Nombre:Worm/Sdbot.129024.27
Descubierto:30/11/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Bajo
Fichero estático:
Tamaño:129.024 Bytes
Suma de control MD5:f50ba23cf5bf5a3c0d65b28bdd346282
Versión del VDF:6.35.01.99
Versión del IVDF:6.35.01.100 - miércoles 16 de agosto de 2006

 General Método de propagación:
   • Red local


Alias:
   •  Grisoft: IRC/BackDoor.SdBot2.GDM
   •  Eset: Win32/IRCBot.SW
   •  Bitdefender: Trojan.FirewallBypass


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\shoutcast.exe



Elimina la copia inicial del virus.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\shoutcast.exe"="%SYSDIR%\shoutcast.exe:*:Enabled:SHOUTCAST
      for Windows NT"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\ProductName\ProductID]


Modifica las siguientes claves del registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Valor anterior:
   • "DoNotAllowXPSP2"=%configuración definida por el usuario%
     "DoNotAllowXPSP3"=%configuración definida por el usuario%
   Nuevo valor:
   • "DoNotAllowXPSP2"=dword:00000001
     "DoNotAllowXPSP3"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\security center]
   Valor anterior:
   • "FirewallDisableNotify"=%configuración definida por el usuario%
     "UpdatesDisableNotify"=%configuración definida por el usuario%
     "AntiVirusDisableNotify"=%configuración definida por el usuario%
     "AntiVirusOverride"=%configuración definida por el usuario%
     "FirewallOverride"=%configuración definida por el usuario%
   Nuevo valor:
   • "FirewallDisableNotify"=dword:00000001
     "UpdatesDisableNotify"=dword:00000001
     "AntiVirusDisableNotify"=dword:00000001
     "AntiVirusOverride"=dword:00000001
     "FirewallOverride"=dword:00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • C$
   • D$


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

–Contraseñas y nombres de usuarios almacenados.

– Un listado de nombres de usuario y contraseñas:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      administrateur; root; admin



Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: fbi32.cheapdf.**********
Puerto: 9568
Canal: #asn
Apodo: %versión de Windows% |USA|%serie de caracteres aleatorios de dos dígitos%
Contraseña: owned



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Usuario actual
    • Informaciones acerca de la red


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opción de compartir recursos en la red
    • Descargar fichero
    • Activar la opción para compartir recursos en la red
    • Ingresar a un canal IRC
    • Realizar un análisis de la red
    • Enviar mensajes de correo
    • Se actualiza solo
    • Visitar un sitio web

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios es redirigido a otras destinaciones:
   • www.virustotal.com
   • virusscan.jotti.org
   • sandbox.norman.no




El fichero host modificado se verá así:


 Finalización de los procesos Listado de los procesos finalizados:
   • taskmgr.exe; process.exe; mmc.exe; regedit32.exe; regedit.exe;
      msconfig.exe; pccpfw.exe; kpf4gui.exe; fsguiexe.exe; efpeadm.exe;
      persfw.exe; zlclient.exe; Smc.exe; fsdfwd.exe; blackd.exe;
      MpfService.exe; nisum.exe; hijackthis.exe; MSASCui.exe; MsMpEng.exe;
      unregaaw.exe; blindman.exe; TeaTimer.exe; SpyCatcher.exe;
      swdoctor.exe; Tmas.exe; MssCli.exe; PPActiveDetection.exe;
      SpySweeper.exe; sunasServ.exe; Ad-Aware.exe; SpybotSD.exe;
      gcasServ.exe; Tmntsrv.exe; avgcc.exe; AVENGINE.EXE; ashAvast.exe;
      AVWIN.EXE; ntrtscan.exe; Mcshield.exe; fsav32.exe; AVKWCtl.exe;
      NAVAPSVC.exe


 Informaciones diversas Objeto mutex:


Crea uno de los siguientes objetos mutex:
   • prison
   • owned

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ENIGMA

Descripción insertada por Monica Ghitun el jueves 30 de noviembre de 2006
Descripción actualizada por Monica Ghitun el jueves 11 de enero de 2007

Volver . . . .