Nombre:Worm/Sdbot.41906
Descubierto:13/09/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:41.906 Bytes
Suma de control MD5:1985be77497205b2b3575f6fb194baed
Versión del VDF:6.35.01.217
Versión del IVDF:6.35.01.221

 General Métodos de propagación:
   • Red local
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Bitdefender: Backdoor.SDBot.10246257


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\csrv.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\csrv.exe"
   • "DisplayName"="Sniff Managmnet Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Sniff Managmnet Service"

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service\Enum
   • "0"="Root\LEGACY_SNIFF_MANAGMNET_SERVICE\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service\
   Security
   • "Security"=%valores hex%



Añade las siguientes claves al registro:

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001



Modifica las siguientes claves del registro:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   Valor anterior:
   • "(default)"=dword:0000000d
   Nuevo valor:
   • "(default)"=dword:0000000e

– HKLM\SYSTEM\CurrentControlSet\Control
   Valor anterior:
   • "WaitToKillServiceTimeout"="20000"
   Nuevo valor:
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   Valor anterior:
   • "UpdatesDisableNotify"=%configuración definida por el usuario%
   • "AntiVirusDisableNotify"=%configuración definida por el usuario%
   • "FirewallDisableNotify"=%configuración definida por el usuario%
   • "AntiVirusOverride"=%configuración definida por el usuario%
   • "FirewallOverride"=%configuración definida por el usuario%
   Nuevo valor:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Desactiva el cortafuego de Windows:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Nuevo valor:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Valor anterior:
   • "AUOptions"=%configuración definida por el usuario%
   Nuevo valor:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   Valor anterior:
   • "Start"=dword:00000002
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
   Valor anterior:
   • "Start"=dword:00000003
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
   Valor anterior:
   • "Start"=dword:00000002
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Messenger
   Valor anterior:
   • "Start"=dword:00000002
   Nuevo valor:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=dword:00000000
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"="Y"
   Nuevo valor:
   • "EnableDCOM"="N"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • IPC$
   • ADMIN$


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: ircstyle**********
Puerto: 6667
Contraseña del servidor: nadjoe
Canal: #yourzniff
Apodo: [P00|USA|%número%]
Contraseña: x



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Desactivar DCOM
    • desconectarse del servidor IRC
    • Descargar fichero
    • Editar el registro del sistema
    • Activar DCOM
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Registrar un servicio
    • Apagar sistema
    • Iniciar la rutina de propagación
    • Se actualiza solo

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • ^M˜A

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Teodor Onisor el viernes 22 de septiembre de 2006
Descripción actualizada por Teodor Onisor el lunes 25 de septiembre de 2006

Volver . . . .