|
W32/Sdbot.AU
Sdbot.AU es un destructivo gusano/backdoor residente en memoria reportado el 11 de Julio del 2006, que se propaga a través de redes con recursos compartidos, el IRC y puertos TCP.Infecta con un archivo de nombre Juchecd.exe, activa un BOT de IRC (Internet Chat Relay) y ejecuta diversas acciones en forma remota, libera un Rootkit y deshabilita configuraciones de seguridad del sistema.
Infecta a Windows 95/98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión variables y protegido con un software comercial denominado Themida:
http://www.oreans.com/themida.php
Una vez ingresado al sistema se auto-copia al directorio %Windir% o a la carpeta %System% con el nombre de Juchecd.exe y para activarse cada vez que se re-inicie el sistema, se registra así mismo como un servicio creando la llave:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Java Platform 10.1]
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo y con el propósito de impedir la administración archivos compartidos agrega los valores:
"AutoShareWks" = "0"
"AutoShareServer" = "0"
a la llave de registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
para deshabilitar el protocolo DCOM (Distributed Component Object Model Communication) crea la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM" = "N"
para desestabilizar la configuración de seguridad de Windows agrega los valores:
"AntiVirusDisableNotify = "1"
"UpdatesDisableNotify" = "1"
"FirewallOverride" = "1"
"FirewallDisableNotify" = 1
a la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
para deshabilitar el Firewall de Windows modifica la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = "0"
para impedir la descarga del Service Pack 2 de Windows XP modifica la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2" = "1"
para restringir el acceso a conexiones anónimas modifica la sub-llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Restrictanonymous" = "1"
para disminuir el tiempo de espera antes de terminar servicios cuando Windows es apagado, modifica la sub-llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout" = "7000"
para detener los servicios del Centro de Seguridad, el MS Messenger, Registro Remoto y Telnet agrega el valor:
"Start" = "4"
a las llaves:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
luego instala el software comercial "crackeado" denominado Themida, que protege al Backdoor.
libera e instala un driver de sistema en la ruta:
%System%\Drivers\oreans32.sys
registra este driver y crea la sub-llave:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oreans32]
Abre un Backdoor
en el sistema infectado, el cual es ejecutado en segundo plano (background) y usando
un BOT de IRC (Internet Chat Relay)
se conecta a un pre-determinado canal de Chat
desde el cual podrá ejecutar las siguientes acciones:
Finalmente se propaga y copia a las carpetas de recursos compartidos de los sistemas que infecta.
PER ANTIVIRUS® versiones 9.7 y 9.8 con registro de virus al 11 de Julio del 2006 detectan y eliminan este gusano/backdoor.
