¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/SdBot.34709
Descubierto:29/11/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:34.709 Bytes
Suma de control MD5:3d6bd481eb390817f5599465dffc7986
Versión del VDF:6.32.00.234

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Randex
   •  TrendMicro: WORM_SDBOT.CKX
   •  Sophos: W32/Sdbot-Fam
   •  Panda: W32/Sdbot.FTB.worm
   •  VirusBuster: Worm.SdBot.BPA
   •  Bitdefender: Backdoor.SDBot.7897B21C


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\richword.exe

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Alleria" = "richword.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Alleria" = "richword.exe"

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Alleria" = "richword.exe"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • IPC$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– Un listado de nombres de usuario y contraseñas:
   • oeminstall; staff; teacher; student1; student; afro; turnip; glen;
      freddy; fred; bill; intranet; lan; nokia; ctx; headoffice; main;
      userpassword; capitol; winpass; blank; office; mass; control; pink;
      yellow; siemens; compaq; dell; cisco; sqlpass; sql; db1234; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; access;
      database; domainpassword; domainpass; domain; orange; heaven; fish;
      hell; god; sex; fuck; exchnge; exchange; backup; technical; sage; owa;
      loginpass; login; katie; kate; bruce; barbara; sam; ron; luke; peter;
      john; mike; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k; win98;
      windows; oemuser; oem; user1; user; homeuser; home; accounting;
      accounts; internet; www; web; default; changeme; none; guest; test;
      007; 121; adm; admin; administrateur; administrator; pass1234;
      password1; pwd; pass; passwd; password


 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: comto.my**********
Puerto: 5570
Canal: #sk
Apodo: %serie de caracteres aleatorios de ocho dígitos%


– Además puede efectuar la siguiente operación:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Descargar fichero
    • Ejecutar fichero
    • Se actualiza solo

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • swapme

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • MEW

Descripción insertada por Irina Boldea el martes, 11 de abril de 2006
Descripción actualizada por Irina Boldea el martes, 11 de abril de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.