¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/SdBot.571392.1
Descubierto:20/02/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:571.392 Bytes
Suma de control MD5:672ebe523a7ebd0A884b5cb7d7dd3888
Versión del IVDF:7.00.02.168 - miércoles, 20 de febrero de 2008

 General Métodos de propagación:
   • Red local
   • Peer to Peer


Alias:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.cqd
   •  F-Secure: Backdoor.Win32.SdBot.cqd
   •  Sophos: W32/Sdbot-DKD
   •  Grisoft: IRC/BackDoor.SdBot3.YIN
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.DFPJ


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\svchost.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %WINDIR%\svchost.exe
   • DisplayName = Generic Host Process for Win-32 Service
   • ObjectName = LocalSystem
   • FailureActions = %valores hex%
   • Description = Generic Host Process for Win-32 Service

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service\Security]
   • Security = %valores hex%



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Nuevo valor:
   • %serie de caracteres aleatorios% = %ficheros ejecutados%

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • shell = explorer.exe
   Nuevo valor:
   • shell = explorer.exe %WINDIR%\svchost.exe

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • sfcdisable = 1113997
   • sfcscan = 0

– [HKLM\Software\Microsoft\Security Center]
   Nuevo valor:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalloverride = 1
   • updatesdisablenotify = 1

– [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   Nuevo valor:
   • donotallowxpsp2 = 1

– [HKLM\Software\Symantec\LiveUpdate Admin]
   Nuevo valor:
   • enterprise security manager = 1
   • ghost = 1
   • intruder alert = 1
   • liveadvisor = 1
   • liveupdate = 1
   • netrecon = 1
   • norton antivirus product updates = 1
   • norton antivirus virus definitions = 1
   • norton cleansweep = 1
   • norton commander = 1
   • norton internet security = 1
   • norton Systemworks = 1
   • norton utilities = 1
   • pc handyman and healthypc = 1
   • pcanywhere = 1
   • rescue disk = 1
   • symantec desktop firewall = 1
   • symantec gateway security ids = 1
   • symevent = 1

– [HKLM\System\CurrentControlSet\Services\wscsvc]
   Nuevo valor:
   • start = 4

– [HKLM\Software\Microsoft\OLE]
   Nuevo valor:
   • enabledcom = 78

– [HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Nuevo valor:
   • auoptions = 1

– [HKLM\System\CurrentControlSet\Control\ServiceCurrent]
   Nuevo valor:
   • @ = 9

– [HKLM\System\CurrentControlSet\Control]
   Nuevo valor:
   • waittokillservicetimeout = 7000

– [HKLM\System\CurrentControlSet\Control\LSA]
   Nuevo valor:
   • restrictanonymous = 1

– [HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
   Nuevo valor:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\LanManWorkstation\
   Parameters]
   Nuevo valor:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\Messenger]
   Nuevo valor:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\RemoteRegistry]
   Nuevo valor:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\tlntsvr]
   Nuevo valor:
   • start = 4

Desactiva el cortafuego de Windows:
– [HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Nuevo valor:
   • enablefirewall = 0

– [HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Nuevo valor:
   • enablefirewall = 0

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuevo valor:
   • disableregistrytools = 1
   • disabletaskmgr = 1

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


   Extrae la carpeta compartida tras emplear la siguiente clave del registro:
   • SOFTWARE\Kazaa\LocalContent\DownloadDir


 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: www.worldcasino.to
Puerto: 80
Apodo: [P00|USA|%número%]



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseñas guardadas
    • Velocidad del procesador
    • Usuario actual
    • Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opción de compartir recursos en la red
    • Descargar fichero
    • Editar el registro del sistema
    • Activar la opción para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Realizar un análisis de la red
    • Iniciar la rutina de propagación
    • Terminar proceso viral
    • Terminar proceso

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********

De esta forma, puede enviar informaciones y obtener el control remoto.

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • www.google.com


Técnicas anti-debugging
Verifica si está funcionando uno de los siguientes programas:
   • Softice
   • Wine
   • FileMon
   • Regmon

Al encontrarlos, termina su ejecución de inmediato.
Si logra hacerlo, no crea ningún fichero.


Modificación del fichero:
Es capaz de modificar el fichero sfc_os.dll en offset 0000E2B8 para inhabilitar Windows File Protection (WFP). WFP sirve para evitar algunos de los problemas actuales que causa inconsistencias con el DLL.

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el lunes, 16 de junio de 2008
Descripción actualizada por Robert Harja Iliescu el jueves, 24 de julio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.