Sadhound

SADHOUND, gusano/troyano/backdoor de propagación masiva vía Correo controla remotamente vía Chat.

W32/Sadhound@mm, Troj/Sadhound, I-worm.sadhound@mm

Sadhound es un gusano/troyano/backdoor, originario de Holanda, reportado el 31 de Enero del 2003 (+1 GMT) de propagación masiva vía mensajes de correo, con 3 archivos anexados, que infecta con tan solo visualizar el mensaje debido a la vulnerabilidad del MIME exploit, que ejecuta el archivo bajo la opción de vista previa del software de correo MS Outlook y Outlook Express.

El gusano libera un nocivo troyano/backdoor y a través del IRC (Internet Chat Relay) recibe el control de su software Backdoor Cliente.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

El backdoor está desarrollado en Visual C++ con una extensión de 11KB y comprimido con el utilitario PECompact

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Al ejecutar el archivo, se auto-copia al directorio %Windir% con el nombre de Missingyou.htm y para activarse la próxima vez que se inicie el sistema genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"default" = C:\%Windir%\missingyou.htm

Al ser activado el gusano, libera un troyano/backdoor de nombre MSWINS0CK.EXE el cual crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft auto update" = C:\%Windir%\MSWINS0CK.EXE

Luego crea un archivo de texto en la carpeta temporal de Windows:

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

Para difundirse por el IRC (Internet Chat Relay) el archivo MSWINS0CK.EXE sobre-escribe el SCRIPT.INI del software mIRC en la carpetas C:\mIRC y C:\Archivos de programa\mIRC. Este archivo infectado, actuando como Backdoor Servidor, buscará un canal de Chat, desde el cual recibirá instrucciones del hacker que posea el Backdoor Cliente, quien tomará control del sistema infectado.

El parche para el MIME exploit puede ser descargado de:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Sus payloads son los siguientes:

Activa y desactiva el equipo, lo suspende o apaga.
Captura información de la configuración del servidor y de las estaciones de trabajo.
Roba claves de acceso y números de tarjetas de crédito.
Control de Acceso Remoto de los archivos y programas de los sistemas atacados.
Opciones de bromas tales como efectos de luces del teclado, activación y desactivación del monitor, teclado, mouse, etc.

PER ANTIVIRUS® versión 7.8 y 7.9 con registro de virus al 31 de Enero del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 6 horas entre Perú (-5 GMT) y Holanda (+1 GMT)