Symantec Security Response
http://securityresponse.symantec.com

W32.HLLW.Gaobot.gen

Descubierto el: 21/11/2003

Actualizado por última vez el: 10/11/2006

La versión de las definiciones de virus 60227t (versión ampliada 2/27/2004 rev. 20) y posteriores detectan la amenaza, conocida como Phatbot, como W32.HLLW.Gaobot.gen.
W32.HLLW.Gaobot.gen es una familia de gusanos que infectan los equipos, explotando varias vulnerabilidades. También abre backdoors en los equipos infectados a través de IRC.

Estos gusanos se propagan por si mismos aprovechando múltiples vulnerabilidades, incluyendo:

Falta de contraseñas en recursos compartidos en la red.
La vulnerabilidad de RPC DCOM (descrita en Microsoft Security Bulletin MS03-026), usando los puertos TCP 135 y 445.
La vulnerabilidad WebDav (descrita en Microsoft Security Bulletin MS03-007), usando el puerto TCP 80.

La mayoría de las variantes se comprimen con un software como es UPX.

Symantec Security Response ha desarrollado una herramienta para eliminar infecciones causadas por W32.HLLW.Gaobot.gen.

También conocido como: W32/Gaobot.worm.gen [McAfee], Backdoor.Agobot [Kaspersky], Phatbot

Tipo: Worm

Longitud de la infección: varies

Sistemas afectados: Windows 2000, Windows NT, Windows XP

Sistemas no afectados: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me

protección

Definiciones de virus (LiveUpdate™ Weekly)

26/11/2003

Definiciones de virus (Intelligent Updater)

24/11/2003

evaluación de peligrosidad

Salvaje

Datos de la amenaza

Salvaje: Media	Daño: Media	Distribución: Media

Daño

Disparador de carga útil: n/a
Carga útil: n/a
- Envío de mensajes a gran escala: n/a
- Elimina archivos: n/a
- Modifica archivos: n/a
- Reduce el rendimiento: n/a
- Desestabiliza el sistema: n/a
- Publica información confidencial: Permite accesos no autorizados. Sustrae las llaves de CD's de los juegos más populares para equipos de cómputo.
- Pone en peligro la configuración de seguridad: Finaliza varios procesos, correspondientes a software de antivirus y firewalls.

Distribución

Línea de asunto del mensaje de correo electrónico: n/a
Nombre del archivo adjunto: n/a
Tamaño del archivo adjunto: n/a
Fecha y hora del archivo adjunto: n/a
Puertos: Puertos TCP 135, 445, 80; conexiones salientes a un puerto 6667 de un servidor IRC.
Unidades compartidas: Intenta copiarse en recursos compartidos de red con contraseñas vulnerables.
Objetivo de la infección: Cuentas con contraseñas vulnerables; sistemas en los que no se han aplicados parches previniendo la vulnerabilidad DCOM RPC.

detalles técnicos

Un gusano de la familia de W32.HLLW.Gaobot.gen generalmente realiza las siguientes acciones:

Se copia así mismo en la carpeta %System%. El nombre del archivo varía y es seleccionado a menudo para reemplazar el nombre de archivos de sistema de Windows. Algunos ejemplos incluyen Csrrs.exe, Scvhost.exe y System.exe.

Nota: %System% es una variable. El gusano busca la carpeta del System y se copia así mismo en dicha carpeta. En forma predeterminada esta carpeta es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Agrega un valor en la forma

"<nombre clave>" = "<el nombre de archivo del gusano>"

por ejemplo:

"Configuration Loader" = "Service.exe"

a las claves del registro:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices
  con lo que el gusano se ejecuta cada vez que inicia Windows.
Puede crear una clave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<service name>

y agregar el valor en la forma:

<nombre clave> = "%System%\<el nombre de archivo del gusano>" -service

Por ejemplo:

"Configuration Loader" = "%System%\Service.exe" -service

con lo que el gusano se carga como un servicio al iniciar Windows. Los valores típicos para el <nombre del servicio> son x4 o a3, puerto pueden ser configurados con cualquier valor. El <nombre clave> será el mismo que se utiliza para la clave en el paso 2.
Se conecta a un servidor IRC, por medio de su propio cliente IRC, y después espera encontrar comando que realicen alguna de las siguientes actividades:
- Descarga y ejecución de archivos
- Robar la información del sistema
- Enviar el gusano a otros usuarios IRC
- Agregar nuevas cuentas
- Realizar un ataque de negación de servicio (DoS)
Enviar información al puerto TCP 135 para explotar la vulnerabilidad DCOM RPC, descrita en Microsoft Security Bulletin MS03-026.
Intenta conectar los siguientes recursos compartidos:
- admin$
- c$
- d$
- e$
- print$
  
  utilizando combinaciones sencillas de nombres de usuario/contraseñas, incluyendo contraseñas sin caracteres (en blanco).
  
  Lea el documento W32.HLLW.Gaobot.AA para ver la lista de nombres de usuario y contraseñas.
Se copia así mismo en cualquier equipo que se comprometiera, explotando las vulnerabilidades antes mencionadas.
Programa tareas en forma remota para ejecutar el gusano en un equipo recién infectado.
Hace una búsqueda en el registro, para robar las llaves de instalación de CD's de varios juegos.
Finaliza antivirus y firewalls así como nombres de procesos correspondientes a otros gusanos.

recomendaciones

Symantec Security Response invita a todos los usuarios y administradores a adherirse a las siguientes "mejores prácticas" básicas para su seguridad:

Desconecte y elimine todos los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como clientes de FTP, telnet y servidores de web. A través de estos servicios penetran buena parte de los ataques. Por lo tanto, si se eliminan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
Mantenga siempre el parche actualizado, sobre todo en equipos que ofrezcan servicios públicos, a los que se puede acceder a través de algún firewall como, por ejemplo, servicios HTTP, FTP, de correo y DNS.
Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños cuando un equipo es atacado o, al menos, limita esta posibilidad.
Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos .vbs, .bat, .exe, .pif y .scr.
Aísle rápidamente los equipos que resulten infectados para evitar que pongan en peligro otros equipos de su organización. Realice un análisis posterior y restaure los equipos con medios que sean de su confianza.
Instruya a sus empleados para que no abran archivos adjuntos a menos que los esperen. El software descargado desde Internet no debe ejecutarse, a menos que haya sido analizado previamente en busca de virus. Basta únicamente con visitar un sitio web infectado para que pueda infectarse si las vulnerabilidades del explorador de web no han sido correctamente corregidas con parches.

Eliminación de W32.HLLW.Gaobot.gen por medio de la herramienta
Symantec Security Response ha desarrollado una herramienta para eliminar infecciones causadas por W32.HLLW.Gaobot.gen. Esta es la forma más sencilla de eliminar las infecciones causadas por esta amenaza y debería de utilizarse en primera instancia.

Eliminación manual
Como una alternativa a la herramienta de eliminación, usted puede eliminar de forma manual esta amenaza.

Las instrucciones siguientes corresponden a todos los productos Symantec Antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.

Deshabilite Restaurar Sistema (Windows Me/XP).
Actualice las definiciones de virus.
Reinicie la computadora en modo a prueba de fallas o modo VGA
Ejecute una búsqueda completa de virus en el equipo y elimine los archivos que se detecten infectados con W32.HLLW.Gaobot.gen.
Eliminar el valor que se haya agregado el Troyano al registro.

Para detalles específicos de cada uno de estos pasos, lea las siguientes instrucciones:

Antes de comenzar:
Si está ejecutando Windows NT/2000/XP, asegúrese de llevar a cabo las siguientes acciones:

Crear una contraseña segura. Esta amenaza se aprovecha de contraseñas sencillas. Una conexión de tiempo completo, como es DSL o Cable, es considerada como una conexión de red para estos propósitos.
Aplique los parches descritos en el boletín Microsoft Security Bulletin MS03-026, referente a la vulnerabilidad DCOM RPC.
Aplique los parches descritos en el boletín Microsoft Security Bulletin MS03-007, referente a la vulnerabilidad WebDav.

1. Deshabilitar Restaurar sistema de Windows ME/XP
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft.

Nota: Una vez que concluya con el procedimiento de eliminación y esté seguro de que haya sido exitoso el proceso, vuelva a habilitar System Restore siguiendo las instrucciones antes mencionadas.

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.

2. Para actualizar definiciones de virus
Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:

Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos d definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

3. Reinicie su computadora en Modo a prueba de fallos o modo VGA

Para usuarios con equipos Windows 95, 98, Me, 2000, o XP, reinicie la computadora en Modo a prueba de fallos. Para más información, consulte el documento Cómo iniciar su equipo en Modo seguro.

Para usuarios con Windows NT 4 , reinicie su computadora en modo VGA.

4. Búsqueda y eliminación de archivos infectados

Inicie su programa de antivirus Symantec y asegúrese de que esté configurado para analizar todos los archivos.
- Para productos de consumidor Norton AntiVirus: Lea el documento, "Cómo configurar Norton Antivirus para que analice todos los archivos."
- Para productos Symantec AntiVirus Enterprise: Lea el documento, "Cómo comprobar que un producto antivirus corporativo de Symantec está configurado para analizar todos los archivos."
Ejecute una búsqueda completa de virus.
Sí se detecta algún archivo infectado por W32.HLLW.Gaobot.gen, haga clic en Eliminar.

5. Para invertir los cambios hechos en el registro

ADVERTENCIA: Symantec recomienda insistentemente que se haga una copia de respaldo del Registro antes de efectuar cualquier cambio. La realización de cambios incorrectos en el registro puede ocasionar la pérdida definitiva de datos o daños en los archivos. Modifique sólo las claves que se indiquen. Las instrucciones para hacer la copia se detallan en el documento Cómo crear una copia de respaldo del Registro de Windows.

Haga clic en Inicio y, después, en Ejecutar. (Aparecerá el cuadro de diálogo Ejecutar.)
Escriba regedit

A continuación, haga clic en Aceptar. (Se abrirá el Editor del Registro).
Busque la clave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Búsque y elimine, en el panel del lado derecho, los valores de los archivos referidos o en el paso 4 de la descripción técnica.
Desplácese a la clave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesy repita el paso d.
Búsque la clave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Haga clic en el menú Edición y después en Buscar. Búsque el valor:

-service
Si se encuentra algún valor, asegúrese de que tenga la forma:

<nombre de la clave> = "%System%\<nombre del archivo del gusano>" -service

(en donde el nombre de la clave es el mismo de que se habla en el paso d)

Por ejemplo:

"Configuration Loader" = "C:\WINNT\SYSTEM32\Service.exe" -service

Si este es el caso, elimine la subclave que contiene el valor. Por ejemplo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a3
Nota: Las variantes de este gusano no crean una clave.
Salga del registro de Windows.

Historial de revisiones:

Marzo 18 del 2004: Se agregó referencia sobre Phatbot.
Enero 26 del 2004: Se actualizaron las instrucciones de eliminación.

Escrito por: Heather Shannon