Nombre:Worm/SdBot.64512.25
Descubierto:24/03/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:63.488 Bytes
Suma de control MD5:D8A64BA6A689014C85A43402453E3394
Versión del VDF:6.34.00.91 - viernes 24 de marzo de 2006
Versión del IVDF:6.34.00.91 - viernes 24 de marzo de 2006

 General Métodos de propagación:
   • Red local
   • Messenger


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.afg
   •  TrendMicro: WORM_SDBOT.DXL
   •  Sophos: W32/Sdbot-BND
   •  VirusBuster: Worm.SdBot.BWH
   •  Eset: Win32/Rbot


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\hp-1003.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "File Mapping Services"="hp-1003.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "File Mapping Services"="hp-1003.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "File Mapping Services"="hp-1003.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "File Mapping Services"="hp-1003.exe"



Añade las siguientes claves al registro:

– [HKLM\Software\Microsoft\OLE]
   • "File Mapping Services"="hp-1003.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "File Mapping Services"="hp-1003.exe"

– [HKCU\Software\Microsoft\OLE]
   • "File Mapping Services"="hp-1003.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "File Mapping Services"="hp-1003.exe"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • admin$
   • Admin$\system32
   • ipc$
   • c$


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: backup.daw00dbhai.**********
Puerto: 8585
Canal: #back
Apodo: %serie de caracteres aleatorios%

Servidor: backup.d0d0n0.**********
Puerto: 8585
Canal: #back
Apodo: %serie de caracteres aleatorios%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • ID de la plataforma
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Nombre de usuario


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Desactivar DCOM
    • Desactivar la opción de compartir recursos en la red
    • desconectarse del servidor IRC
    • Descargar fichero
    • Activar DCOM
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
    • Realizar un análisis de la red
    • Iniciar la rutina de propagación
    • Terminar proceso viral
    • Se actualiza solo
    • Cargar fichero en Internet

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete

– La contraseña del programa:
   • MSN

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • trinkel

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Iulia Diaconescu el viernes 20 de octubre de 2006
Descripción actualizada por Iulia Diaconescu el martes 24 de octubre de 2006

Volver . . . .