Sdbot.CCR

SDBOT.CCR troyano/gusano/backdoor de IRC redes con recursos compartidos explota vulnerabilidades desestabiliza sistema.

W32/Sdbot.CCR

Sdbot.CCR es un destructivo troyano/gusano/backdoor residente en memoria reportado el 24 de Julio del 2006, que se propaga a través de redes con recursos compartidos, configuradas con contraseñas débiles.

Explota las vulnerabilidades del desbordamiento del Buffer del proceso de la Librería ASN.1, del RPC/DCOM y la vulnerabilidad del Servicio Plug and Play descritas en los Boletines MS04-007, MS04-012 y MS05-039.

Se ejecuta continuamente en segundo plano (background) y a través de un servidor Backdoor permite que un intruso tome control en forma remota de los sistemas vía canales de Chat.

Infecta a Windows 95/98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión variables y protegido con un software comercial denominado Themida:

http://www.oreans.com/themida.php

Infecta con un archivo de nombre Mscfg.exe, activa un BOT de IRC (Internet Chat Relay) y ejecuta diversas acciones en forma remota y desestabiliza el sistema.

Una vez ingresado al sistema se auto-copia al directorio %Windir% o a la carpeta %Windir% con el nombre de Juchecd.exe y para activarse cada vez que se re-inicie el sistema, agrega el siguiente valor:

"Ms System Config" = "%Windir%\Mscfg.exe"

a las llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo configura la siguiente llave para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet.

creando además las siguientes sub-llaves:

[HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa]
"Ms System Config" = "%Windir%\Mscfg.exe"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"Ms System Config" = "%Windir%\Mscfg.exe"

[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"Ms System Config" = "%Windir%\Mscfg.exe"

[HKLM\SOFTWARE\Microsoft\Ole]
"Ms System Config" = "%Windir%\Mscfg.exe"

para deshabilitar el protocolo DCOM (Distributed Component Object Model Communication) crea la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM" = "N"

para restringir el acceso a conexiones anónimas modifica la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Restrictanonymous" = "1"

Rastrea las redes con recursos compartidos, configuradas con contraseñas débiles para intentar ingresar con los privilegios de Adminsitrador.

luego instala el software comercial "crackeado" denominado Themida, que protege al Backdoor.

Abre un Backdoor en el sistema infectado, el cual es ejecutado en segundo plano (background) y usando un BOT de IRC (Internet Chat Relay) se conecta a un pre-determinado canal de Chat desde el cual un intruso podrá ejecutar las siguientes acciones:

Abrir puertos TCP.
Conectarse a a servidores IRC remotos.
Ejecutar ataques DoS.
Controlar en forma remota los sistemas infectados.

Finalmente se propaga en los sistemas con la vulnerabilidades arriba mencionadas y cuyos parches pueden ser descargados desde:

PER ANTIVIRUS® versiones 9.7 y 9.8 con registro de virus al 24 de Julio del 2006 detectan y eliminan este troyano/gusano/backdoor.