|
W32/SdBot.CKF
SdBot.CKF es un troyano/backdor reportado el 05 de Junio del 2008 que se propaga a través de diversos servicios de Internet, principalmente el IRC (Internet Chat Relay).Infecta Windows 98/Me/NT/2000/XP/Vista y Server 2003 desarrollado en Visual C con una extensión de 67KB compilado más no encriptado.
Se conecta a 2 canales de Chat desde los cuales descarga archivos "malware" y su archivo BOT ejecuta comando remotos arbitrarios.
Al ingresar a un sistema se copia al directorio %Windir% como winudspm.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows UDP Control" = "%Windir%\winudspm.exe"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente inicio el componente Backdoor se conecta al servidor irc.bluehell.org y une a los canales de chat #blockbot2 y #blockbot.msn desde los cuales descarga archivos malware (troyanos y backdoors) ubicados en los servicios de alojamiento gratuito de Lycos en Alemania.
http://mitglied.lycos.de/cheatsguard/dci.exe
http://mitglied.lycos.de/cheatsguard/is154890.exe
http://mitglied.lycos.de/subzz/setup.exe
Los canales de Chat mencionados contienen un BOT que ejecuta remotamente los siguientes comandos en el sistema infectado:
Finalmente el troyano/backdoor intenta infructuosamente conectarse a una dirección inexistente..
PER ANTIVIRUS® versión X5 con registro de virus al 05 de Junio del 2008 detecta y elimina este troyano/backdoor.
