W32/Sdbot.DIJ

SDBOT.DIJ gusano/backdoor IRC redes con recursos compartidos deshabilita funciones control remoto, etc.

W32/Sdbot.DIJ

Sdbot.DIJ es un gusano/backdoor residente en memoria reportado el 26 de Octubre del 2007, que se propaga a través del IRC (Internet Chat Relay) y redes con recursos compartidos configuradas con contraseñas débiles.

El gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor que se conectará a un canal de un servidor de Chat el cual contiene un BOT que ejecutará acciones arbitrarias en forma automática y remota.

Desestabiliza la seguridad del sistema inhabilitando servicios.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 69KB y comprimido con el utilitario ASProtect.

Una vez ingresado, el gusano se copia a:

%System%\dllcache\mlqm.exe

El archivo mlqm.exe es registrado como un nuevo driver de servicio del sistema con el nombre de "Logitech QuickCam Manager" y que muestra el mismo nombre, con funciones de activación automática, bajo la sub-llave de registro:

[HKLM\SYSTEM\CurrentControlSet\Services\Logitech QuickCam Manager]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano modifica sub-llaves para inhabilitar funciones y desestabilizar al sistema:

Para impedir la ejecución automática de otros programas, crea las sub-llaves:

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Start = 4

Para deshablitar el acceso compartido y la conexión al Firewall de Windows crea la sub-llave:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Start = 4

[HKLM\SOFTWARE\Microsoft\Ole]
EnableDCOM = N

Explota vulnerabilidades de redes con recursos compartidos a las que intenta ingresar bajo el método de la "fuerza bruta".

Como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones en forma remota:

Descargar y ejecutar archivos con códigos malignos
Capturar y enviar una información del sistema
Cambiar la página de Inicio del Internet Explorer
Activar y ejecutar un servidor FTP
Revisar puertos
Iniciar ataques de Denegación de Servicios (DDoS)

PER ANTIVIRUS® versiones 10.2 y 10.3 con registro de virus al 26 de Octubre del 2007 detectan y eliminan este gusano/backdoor.