| Nombre común: Gimmiv.C
Nombre técnico: W32/Gimmiv.C.worm
Peligrosidad: Media
Alias: MS08067,
Tipo: Gusano
Efectos:
Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para propagarse y descargar cualquier tipo de malware en el ordenador afectado.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 06/11/2008
Detección actualizada: 13/11/2008
Estadísticas No
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Gimmiv.C es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Mediante la explotación de esta vulnerabilidad, Gimmiv.C consigue descargar cualquier tipo de malware en el ordenador afectado.
Gimmiv.C se propaga explotando la vulnerabilidad MS08-067. Para ello, ataca ciertas direcciones IP en las que intenta introducir una copia de sí mismo.
Efectos
Gimmiv.C está diseñado para descargar todo tipo de malware en el ordenador afectado. Para ello, aprovecha una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Metodo de Infección
Gimmiv.C crea los siguientes archivos:
VISTA.EXE, que comprueba el rango de direcciones IP de la red local y almacena el rango en un archivo llamado QQQ.SYS.
MROSCONFIG.EXE. Este archivo se encarga de explotar la vulnerabilidad MS08-067.
Estos archivos son creados en la carpeta %nombreusuario%/Configuración Local/Temp del directorio Documents and Settings.
donde %nombreusuario% es el nombre del usuario que haya iniciado sesión.
Método de Propagación
Gimmiv.C se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Para ello, realiza el siguiente proceso:
Comprueba el rango de direcciones IP de la red local y almacena esta información en un archivo.
Después, escanea dicho rango en busca de ordenadores que tengan en puerto 445 abierto. Se trata del puerto del servicio RPC, que es el componente vulnerable.
En caso de encontrar alguno, descarga en el ordenador atacado una copia de sí mismo.
Otros Detalles
Gimmiv.C está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 27117 Bytes.
|
|