Sdbot.AE

SDBOT.AE destructivo troyano/backdoor roba información controla remotamente ocasiona ataques DoS.

W32/Sdbot.AE, SdBot.AE/IRC

Sdbot.AE es un destructivo troyano/backdoor reportado el 26 de Octubre del 2004, que se propaga a través de las Redes con recursos compartidos. Infecta con un archivo de nombre Samx.exe, captura y envía información al autor del virus a través del IRC (Internet Chat Relay) usando el puerto TCP 1936.

Descarga archivos, los ejecuta, roba claves de CD de populares juegos de PC y ocasiona ataques DoS a determinadas direcciones IP que se encuentran cifradas en su código viral.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Una vez ingresado a un sistema se auto-copia a la carpeta %System% con el nombre de Samx.exe y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"FireWire Driver" = "%System%\samx.exe"
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices]
"FireWire Driver" = "%System%\samx.exe"
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FireWire Driver" = "%System%\samx.exe"
[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FireWire Driver" = "%System%\samx.exe"
[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FireWire Driver" = "%System%\samx.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente re-inicio crea el servicio FireWire Driver que apunta a "%System%\samx.exe" -netsvcs

Actuando como Backdoor se conecta a un servidor IRC (Internet Chat Relay) a través del puerto TCP 9136 en uno de los siguientes servidores:

cent2cent.gotdns.com
cntrx.ath.cx

desde donde recibirá comandos en forma remota del creador del virus y ejecutará una diversidad de acciones nocivas, tales como:

Captura la información relacionada a los sistemas
Se conecta a una dirección URL
Envía y descarga archivos
Ejecuta programas
Rastrea puertos abiertos en otros sistemas con IP's aleatorias.
Activa un servidor HTTP
Activa un servidor FTP

roba claves de CD de populares juegos de PC:

Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
Neverwinter Nights
Soldier of Fortune II - Double Helix
Software\Activision\Soldier of Fortune II - Double Helix
Hidden & Dangerous 2
Chrome
NOX
Command and Conquer: Red Alert 2
Command and Conquer: Red Alert
Command and Conquer: Tiberian Sun
Rainbow Six III RavenShield
Nascar Racing 2003
Nascar Racing 2002
NHL 2003
NHL 2002
FIFA 2003
FIFA 2002
Shogun: Total War: Warlord Edition
Need For Speed: Underground
Need For Speed Hot Pursuit 2
Medal of Honor: Allied Assault: Spearhead
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault
Global Operations
Command and Conquer: Generals
James Bond 007: Nightfire
Command and Conquer: Generals (Zero Hour)
Black and White
Battlefield Vietnam
Battlefield 1942 (Secret Weapons of WWII)
Battlefield 1942 (Road To Rome)
Battlefield 1942
Freedom Force
IGI 2: Covert Strike
Unreal Tournament 2004
Unreal Tournament 2003
Soldiers Of Anarchy
Legends of Might and Magic
Industry Giant 2
Half-Life
Gunman Chronicles
The Gladiators
Counter-Strike

Finalmente el gusano intenta ocasionar una Negación de Servicio o ataque DOS a determinadas direcciones IP que se encuentran cifradas en su código viral.

Los payloads de este troyano/backdoor son los siguientes:

Se propaga a través de redes con recursos compartidos.
Se conecta a través de un puerto TCP a dos canales de Chat.
Captura y envía información del sistema al autor del virus.
Descarga y ejecuta archivos.
Captura las llaves de CD de populares juegos de PC.
Ejecuta ataques DoS de saturación SYN, PING y UPD a determinadas direcciones URL.

PER ANTIVIRUS® versión 8.9 con registro de virus al 26 de Octubre del 2004 detecta y elimina eficientemente este troyano/backdoor.