W32/Sdbot.DIE

SDBOT.DIE gusano/backdoor de HTTP e IRC deshabilita funciones desestabiliza Windows con acceso remoto, etc.

W32/Sdbot.DIE

Sdbot.DIE es un gusano/backdoor residente en memoria reportado el 16 de Octubre del 2007, que se propaga a través del IRC (Internet Chat Relay) y redes con recursos compartidos configuradas con contraseñas débiles.

Incluye rutinas de acceso a Internet para conectarse a un servidor remoto a través del puerto TCP 80 (HTTP).

El gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor que se conectará a un servidor del IRC (Internet Chat Relay) con un BOT que ejecutará acciones arbitrarias en forma automática y remota.

Desestabiliza la seguridad del sistema inhabilitando servicios.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 68KB y comprimido con el utilitario ASProtect.

Una vez ingresado, el gusano se copia a las siguientes rutas con los nombres de archivo:

%Windir%\windowsys.com
%System%\rdriv.sys (con funcionabilidad de Rootkit)

El archivo rdriv.sys es registrado como un nuevo driver de servicio del sistema con el nombre de "rdriv" y que muestra el nombre de "rdriv", en la sub-llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rdriv]

El archivo windowsys.com es registrado como un nuevo driver de servicio del sistema con el nombre de "windowsys" y que muestra el nombre "system32 master", con el atributo de inicio automátoco, bajo la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windowsys]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo, el gusano modifica las siguientes sub-llaves para inhabilitar funciones y desetabilizar al sistema:

Para impedir la ejecución automática de otros programas al inicio del sistema, crea las sub-llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Messenger]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteRegistry]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TlntSvr]
Start = 4

Para desestabilizar la seguridad de Windows, deshabilitar el Firewall de Windows, impedir actualizaciones al Service pack 2 de Windows XP, agrega valores a las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
EnableFirewall = 0

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
EnableFirewall = 0

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N

Otros registros son creados bajo la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]

Explota vulnerabilidades de las redes con recursos compartidos a los que logra ingresar bajo el método de la "fuerza bruta".

Como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones en forma remota:

Descargar y ejecutar archivos con códigos malignos
Capturar y enviar una información del sistema
Cambiar la página de Inicio del Internet Explorer
Activar y ejecutar un servidor FTP
Configurar o remover recursos compartidos de redes
Revisar puertos
Conectarse a Internet y comunicarse con un servidor remoto via el puerto TCP 80 HTTP
Iniciar ataques de Denegación de Servicios (DDoS)

PER ANTIVIRUS® versiones 10.2 y 10.3 con registro de virus al 16 de Octubre del 2007 detectan y eliminan este gusano/backdoor.