¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/SdBot.571392.1
Descubierto:20/02/2008
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:571.392 Bytes
Suma de control MD5:672ebe523a7ebd0A884b5cb7d7dd3888
Versin del IVDF:7.00.02.168 - miércoles 20 de febrero de 2008

 General Mtodos de propagacin:
   • Red local
   • Peer to Peer


Alias:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.cqd
   •  F-Secure: Backdoor.Win32.SdBot.cqd
   •  Sophos: W32/Sdbot-DKD
   •  Grisoft: IRC/BackDoor.SdBot3.YIN
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.DFPJ


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\svchost.exe



Elimina la copia inicial del virus.

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %WINDIR%\svchost.exe
   • DisplayName = Generic Host Process for Win-32 Service
   • ObjectName = LocalSystem
   • FailureActions = %valores hex%
   • Description = Generic Host Process for Win-32 Service

[HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service\Security]
   • Security = %valores hex%



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Nuevo valor:
   • %serie de caracteres aleatorios% = %ficheros ejecutados%

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • shell = explorer.exe
   Nuevo valor:
   • shell = explorer.exe %WINDIR%\svchost.exe

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • sfcdisable = 1113997
   • sfcscan = 0

[HKLM\Software\Microsoft\Security Center]
   Nuevo valor:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalloverride = 1
   • updatesdisablenotify = 1

[HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   Nuevo valor:
   • donotallowxpsp2 = 1

[HKLM\Software\Symantec\LiveUpdate Admin]
   Nuevo valor:
   • enterprise security manager = 1
   • ghost = 1
   • intruder alert = 1
   • liveadvisor = 1
   • liveupdate = 1
   • netrecon = 1
   • norton antivirus product updates = 1
   • norton antivirus virus definitions = 1
   • norton cleansweep = 1
   • norton commander = 1
   • norton internet security = 1
   • norton Systemworks = 1
   • norton utilities = 1
   • pc handyman and healthypc = 1
   • pcanywhere = 1
   • rescue disk = 1
   • symantec desktop firewall = 1
   • symantec gateway security ids = 1
   • symevent = 1

[HKLM\System\CurrentControlSet\Services\wscsvc]
   Nuevo valor:
   • start = 4

[HKLM\Software\Microsoft\OLE]
   Nuevo valor:
   • enabledcom = 78

[HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Nuevo valor:
   • auoptions = 1

[HKLM\System\CurrentControlSet\Control\ServiceCurrent]
   Nuevo valor:
   • @ = 9

[HKLM\System\CurrentControlSet\Control]
   Nuevo valor:
   • waittokillservicetimeout = 7000

[HKLM\System\CurrentControlSet\Control\LSA]
   Nuevo valor:
   • restrictanonymous = 1

[HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
   Nuevo valor:
   • autoshareserver = 0
   • autosharewks = 0

[HKLM\System\CurrentControlSet\Services\LanManWorkstation\
   Parameters]
   Nuevo valor:
   • autoshareserver = 0
   • autosharewks = 0

[HKLM\System\CurrentControlSet\Services\Messenger]
   Nuevo valor:
   • start = 4

[HKLM\System\CurrentControlSet\Services\RemoteRegistry]
   Nuevo valor:
   • start = 4

[HKLM\System\CurrentControlSet\Services\tlntsvr]
   Nuevo valor:
   • start = 4

Desactiva el cortafuego de Windows:
[HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Nuevo valor:
   • enablefirewall = 0

[HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Nuevo valor:
   • enablefirewall = 0

Desactivar Regedit y el Administrador de Tareas:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuevo valor:
   • disableregistrytools = 1
   • disabletaskmgr = 1

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


   Extrae la carpeta compartida tras emplear la siguiente clave del registro:
   • SOFTWARE\Kazaa\LocalContent\DownloadDir


 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: www.worldcasino.to
Puerto: 80
Apodo: [P00|USA|%nmero%]



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseas guardadas
    • Velocidad del procesador
    • Usuario actual
     Informaciones acerca de los controladores de dispositivos
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de los procesos del sistema
    • Tamao de la memoria
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     Iniciar ataques DDoS por desbordamiento de ICMP
     Iniciar ataques DDoS por desbordamiento de SYN
     Iniciar ataques DDoS por desbordamiento de UDP
    • Desactivar la opcin de compartir recursos en la red
    • Descargar fichero
    • Editar el registro del sistema
    • Activar la opcin para compartir recursos en la red
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
     Realizar un anlisis de la red
     Iniciar la rutina de propagacin
    • Terminar proceso viral
    • Terminar proceso

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********

De esta forma, puede enviar informaciones y obtener el control remoto.

 Robo de informaciones Intenta robar las siguientes informaciones:
 Contraseas guardadas, empleadas por la funcin AutoComplete
 Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Informaciones diversas  Para buscar una conexin a Internet, contacta el siguiente sitio web:
   • www.google.com


Tcnicas anti-debugging
Verifica si est funcionando uno de los siguientes programas:
   • Softice
   • Wine
   • FileMon
   • Regmon

Al encontrarlos, termina su ejecucin de inmediato.
Si logra hacerlo, no crea ningn fichero.


Modificacin del fichero:
Es capaz de modificar el fichero sfc_os.dll en offset 0000E2B8 para inhabilitar Windows File Protection (WFP). WFP sirve para evitar algunos de los problemas actuales que causa inconsistencias con el DLL.

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Andrei Gherman el lunes 16 de junio de 2008
Descripción actualizada por Robert Harja Iliescu el jueves 24 de julio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.