W32/Sdbot.DJX

El gusano es ejecutado continuamente en segundo plano para que a través de su servidor Backdoor cualquier intruso pueda acceder al sistema infectado a través de canales del IRC (Internet Chat Relay).

Es un Portable Ejecutable infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ con 38KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Una vez ingresado a un sistema, el gusano se copia a la carpeta %Windir% con el nombre de wkssvc.exe.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCLA_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Console" = ""%Windir%\wkssvc.exe

Al siguiente inicio del equipo el gusano se propaga a través de las redes con recursos compartidos.

Al estar activado en segundo plano, el sistema infectado es vulnerable a ingreso de intrusos a través de su componente Backdoor desde canales del IRC (Internet Chat Relay) desde los que podrá ejecutar las siguientes acciones:

• Capturar información crítica del sistema
• Descargar y ejecutar archivos con códigos arbitrarios
• Iniciar y terminar procesos en ejecución
• Desestabilizar la seguridad del sistema
• Activar un servidor FTP
• Unirse o salir de otros canales de Chat
• Capturar nombres de usuarios de correo y contraseñas 
• Controlar el sistema en forma remota

PER ANTIVIRUS® versión X4 con registro de virus al 1o de Febrero del 2008 detecta y elimina este gusano/backdoor.