Továbbra is veszélyt jelent a Gaobot féregvírus

A féreg paraméterei

Felfedezésének ideje: 2004. június 7.
Utolsó frissítés ideje: 2004. június 9.
Veszélyeztetett rendszerek: Windows NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 91.815 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba Wuamgrd16.exe névvel
– hozzáadja a Microsoft Update=[System elérési útvonala]/Wuamgrd16.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run, a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokhoz
– megkísérli eltulajdonítani a Windows termék- és a játékok CD-kulcsát
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– az alábbi állományokhoz kapcsolódó férgeket törli ki a rendszerből (leállítja futó process-eiket, letörli Registry bejegyzéseiket és állományaikat):
. MSBLAST.exe
. Penis32.exe
. bbeagle.exe
. d3dupdate.exe
. i11r54n4.exe
. irun4.exe
. msblast.exe
. rate.exe
. ssate.exe
. teekids.exe
. winsys.exe
. winupd.exe
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– háromféle módon igyekszik terjedni:
. kihasználja az ˝RPC DCOM˝ sebezhetőséget a 135-ös TCP porton keresztül patch letöltése
. kihasználja a ˝WebDav˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
. kihasználja a ˝Local Security Authority Service Remote Buffer Overflow˝ sebezhetőséget patch letöltése
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez rengeteg felhasználónév/jelszó kombinációt próbálgat ki
– ahova sikeresen bejutott, oda felmásolja magát, majd lefuttatja a fertőzött állományt