leállításával
– ellopja a Windows termékazonosítóját és néhány játék CD-kulcsát
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez rengeteg felhasználónév/jelszó kombinációt próbálgat ki