|
W32/Sdbot.AGZ, SdBot.AGZ/IRC
|
Sdbot.AGZ es un destructivo gusano/backdoor residente en memoria reportado el 13 de Diciembre del 2005, que se propaga a través de redes
con recursos compartidos configuradas con contraseñas débiles, además de servidores MS-SQL.
Infecta con un archivo de nombre Flxper.exe, activa un BOT de IRC (Internet Chat Relay) y ejecuta diversas acciones en forma remota, incluso buscando vulnerabilidades de los sistemas operativos y ocasionando ataques DoS. |
Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 59 KB
Recordemos que un BOT es la abreviatura de "robot" que se aplica a un programa que contiene instrucciones para actuar en forma independiente, pudiendo realizar una diversidad de comandos o acciones en forma automática.
Existen cada vez mas sitios web que distribuyen gratuitamente BOTS de IRC:
Una vez ingresado a un sistema se auto-copia a la carpeta %System% con el nombre de Flxper.exe y para activarse la siguiente vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el gusano rastrea direcciones de redes con recursos compartidos configuradas con nombres de usuarios y contraseñas débiles buscando copiarse a las siguientes carpetas:
para lo cual usa una extensa lista de nombres y contraseñas compilada en su código.
Actuando como Backdoor emplea un Bot de IRC (Internet Chat Relay) conectándose a un pre-determinado canal de Chat cifrado desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones:
PER ANTIVIRUS® versión 9.5 con registro de virus al 13 de Diciembre del 2005 detecta y elimina eficientemente este gusano/backdoor.
