PROCESOS DE INICIO DE WINDOWS
WinMsrv32
Estado: MALWARE/VIRUS
Descripcion:
Gusano: GAOBOT.AFJ
Cuando W32.Gaobot.AFJ es ejecutado, realiza las siguientes acciones:
Se copia como :
%System%msiwin84.exe
%System%Microsoft.exe
%System%WinMsrv32.exe
%System%soundcontrl.exe
%System%msawindows.exe
Agrega estos valores :
"Microsoft Update"="msiwin84.exe"
"Microsoft Update"="Microsoft.exe"
"WinMsrv32"="WinMsrv32.exe"
"soundcontrl"="soundcontrl.exe"
"Microsoft Update"="msawindows.exe"
A las claves de registro :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
RunServices
Así que W32.Gaobot.AFJ se inicia en el arranque de sistema.
Agrega las sigientes lineas al %System%driversetchosts file, así que cualquier intento de entrar a esas Webs fracasal:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
Termina los proceso de un gran numero de antivirus.
Termina los siguientes proceos:
irun4.exe
Ssate.exe
i11r54n4.exe
winsys.exessgrate.exe
d3dupdate.exe
bbeagle.exerate.exe
Enva menjases HTTP POST (250 KB por cada POST message) a los siguientes hosts:
www.ryan1918.net
www.ryan1918.org
www.ryan1918.com
yahoo.co.jp
www.nifty.com
www.d1asia.com
www.st.lib.keio.ac.jp
www.lib.nthu.edu.tw
www.above.net
www.level3.com
nitro.ucsc.edu
www.burst.net
www.cogentco.com
www.rit.edu
www.nocster.com
www.verio.com
www.stanford.edu
www.xo.net
de.yahoo.com
www.belwue.de
www.switch.ch
www.1und1.deverio.fr
www.utwente.nl
www.schlund.net
Abre un puerto TCP aleatorio y envia copias de si mismo.
Conecta a un Server IRC remoto y espera comandos del atacante.
para mas información:
http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.afj.html