¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/SdBot.acq
Descubierto:13/12/2012
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Bajo
Fichero esttico:S
Tamao:38.400 Bytes
Suma de control MD5:a8f7dd1bac56daf489c7973583a1b057
Versin del VDF:7.11.53.216

 General Mtodo de propagacin:
   • Red local


Alias:
   •  Symantec: W32.IRCBot
   •  Mcafee: W32/Sdbot.worm.gen.bj
   •  Kaspersky: Backdoor.Win32.IRCBot.ev
   •  TrendMicro: WORM_SDBOT.BYF
   •  F-Secure: W32/Ranky.MD
   •  VirusBuster: Worm.SdBot.BCI
   •  Bitdefender: Trojan.Proxy.Ranky.EB


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Descarga un fichero daino
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea el siguiente fichero:

– Un fichero temporal, que puede ser eliminado despus:
   • r.bat

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "CalcScience"="cscientist.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "CalcScience"="cscientist.exe"



Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "CalcScience"="cscientist.exe"

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • C$\windows\system32\
   • C$\Documents and Settings\All Users\Documents\
   • C\
   • C$\shared\
   • IPC$\
   • C$\winnt\system32\
   • ADMIN$\system32\


Emplea la siguiente informacin de inicio de sesin para obtener el acceso al sistema remoto:

El siguiente listado de nombres de usuario:
   • admin
   • administrador
   • administrateur
   • administrator

El siguiente listado de contraseas:
   • 123qwe123; zaqxsw; zaq123; motdepass; fuckyou; billgate; billgates;
      intranet; staff; teacher; student1; student; user1; turnip; freddy;
      internet; nokia; qweasdzxc; zxcvbnm; 123qaz; 123qwe; qwe123; qazwsx;
      qweasd; zxc123; pass1234; passwd


 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: **********.malresearch.org.net
Puerto: 1025
Canal: #sol
Apodo: I%serie de caracteres aleatorios de cinco dgitos%


 Adems puede efectuar las siguientes operaciones:
     desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
     Realizar un anlisis de la red
     Iniciar la rutina de propagacin
    • Terminar proceso
     Se actualiza solo

 Robo de informaciones Intenta robar las siguientes informaciones:

La siguiente clave de CD:
   • Battlefield 2

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • gilettexe

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea los siguientes programas de compresin de ejecutables:
   • Morphine
   • FSG 2

Descripción insertada por Razvan Olteanu el lunes 15 de agosto de 2005
Descripción actualizada por Razvan Olteanu el martes 30 de agosto de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.