W32/Sdbot.BBA

Sdbot.BBA es un destructivo gusano/backdoor reportado el 14 de Marzo del 2006, que se propaga a través de las Redes con recursos compartidos configuradas con contraseñas débiles. Infecta con un archivo de nombre Winhost32.exe, captura y envía información al intruso a través de un canal cifrado del IRC (Internet Chat Relay).  Explota las vulnerabilidades del desbordamiento del buffer de las Librerías AS1, el RPC/DCOM y el Plug & Play.  Deshabilita la Conexión de Firewall a Microsoft Internet (ICF). Activa un BOT del IRC.

El gusano manipula las estructuras internas del Kernel de Windows termina los procesos de la mayoría de antivirus, software de control y otros software y el proceso de Inicio automático de otros programas.

Modifica el archivo HOSTS para impedir el acceso a sitios web de software antivirus. 

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Una vez ingresado a un sistema se auto-copia al directorio %Windir% con el nombre de Winhost32.exe y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "Microsoft Command C" = "%Windir%\winhost32.exe"  
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "Microsoft Command C" = "%Windir%\winhost32.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "Microsoft Command C" = "%Windir%\winhost32.exe" 
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "Microsoft Command C" = "%Windir%\winhost32.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para impedir la ejecución automática al inicio del sistema de otros programas el gusano agrega estas llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4

Al crear estas llaves, también deshabilita la Conexión de Firewall a Microsoft Internet (ICF). 

Al siguiente re-inicio el gusano termina los procesos en ejecución de la mayoría de antivirus y, software de control que estuviesen instalados.

luego rastrea aleatoriamente direcciones de redes configuras con contraseñas débiles o con las vulnerabilidades del desbordamiento del buffer en las Librerías AS1, el RPC/DCOM y el Plug & Play. 

Actuando como Backdoor se conecta a un determinado canal del IRC (Internet Chat Relay) cuyo nombre se encuentra cifrado dentro de su código, activa un BOT y recibirá comandos en forma remota y ejecutará las siguientes acciones: 

• Rastrea redes con vulnerabilidades.
• Descarga y ejecuta archivos malignos.
• Roba información del sistema.
• Activa un servidor FTP

El gusano modifica el archivo HOSTS para impedir el acceso a las siguientes direcciones relacionadas a sitios web de antivirus:

• avp.com
• ca.com
• customer.symantec.com
• dispatch.mcafee.com
• download.mcafee.com
• f-secure.com
• kaspersky.com
• kaspersky-labs.com
• liveupdate.symantec.com
• liveupdate.symantecliveupdate.com
• mast.mcafee.com
• mcafee.com
• my-etrust.com
• nai.com
• networkassociates.com
• rads.mcafee.com
• secure.nai.com
• securityresponse.symantec.com
• sophos.com
• symantec.com
• trendmicro.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• viruslist.com
• www.avp.com
• www.ca.com
• www.f-secure.com
• www.grisoft.com
• www.kaspersky.com
• www.mcafee.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.sophos.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.com

La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:

• Microsoft Security Bulletin MS04-007
• Microsoft Security Bulletin MS04-012
• Microsoft Security Bulletin MS05-039

PER ANTIVIRUS® versión 9.6 con registro de virus al 14 de Marzo del 2006 detecta y elimina  eficientemente este gusano/backdoor.