¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/SdBot.acq
Descubierto:13/12/2012
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:38.400 Bytes
Suma de control MD5:a8f7dd1bac56daf489c7973583a1b057
Versión del VDF:7.11.53.216

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.IRCBot
   •  Mcafee: W32/Sdbot.worm.gen.bj
   •  Kaspersky: Backdoor.Win32.IRCBot.ev
   •  TrendMicro: WORM_SDBOT.BYF
   •  F-Secure: W32/Ranky.MD
   •  VirusBuster: Worm.SdBot.BCI
   •  Bitdefender: Trojan.Proxy.Ranky.EB


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Descarga un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea el siguiente fichero:

– Un fichero temporal, que puede ser eliminado después:
   • r.bat

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "CalcScience"="cscientist.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "CalcScience"="cscientist.exe"



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "CalcScience"="cscientist.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • C$\windows\system32\
   • C$\Documents and Settings\All Users\Documents\
   • C\
   • C$\shared\
   • IPC$\
   • C$\winnt\system32\
   • ADMIN$\system32\


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • admin
   • administrador
   • administrateur
   • administrator

– El siguiente listado de contraseñas:
   • 123qwe123; zaqxsw; zaq123; motdepass; fuckyou; billgate; billgates;
      intranet; staff; teacher; student1; student; user1; turnip; freddy;
      internet; nokia; qweasdzxc; zxcvbnm; 123qaz; 123qwe; qwe123; qazwsx;
      qweasd; zxc123; pass1234; passwd


 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: **********.malresearch.org.net
Puerto: 1025
Canal: #sol
Apodo: I%serie de caracteres aleatorios de cinco dígitos%


– Además puede efectuar las siguientes operaciones:
    • desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Realizar un análisis de la red
    • Iniciar la rutina de propagación
    • Terminar proceso
    • Se actualiza solo

 Robo de informaciones Intenta robar las siguientes informaciones:

– La siguiente clave de CD:
   • Battlefield 2

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • gilettexe

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
   • Morphine
   • FSG 2

Descripción insertada por Razvan Olteanu el lunes, 15 de agosto de 2005
Descripción actualizada por Razvan Olteanu el martes, 30 de agosto de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.