Sdbot-DFO

SDBOT.DFO gusano/backdoor de redes con recursos compartidos e IRC activa BOT de comandos remotos, etc.

W32/Sdbot.DFO

Sdbot.DFO es un gusano/backdoor residente en memoria reportado el 01 de Agosto del 2007, que se propaga a través de redes con recursos compartidos, configuradas con contraseñas débiles.

El gusano se ejecuta continuamente en segundo plano, mientras activa su Backdoor que se conectará a un servidor del IRC (Internet Chat Relay) el cual contiene un BOT que ejecutará una serie de acciones arbitrarias en forma automática y remota.

Desestabiliza la seguridad del sistema inhabilitando importantes servicios.

Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 96KB y comprimido con el utilitario ASProtect:

http://www.aspack.com

Una vez ingresado, el gusano se copia a la carpeta %System% con el nombre de alg32.exe y para activarse la próxima vez que se re-inicie el sistema, agrega las llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Office Monitor" = "%System%\alg32.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Office Monitor" = "%System%\alg32.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano configura las siguientes llaves para desestabilizar la seguridad del sistema:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar el Editor de Registros modifica las sub- llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

para deshabilitar el DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
"EnableDCOM" = "N"

Haciendo uso de una extensa lista de usuarios y passwords, emplea el método de la "fuerza bruta" para ingresar a redes con recursos compartidos configuradas con contraseñas débiles.

Como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones en forma remota:

Descargar y ejecutar archivos con códigos malignos
Capturar y enviar una información del sistema
Iniciar o detener procesos
Capturar teclas digitadas.
Capturar contraseñas
Ejecutar ataques de Negación de Servicios (DoS).
Modificar registros.
Saturar el Cache de los DNS.
Agregar o borrar recursos compartidos de red, usuarios y grupos de usuarios.

PER ANTIVIRUS® versión 10.2 con registro de virus al 01 de Agosto del 2007 detecta y elimina este gusano/backdoor.