Gaobot.P

Gaobot.P es un peligroso gusano/troyano/backdoor reportado el 05 de Abril del 2003, que se propaga a través de diversos servicios de Internet, roba y envía instrucciones a través del IRC (Internet Chat Relay) al hacker poseedor del software Cliente. Infecta estaciones de trabajos y servidores con recursos compartidos, incluso los "ocultos".

Ingresa aleatoriamente través de cualquier puerto TCP que se encuentre abierto e intenta ingresar a los servidores Microsoft SQL Server.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/2003, está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Este gusano es un "dropper" que libera archivos infectados contenidos en sí mismo.

Una vez ingresado a un sistema se auto-copia a la carpeta %System% con los siguientes nombres de archivos:

Para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Config Loader" = "%System%\"svchosl.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Config Loader" = "%System%\"svchosl.exe"

Seguidamente para conectarse como backdoor a través de puertos aleatorios TCP, crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\MSSQLServer\Client\SuperSocketNetLib]
"ProtocolOrder" = "tcp"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Client\SuperSocketNetLib]
"ProtocolOrder" = "tcp"

A continuación crea las siguientes llaves para conectarse a los servidores Microsoft SQL Server:

[HKEY_LOCAL_MACHINE\Software\MSSQLServer\Client\ConnectTo]
"DSQUERY" = "DBNETLIB"

[HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Client\ConnectTo]
"DSQUERY" = "DBNETLIB"

Libera y copia a la carpeta %System% el utilitario gratuito y de uso legal, denominado PSEXEC, desarrollado por Sysinternals, del connotado investigador y experto en Seguridad Mark Russinovich.

El gusano se auto-instala y ejecuta como un servicio, con el nombre PSINFSVC o PsInfo Servic.

Luego, abre un puerto TCP que cambia en forma aleatoria a través de una rutina "Random", para conectarse al hacker poseedor del Cliente.

El troyano/backdoor posee su propio Cliente de Chat, que es un POSIX (Portable Operating System Interface) lo cual le permite conectarse a cualquier plataforma de canales IRC (Internet Chat Relay), que el gusano define dentro de una lista cifrada en su código, para enviar la información extraída del sistema infectado al hacker.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Además de enviar la información capturada y extraída de los sistemas atacados, el poseedor del Backdoor Cliente tomará el control absoluto de los mismos.

Intenta conectarse a servidores remotos IPC$ (Internet Process Communication) los cuales permiten que una aplicación pueda controlar a otra o compartir la misma información o procesos de varias aplicaciones sin interferencia entre las mismas.

Para este propósito el gusano emplea el utilitario PSEXEC y el archivo Winhlpp32.exe, que previamente copió a la carpeta %System% y que será ejecutado en los sistemas remotos. Sin embargo este proceso no tiene mucho éxito, ya que el gusano usa nombres de Usuarios y Claves de Acceso muy simples o triviales, contenidos en forma encriptada en su código viral, para tratar de ingresar como Administrador.

Finalmente el gusano crea una vía de acceso denominada Pipe, por medio del utilitario PSEXEC con el comando:

\\.\pipe\psexecsvc y re-direccionará la información hacia el comando de control remoto psexec.exe.

PER ANTIVIRUS® versión 8.0 con registro de virus al 05 de Abril del 2003 detecta y elimina eficientemente este gusano/troyano/backdoor.