W32.Gaobot.BAJ là loại sâu lây nhiễm qua các tài nguyên chia sẻ mang và có khả năng sử dụng thành phần cổng sau của họ Mydoom để phát tán tới các máy tính khác. Sâu cũng cho phép kẻ tấn công có thể truy cập trái phép tới máy tính nạn nhân thông qua một kênh IRC định trước.
W32.Gaobot.BAJ vừa xuất hiện hôm 2-8. Khi thực thi, W32.Gaobot.BAJ sẽ thực hiện các tác vụ sau:
- Tự nhân bản vào thư mục "%System%\wmon32.exe". Chú ý: "%System%" là một biến và sâu có thể tự xác định được vị trí của thư mục hệ thống và nhân bản vào đó. Theo mặc định, vị trí của thư mục hệ thống là: C:\Windows\System (Windows 95/98/Me); C:\Winnt\System32 (Windows NT/2000); hoặc C:\Windows\System32 (Windows XP).
- Khóa registry sau để sâu có thể tự động chạy khi hệ thống khởi động.
- Kết nối tới một máy chủ IRC từ xa tại cổng 6667, và lắng nghe lệnh từ kẻ tấn công. Lệnh bao gồm: Tải và thực thi file; Quét mạng; Liệt kê, ngừng và khởi động các tiến trình; Kiểm soát file hệ thống (xoá, tạo và liệt kê các file); Khởi phát các cuộc tấn công từ chối dịch vụ (DoS); Chuyển cổng; Đánh cắp thông tin hệ thống và gửi e-mail tới kẻ tấn công.
- Quét các máy tính trên mạng và cố kết nối tới các tài nguyên chia sẻ nhờ sử dụng danh sách tên truy cập và mật khẩu có sẵn. Nếu thành công, sâu sẽ phát tán tới một máy khác.
- Quét máy tính bị lây nhiễm các biến thể của Mydoom. Nếu tìm thấy các biến thể này, W32.Gaobot.BAJ sẽ sử dụng thành phần cổng sau của Mydoom để copy sang một máy tính khác.
- Đánh cắp các khoá CD của các chương trình game sau: Command & Conquer Generals, FIFA 2003, Need For Speed Hot Pursuit 2, Soldier of Fortune II - Double Helix, Neverwinter, Rainbow Six III RavenShield, Battlefield 1942 Road To Rome, Project IGI 2, Counter-Strike, Unreal Tournament 2003, Half-Life.