08 de noviembre 2004
Conocido como:
Backdoor.Win32.Agobot.gen [Kas
Tipo:
Gusano
Sistemas afectados:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows Server 2003, Windows XP
W32.Gaobot.BQJ es un gusano de red consciente de que abre una puerta trasera y se puede controlar a trav�s de canales IRC. Tambi�n se intenta reducir la configuraci�n de seguridad de los procesos de terminaci�n y bloqueando el acceso a sitios Web relacionados con la seguridad. Se propaga explotando vulnerabilidades, ya trav�s de puertas traseras abiertas por otras amenazas maliciosas.
Eliminaci�n de las entradas del archivo Hosts
Si esta amenaza se ha modificado el archivo hosts de Windows, hay dos formas de eliminar estas entradas:
Edite manualmente el archivo Hosts y elimine todas las entradas que el gusano a�adido.
Para editar manualmente el archivo Hosts y elimine todas las entradas que el gusano a�adido
Nota: La ubicaci�n del archivo hosts puede variar y algunos equipos no pueden tener este archivo. Por ejemplo, si el archivo existe en Windows 98, por lo general estar� en C: \ Windows y que se encuentra en el directorio C: \ WINNT \ system32 \ drivers \ etc en Windows 2000. Tambi�n puede haber varias copias de este archivo en diferentes lugares.
Siga las instrucciones para su sistema operativo:
Windows XP
Haga clic en Inicio> Buscar.
Haga clic en Todos los archivos y carpetas.
En el "Todo o parte del nombre de archivo", escriba:
hosts
Compruebe que "Look in" est� ajustado a "Discos duros locales" o (C :).
Haga clic en M�s opciones avanzadas.
Compruebe carpetas de b�squeda del sistema.
Compruebe Buscar en subcarpetas.
Haga clic en Buscar.
Haga clic en Buscar ahora o Buscar ahora.
Para cada archivo Hosts que encuentre, haga clic en el archivo y, a continuaci�n, haga clic en Abrir con.
Deseleccione la opci�n Utilizar siempre este programa para abrir este cuadro de verificaci�n del programa.
Despl�cese por la lista de programas y haga doble clic en Bloc de notas.
Cuando se abre el archivo, borrar todas las entradas en el paso seis del "Detalles t�cnicos".
Cierra el Bloc de notas y guardar los cambios cuando se le solicite.
Nivel de invasi�n: Low
N�mero de infecciones: 0 - 49
N�mero de sitios: 3 - 9
Distribuci�n geogr�fica: Low
Contenci�n de las amenazas: F�cil
Eliminaci�n: Moderado
A continuaci�n, haga clic en Aceptar. (El Editor del Registro se abre.)
Vaya a las claves:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
Elimine el valor:
"Bcvsrv32" = "bcvsrv32.exe"
Vaya a la clave:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
En el panel izquierdo eliminar la subclave siguiente:
bcyws
Salir de la edici�n del registro
Da�o
Nivel del da�o: Medium
Distribuci�n
Nivel de distribuci�n: Medium
Cuando W32.Gaobot.BQJ se ejecuta, realiza las siguientes acciones:
Crea la siguiente copia de s� mismo:
% System% \ bcvsrv32.exe
A�ade el valor:
"Bcvsrv32" = "bcvsrv32.exe"
a las claves del registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \RunServices
de modo que el gusano se ejecuta cada vez que se inicia Windows.
Crea un servicio cuya presentaci�n y entrega de nombre son "bcyws".
Crea la siguiente clave del registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ bcyws
Se conecta a un servidor IRC determinado en el puerto TCP 7000 y espera comandos de un atacante.
Esto permite al atacante realizar algunas de las acciones siguientes en el equipo infectado:
Descargar y ejecutar archivos
Busque en la red
Lista, detener e iniciar procesos
Iniciar, detener y registrar los servicios de
Eliminar, crear y archivos de lista
Lanzamiento de denegaci�n de servicio (DoS)
Realizar redirecci�n de puertos
Iniciar un servidor proxy socks
Inicie un servidor FTP
Robar claves de producto de Windows
Entrar pulsaciones
Comience identd en el puerto TCP 113
Agregar o eliminar acciones locales
Abre tres elegidos al azar los puertos TCP.
Los intentos de infectar a otros ordenadores mediante la b�squeda de puertas traseras abiertas por otras amenazas maliciosas y aprovechando las siguientes vulnerabilidades:
El Microsoft Windows Workstation Service remoto Vulnerabilidad de desbordamiento de b�fer (descrita en Microsoft Security Bulletin MS03-049).
El Microsoft Windows WebDAV Buffer Overflow Vulnerability (descrita en Microsoft Security Bulletin MS03-007).
El Microsoft UPnP NOTIFY Buffer Overflow Vulnerability (descrita en Microsoft Security Bulletin MS01-059).
El Microsoft SQL Server Autenticaci�n Remota Buffer Overflow Vulnerability (descrita en Microsoft Security Bulletin MS02-056).