| Nombre común: Gaobot.AIR
Nombre técnico: W32/Gaobot.AIR.worm
Peligrosidad: Media
Tipo: Gusano
Efectos:
Aprovecha las vulnerabilidades LSASS, RPC DCOM y WebDAV, entre otros métodos, para propagarse al mayor número de ordenadores posibles. Captura pulsaciones del teclado, obtiene información confidencial del ordenador afectado, ejecuta archivos, etc.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de aparición: 24/08/2004
¿Está en circulación? Si
Descripción Breve
Gaobot.AIR es un gusano con características de backdoor que permite controlar remotamente el ordenador afectado, pudiendo realizar acciones como ejecutar comandos, descargar y ejecutar archivos, capturar las pulsaciones del teclado, obtener características del ordenador, realizar ataques de tipo de denegación de servicio distribuida (DDoS), etc.
Gaobot.AIR utiliza una gran variedad de métodos de propagación:
Realiza copias de sí mismo en recursos compartidos de red a los que logra acceso.
Aprovecha las vulnerabilidades LSASS, RPC DCOM y WebDAV para propagarse a través de Internet.
Puede entrar en ordenadores que tengan la aplicación SQL Server, cuya cuenta SA (System Administrator) tenga la contraseña en blanco.
Aprovecha los backdoors abiertos por los gusanos Bagle.A y Mydoom.A para propagarse a los ordenadores afectados por ellos.
Entra en los ordenadores afectados por los siguientes backdoors: Optix, NetDevil, Kuang y SubSeven.
Entra en ordenadores que tengan instalado el programa DameWare Mini Remote Control.
Si su ordenador tiene como sistema operativo Windows 2003/XP/2000/NT, es recomendable descargar el parche de seguridad para las vulnerabilidades LSASS, RPC DCOM y WebDAV desde la página de Microsoft.
Síntomas Visibles
Gaobot.AIR es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia.
Información actualizada: 24/08/2004. |
|