Descripción completa

Nombre:	Worm/Sdbot.39936.13
Descubierto:	12/08/2006
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	39.936 Bytes
Suma de control MD5:	EDECDE54249650429D8BDFD1DB6B3B27
Versión del VDF:	6.35.01.84 - sábado 12 de agosto de 2006
Versión del IVDF:	6.35.01.84 - sábado 12 de agosto de 2006

General Método de propagación:
   • Red local

Alias:
   • Symantec: W32.Spybot.Worm
   • Sophos: W32/Sdbot-BND
   • VirusBuster: Worm.SdBot.CQJ
   • Eset: IRC/SdBot

Plataformas / Sistemas operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\svchostwin32

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%WINDIR%\svchostwin32
   • "DisplayName"="Win32 Network Update"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%valores hex%
   • "Description"="SVCWin32 Update"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update\Enum]
   • "0"="Root\\LEGACY_SVCWIN32UPDATE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update\Security]
   • "Security"=hex:%valores hex%

Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Valor anterior:
   • "AUOptions"=%configuración definida por el usuario%
   Nuevo valor:
   • "AUOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Valor anterior:
   • "EnableFirewall"=%configuración definida por el usuario%
   Nuevo valor:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Valor anterior:
   • "EnableFirewall"=%configuración definida por el usuario%
   Nuevo valor:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "UpdatesDisableNotify"=%configuración definida por el usuario%
   • "AntiVirusDisableNotify"=%configuración definida por el usuario%
   • "FirewallDisableNotify"=%configuración definida por el usuario%
   • "AntiVirusOverride"=%configuración definida por el usuario%
   • "FirewallOverride"=%configuración definida por el usuario%
   Nuevo valor:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • "restrictanonymous"=%configuración definida por el usuario%
   Nuevo valor:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Valor anterior:
   • "AutoShareWks"=%configuración definida por el usuario%
   • "AutoShareServer"=%configuración definida por el usuario%
   Nuevo valor:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
   parameters]
   Valor anterior:
   • "AutoShareWks"=%configuración definida por el usuario%
   • "AutoShareServer"=%configuración definida por el usuario%
   Nuevo valor:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Valor anterior:
   • "DoNotAllowXPSP2"=%configuración definida por el usuario%
   Nuevo valor:
   • "DoNotAllowXPSP2"=dword:00000001

– [HKLM\Software\Microsoft\OLE]
   Valor anterior:
   • "EnableDCOM"=%configuración definida por el usuario%
   Nuevo valor:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Valor anterior:
   • "WaitToKillServiceTimeout"=%configuración definida por el usuario%
   Nuevo valor:
   • "WaitToKillServiceTimeout"="7000"

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • C$
   • ADMIN$
   • IPC$
   • %todas las carpetas compartidas%

Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.

Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: %SYSDIR%\eraseme_%número%.exe

Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: free.backendportal.**********
Puerto: 8080
Canal: #prom
Apodo: [P00|USA|%serie de caracteres aleatorios%]
Contraseña: tru00

Servidor: win32.onlinewebportal.**********
Puerto: 8080
Canal: #prom
Apodo: [P00|USA|%serie de caracteres aleatorios%]
Contraseña: tru00

Servidor: free.backendportal.**********
Puerto: 8080
Canal: #prom
Apodo: [P00|USA|%serie de caracteres aleatorios%]
Contraseña: tru00

Servidor: free.avupdates.**********
Puerto: 8080
Canal: #prom
Apodo: [P00|USA|%serie de caracteres aleatorios%]
Contraseña: tru00

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema

– Además puede efectuar las siguientes operaciones:
    • Desactivar la opción de compartir recursos en la red
    • Descargar fichero
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Realizar un análisis de la red
    • Apagar sistema
    • Iniciar la rutina de propagación
    • Se actualiza solo

Finalización de los procesos Listado de los servicios desactivados:
   • Windows Firewall/ICS
   • Security Center
   • Messenger
   • Remote Registry
   • Telnet

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• Multiply NetAssets

Técnicas anti-debugging
Verifica si está funcionando el siguiente programa:
• SoftIce

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Iulia Diaconescu el miércoles 25 de octubre de 2006
Descripción actualizada por Iulia Diaconescu el lunes 6 de noviembre de 2006

Volver . . . .