| Nombre común: Gaobot.OXI
Nombre técnico: W32/Gaobot.OXI.worm
Peligrosidad: Media
Tipo: Gusano
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 02/01/2007
Detección actualizada: 05/03/2008
Estadísticas Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Gaobot.OXI es un gusano que se reproduce creando copias de sí mismo, sin infectar otros archivos.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad: contraseñas guardadas por algunos servicios de Windows; pulsaciones de teclado realizadas, para así conseguir información de acceso a entidades bancarias online, contraseñas u otra información sensible.
Provoca pérdidas de productividad, dificultando la realización de las tareas a realizar:
En el ordenador afectado: convierte el ordenador en una plataforma para realizar acciones maliciosas de manera encubierta: envío de spam, lanzamiento de ataques de Denegación de Servicio, distribución de malware, etc.
En la red local: provoca una gran actividad en el tráfico de red y la degradación de su ancho de banda.
Reduce el nivel de seguridad del ordenador: notifica al usuario atacante que el ordenador ha sido comprometido y está listo para ser utilizado maliciosamente; permanece a la espera de órdenes de control remoto, recibidas a través de IRC; modifica los permisos del sistema, reduciendo la seguridad.
Utiliza técnicas de ocultación para impedir su detección por parte del usuario:
Borra el archivo original desde el que fue ejecutado, una vez se ha instalado en el ordenador.
Emplea diversas técnicas con objeto de dificultar su análisis por parte de compañías antivirus:
Finaliza su propia ejecución si detecta que está siendo ejecutado en un entorno de máquina virtual, como por ejemplo VMWare o VirtualPC.
Termina su ejecución si detecta que se está ejecutando un programa de volcado de memoria, como por ejemplo Procdump.
Finaliza su propia ejecución si detecta que hay activo un programa de depuración.
Efectos
El principal objetivo de Gaobot.OXI es propagarse y afectar a otros ordenadores.
Evita su detección por parte del usuario afectado, empleando las siguientes técnicas de ocultación:
Borra el archivo original desde el que fue ejecutado, una vez se ha instalado en el ordenador.
Dificulta su análisis por parte de compañías antivirus mediante las siguientes técnicas:
Finalizando su propia ejecución si detecta que está siendo ejecutado en un entorno de máquina virtual, como por ejemplo VMWare o VirtualPC.
Terminando su ejecución si detecta que se está ejecutando un programa de volcado de memoria, como por ejemplo Procdump.
Finalizando su propia ejecución si detecta que hay activo un programa de depuración.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad:
Contraseñas guardadas por algunos servicios de Windows.
Pulsaciones de teclado realizadas, para así conseguir información de acceso a entidades bancarias online, contraseñas u otra información sensible.
Provoca pérdidas de productividad, dificultando la realización de las tareas a realizar:
Convierte el ordenador en una plataforma para realizar acciones maliciosas de manera encubierta.
Provoca pérdidas de productividad en la red local a la que pertenece el ordenador comprometido:
Provoca una gran actividad en el tráfico de red y la degradación de su ancho de banda.
Reduce el nivel de seguridad del ordenador:
Notifica al usuario atacante que el ordenador ha sido comprometido y está listo para ser utilizado maliciosamente.
Modifica los permisos del sistema, reduciendo el nivel de seguridad.
Método de Propagación
Propagación mediante la explotación de vulnerabilidades remotas:
Gaobot.OXI realiza el siguiente proceso:
Se propaga atacando direcciones IP, obtenidas aleatoriamente o de la red a la que pertenece el ordenador afectado.
Intenta acceder a las direcciones IP atacadas aprovechando alguna vulnerabilidad existente o a través de un puerto que se encuentre abierto.
En caso de conseguirlo, descarga en el ordenador atacado una copia de sí mismo.
Propagación a través de IRC:
Gaobot.OXI realiza el siguiente proceso:
Espera hasta que el usuario se conecta a un canal de chat IRC.
Envía una copia de sí mismo a todos los usuarios que se encuentren conectados al canal en ese momento.
Propagación a través de unidades mapeadas:
Gaobot.OXI comprueba si el ordenador infectado se encuentra conectado a una red.
En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y crea una copia de sí mismo en cada una de ellas.
Propagación a través de recursos compartidos de red:
Gaobot.OXI comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas.
Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.
Distribución mediante otros ejemplares de malware:
Gaobot.OXI no se propaga automáticamente por sus propios medios. Es soltado en el ordenador afectado por otro malware: MultiDropper.RDJ.
Otros Detalles
Gaobot.OXI tiene las siguientes características adicionales:
Tiene un tamaño de 174325 Bytes.
Está comprimido mediante Asprotect.
|
|
