|
W32/Sdbot.FOB
Sdbot.FOB es un gusano/backdoor residente en memoria reportado el 23 de Noviembre del 2007 propagado a través de programas del MSN Messenger.A través de cualquier puerto TCP abierto su Backdoor se une a un canal de IRC (Internet Chat Relay) desde donde ejecutará acciones arbitrarias en forma remota.
Es un Portable Ejecutable que infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con apenas 716,800 bytes y comprimido con Armadillo (producido en China):
Una vez ingresado a un sistema, el gusano se copia %Windir% con los nombres:
El archivo msnmsur.exe se sobre-escribe en el msnmsgr.exe
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ATI" = "%Windir%\msnmsur.exe"
Al siguiente inicio del equipo, para evitar activarse más de una vez en memoria crea el Mutex "r0x3r" y genera la siguiente Clase:
[HKEY_CLASSES_ROOT\CLSID\{569FE242-569F-E242-569F-E242569FE242}]
En caso el usuario se conecte al MSN Messeger enviará a la lista de sus contactos cualquiera de los siguientes mensajes:
En ellos adjunta una copia de sí mismo con el archivo IMG34814.pif, comprimido como Images.zip, el cual se desempaqueta en memoria.
Finalmente activa un Backdoor y se conecta a través de cualquier puerto TCP abierto a un servidor IRC (Internet Chat Relay) y une al canal de Chat #.ku.#, desde el cual ejecutará las siguientes acciones:
PER ANTIVIRUS® versión 10.3 con registro de virus al 23 de Noviembre del 2007 detecta y elimina este gusano/backdoor.
