|
SDBOT.FEL gusano/backdoor
de HTTP Mensajería Instantánea recursos compartidos de red IRC,
etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Sdbot.FEL
Sdbot.FEL es un
gusano/backdoor residente en memoria reportado el 18 de Septiembre del
2007, que se propaga a través de servicios de Mensajerías Instantáneas, HTTP
y
recursos compartidos de Redes LAN.
El
gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor
que se conectará a un servidor del IRC
(Internet Chat Relay) con un BOT
que ejecutará acciones arbitrarias en forma automática y remota.
Infecta a Windows 98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión
de 25KB y comprimido
con el utilitario ASProtect.
Una vez ingresado, el gusano se copia al
directorio %Windir% como lsass.exe
y libera el archivo:
%Windir% es
una variable correspondiente a C:\Windows en
Windows 95/98/Me/XP/Server 2003 y C:\Winnt
en Windows NT\2000.
Para
ejecutarse la próxima vez que se re-inicie el sistema crea la llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Lsass Services =
"%Windir%\system\lsass.exe"
Al siguiente inicio del equipo,
el gusano se copia a los recursos compartidos de las redes (LAN) y
Para propagarse a través de
los contactos de Messenger
crea los
siguientes mensajes:
- accepted.
- ay no ese pelo fue lo mas
chistoso...q estabas pensando
- cette vieille image que j'ai
trouv e : |
- Check out my nice photo
album. :D
- chten den pics von meinen
Ferien sehen?
- esa foto de tu y yo la voy a
poner en myspace
- faut de la reproduction
sonore ! regard
- faut pic sur le myspace ou
quelque chose :D
- Haha sollten Sie dieses Ihre
R ckstellung auf myspace oder etwas pic bilden:D
- haha vous devriez rendre
ceci votre d
- haha you moet die je
standaard foto maken op hyves of myspace
- he heb je ooit deze foto
laten zien ?
- he ich zeige Ihnen diese
Abbildung von mir berhaupt?
- he werde ich diese Abbildung
von uns auf mein myspace setzen
- he werde ich diese Abbildung
von uns meinem weblog hinzuf
- Here are my private pictures
for you
- Hey i zet deze foto van ons
even op mijn myspace
- hey i'm going to add this
picture of us to my weblog
- hey ik voeg deze foto van
ons ff toe op mijn weblog
- hola esas son las fotos
- Io ricordo quando abbiamo
portato questa foto Caricher
- j'ai fais pour toi ce photo
album tu dois le voire :p
- jaja debes poner esa foto
como foto principal en tu myspace o algo :D
- jaja lei dovrebbe fare
quest'il suo pic predefinito sul myspace o qualcosa :D
- jaja recuerda cuando tuviste
el pelo asi
- jaja ricordo quando lei
aveva i suoi capelli come questo ehi metter
- jajaja yo me recuerdo cuando
tuvistes el pelo asi
- je vais mettre cette image
de nous sur mon myspace :>
- le lol se rappellent quand
vous aviez l'habitude d'avoir vos cheveux comme ceci
- lol erinnern sich, an als
Sie pflegten, Ihr Haar so zu haben
- lol ik kan me nog
herrinneren toen je haar zoals dit had
- lol remember when you used
to have your hair like this
- mes photos chaudes :D
- metta questi fotos in suo
pagina myspace ehi aggiunger
- My friend took nice photos
of me.you Should see em loL!
- Nice new photos of me and my
friends and stuff and when i was young lol...
- oye ponga esa foto en tu
myspace como la foto principal
- oye voy a agregar esa foto a
mi blog ya
- oye voy a poner esa foto de
nosotros en mi myspace :->
- Per favore nessuno lasciare
vede le nostre foto
- quest'immagine di noi al mio
weblog
- quest'immagine di noi sul
mio myspace :>
- questa foto al mio myspace
adesso
- Qui sono il fotos di ci
- veux tu voir mes image de
vacance??
- voy a poner esa foto de
nosotros en mi blog ya
- wanna see the pics from my
vacation? :>
- wil je fotos zien van mijn
vakantie
- Wimmern! Blick auf diese
alte Abbildung, die ich: fand
- wow! moet je eens kijken
welke foto ik nu gevonden heb
usando el archivo IMG-0012.zip
o un
enlace hacia una dirección web encriptada desde la cual descargará una copia de sí
mismo.
Actuando como Backdoor
se conecta a través de un puerto TCP
aleatorio a un servidor IRC
(Internet Chat Relay)
y une a canales de Chat cifrados que contienen un BOT
desde el cual recibirá
instrucciones pudiendo ejecutar las siguientes acciones en forma remota:
- Descargar, ejecutar o borrar
archivos
- Capturar y enviar una
información del sistema
- Listar, agregar o borrar recursos
compartidos
- Listar, iniciar o detener servicios
- Saturar el cache del DNS
- Capturar la contraseña de ingreso a Windows
- Terminar procesos e hilos
- Capturar digitación de teclas
- Aperturar un comando remoto oculto
- Ejecutar comandos IRC
- Ejecutar ataques de saturación Ping e
ICMP
- Enviar mensajes de correo
PER ANTIVIRUS®
versión 10.2 con registro de virus al 18 de
Septiembre del 2007 detecta y elimina este
gusano/backdoor.
