|
SDBOT.BHD gusano/troyano/backdoor de redes con recurso compartidos emplea un sofisticado "BOT".
|
|
© Jorge Machado Lima-Perú
|
|
W32/Sdbot.BHD, SdBot.BHD/IRC
Sdbot.BHD es un destructivo gusano/troyano/backdoor residente en memoria reportado el 14 de Junio del 2005, que se propaga a través de las Redes con recursos compartidos configuradas con contraseñas
débiles.
Infecta con un archivo de nombre Windll32.exe, captura y envía información al intruso a través de dos canales del IRC (Internet
Chat Relay).
Actuando como Backdoor emplea un sofisticado Bot de IRC:
Un BOT es la abreviatura de "robot" que se aplica a un programa que contiene instrucciones para actuar en forma independiente, pudiendo realizar una diversidad de comandos
o acciones en forma automática.
Existen diversos programas que crean BOT's de IRC en el mercado:
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++ con una extensión de 79 KB
Una vez ingresado a un sistema se auto-copia a la carpeta %System% con el nombre de Windesktop.exe y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves
de registro:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows DLL Services Configuration" = "%System%\windll32.exe"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows DLL Services Configuration" = "%System%\windll32.exe"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Windows DLL Services Configuration" = "%System%\windll32.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente re-inicio el gusano rastrea direcciones de redes con recursos compartidos con contraseñas débiles buscando copiarse a las siguientes carpetas:
- ADMIN$
- C$
- D$
- E$
- IPC$
- LWC$
- PRINT$
para lo cual usa una lista compilada en su código, que contiene los siguientes nombres y contraseñas:
- 12345
- 12346
- 54321
- 111111
- 121212
- 123123
- 123456
- 123467
- 654321
- 1234567
- 1234678
- 11111111
- 12345678
- 12346789
- 123456789
- 123467890
- 1234qwer
- 123abc
- 123asd
- 123qwe
- abc123
- access
- ACCESS
- account
- accounting
- accounts
- Admin
- ADMIN
- admin
- admin123
- Administrador
- Administrateur
- Administrator
- ADMINISTRATOR
- administrator
- backup
- barbara
- blank
- brian
- bruce
- capitol
- changeme
- Cisco
- CISCO
- cisco
- compaq
- control
- database
- databasepass
- databasepassword
- db1234
- dbpass
- dbpassword
- default
- domain
- domainpass
- domainpassword
- dynamite
- exchange
- exchnge
- frank
- freddy
- george
- Guest
- GUEST
- guest
- headoffice
- heaven
- homeuser
- internet
- intranet
- katie
- login
- loginpass
- nokia
- oeminstall
- oemuser
- office
- orange
- outlook
- pass123
- pass1234
- passphra
- passwd
- Password
- PASSWORD
- password
- password1
- password123
- peter
- qwerty
- server
- siemens
- spencer
- sqlpass
- staff
- student
- student1
- susan
- system
- teacher
- technical
- turnip
- Unknown
- unknown
- user1
- usermane
- username
- userpassword
- win2000
- win2k
- win98
- windose
- windows
- windows2k
- windows95
- windows98
- windowsME
- WindowsXP
- windowz
- windoze
- windoze2k
- windoze95
- windoze98
- windozeME
- windozexp
- winnt
- winpass
- winston
- winxp
- wired
- xxxxx
- xxxxxx
- xxxxxxx
- xxxxxxxx
- xxxxxxxxx
- yellow
Actuando como Backdoor emplea un Bot de IRC (Internet Chat Relay) conectándose a los servidores de
Chat irc.voidz.net y botz.voidz.net a los que se une a un canal de Chat desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones:
- Cambiar el servidor IRC y el canal se conecta.
- Crear una copia de sí mismo.
- Borrar los archivos ocultos de las redes con recursos compartidos.
- Capturar y enviar una información completa del sistema.
- Descargar archivos con códigos malignos.
- Habilitar o deshabilitar el Login (ingreso) anónimo.
- Saturar el cache DNS.
- Habilitar o deshabilitar al usuario del sistema.
- Capturar teclas digitadas.
- Crear un BOT que se una al canal.
- Abril comandos remotos ocultos.
- Ejecutar comandos básicos de IRC.
- Provocar una saturación por el método SYN.
- Redireccionar conexiones.
- Rastrear puertos.
El gusano además roba las claves y códigos de programas así como de los siguientes juegos, en caso de estar instalados en el sistema:
- Battlefield 1942
- Battlefield 1942 Road To Rome
- Command & Conquer Generals
- Counter-Strike
- FIFA 2003
- Half-Life
- Need For Speed Hot Pursuit 2
- NFSHP2
- Project IGI 2
- Rainbow Six III RavenShield CDKey
- Soldier of Fortune II - Double Helix
- Unreal Tournament 2003
PER ANTIVIRUS® versión 9.3 con registro de virus al 14 de Junio del 2005 detecta y elimina
eficientemente este gusano/troyano/backdoor.
