|
SDBOT.Gen troyano/backdoor controla remotamente envía información al
hacker colapsa los sistemas.
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Sdbot.Gen,
Backdoor.IRC
 |
|
Sdbot.Gen
es un
destructivo troyano/backdoor
reportado el 23 de Noviembre del 2003, que se propaga a través de Redes
de recursos compartidos "ocultos", con contraseñas débiles o
haciendo uso de la técnica de "Ataque de Fuerza Bruta".
Infecta con un archivo de nombre Service.exe,
captura y
envía instrucciones a través de su propio IRC
(Internet Chat Relay) al autor. Controla
remotamente a los sistemas infectados y ocasionas ataque de saturación. |
Ha sido producido por el generador de
troyanos/backdoor
SDBOT
0.5b, creado por el hacker ruso [sd]
quien distribuye su código fuente a través de varios sitios web.
Es
un PE
(Portable
Ejecutable) e infecta a Windows/NT/Me/2000/XP,
incluyendo los servidores NT/2000/2003,
con una extensión de 22.5KB, está desarrollado en Visual C++ y
comprimido con el utilitario PEtite Win32 Executable Compressor:
http://www.un4seen.com/petite
Una vez ingresado a un sistema se auto-copia a la carpeta %System%
con el nombre de Service.exe
y para
activarse la siguiente vez que se inicie el sistema crea las siguientes llaves
de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Services" = "service.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Services" = "service.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Services" = "service.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Services" = "service.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Services" = "service.exe"
%System%
es la variable C:\Windows\System para
Windows 95/98/Me, C:\Winnt\System32 para
Windows NT/2000 y C:\Windows\System32
para Windows XP.
Al siguiente inicio del
sistema el gusano genera direcciones IP aleatorias, intentando conectarse a
las redes con recursos compartidos "ocultos" (IPC$) y de lograrlo
libera una copia de sí mismo con el nombre de Service.exe
y alternativamente
emplea la técnica denominada "Ataque de Fuerza Bruta" usando los
siguientes nombres de usuarios:
- admin
- administrator
- database
- guest
- owner
- root
- sql
- sqlagent
- system
- user
- wwwadmin
Y las siguientes
contraseñas:
- !@#$
- !@#$%
- !@#$%^
- !@#$%^&
- !@#$%^&*
- 1
- 111
- 123
- 1234
- 123456
- 654321
- asdf
- asdfgh
- hidden
- pass
- pass123
- password
- password123
- secret
- server
Este troyano posee un motor
IRC
(Internet Chat Relay)
propietario, el cual le permite actuar como Backdoor de Control Remoto,
mediante el cual se conecta a un canal de Chat, envía información a su
autor y ejecuta una diversidad de payloads nocivos en forma remota.
Captura la
información relacionada a los sistemas, tales como nombre del usuario,
velocidad del CPU, cantidad de memoria RAM relación de procesos en
ejecución, sistema operativo, número de serie del mismo, etc. Igualmente
ejecuta acciones tales como:
- conectarse y
desconectarse a un diferente servidor IRC
- Unirse a un canal de
Chat del servidor conectado, participar en el mismo o abandonar la
sesión.
- Ejecutar archivos o
programas en forma remota.
- Enviar mensajes privados
al servidor IRC.
- Desinstalarse del
sistema infectado.
Como Backdoor configura sus propios canales de Chat
con los siguientes nombres:
- ..(argon/1g) :bitchx-75 : Keep it to
yourself!
- [bx.75p1] linux 2.0.36 [embryonic.22b3]
:what is this that stands before me
- AmIRC/AmigaOS 2.0.4 by Oliver Wagner
: http://www.vapor.com/ : [#0000D63F] : The slow mess client
- BitchX-70alpha14+tcl by panasync - Linux
2.0.27 Keep it to yourself!
- BitchX-74p2+ by panasync - CYGWIN32/95
4.0 : Keep it to yourself!
- BitchX-74p2+1.3f/SunOS 5.6 :(c)rackrock/bX
[3.0.18] : Keep it to yourself!
- Eggdrop 1.3.24i (c)1997 Robey Pointer
- GameIRC v1.2beta: for GameBoy (Copyright
Nintendo'99)
- IEirc (winME[ie.v.4572]) - Copyright
Microsoft Corporation 2000, all rights reserved
- ircII 2.8.2 SunOS 5.6 :ircii 2.8: almost
there...
- ircII 2.9_base OSF1 V4.0 :ircii 2.8:
almost there...
- ircII 2.9-BitchX-60 Linux 1.2.8 :bitZ%summer
'96(bitX%summer'96)
- ircII EPIC4pre2 Linux 2.0.34 - Accept no
limitations.
- ircII EPIC4pre2 SunOS 5.6 - cypher(beta\one)
-myd!nas :one step closer to world domination
- Ircle 3.0b10 US PPC 12/15/1997 21:07:34
PM. #239C23AF21B
- ircN 6.03 for mIRC - are we being
punished for fate -
- ircN 7.0rc.6 + 7.0rc.5 + 7.0rc.4 for
mIRC - the devils of truth steal the souls of the free -
- IRC-Playstation client version 0.1.2313e
- Copyright Sony 2000
- JPilot IRC Java Client 2.32
- mIRC32 v3.9 K.Mardam-Bey
- mIRC32 v4.11 K.Mardam-Bey
- mIRC32 v5.41 K.Mardam-Bey
- mIRC32 v5.5 K.Mardam-Bey
- mIRC32 v5.71 K.Mardam-Bey
- mIRC32 v5.82 K.Mardam-Bey
- Netscape Communicator 5.0 (WWW IRC - Now
we're talking!)
- Nokia Communicator IRC (mobile phone
[WAP9210]) - v3.523 serial 543.32 - Nokia, Connecting People
- osiris-1c/bitchx-75p1 + autobot(bx) p3x3
: that time then and once again..
- PalmIRC Ver1.1 (Unregistered) by
H.Okamoto
- Powered by NVIDIA's new GeForce2 GTS
Script (3DBlaster AnnihilatorT 2) - the world's first accelerator script
- Quarterdeck Global Chat 1.2.9 for
Macintosh
- SegaIRC v1.0.3release / MegaDrive16
version (340575) / (Copyright Sega'99 - all rights reserved)
- WinIRC CE (beta version code046532) -
palmtop PC's IRC addon (Windows CE) - Microsoft Corporation'1999
- WSIRC 2.03-R - CopyRight 1994, 1995
Caesar M Samsi csamsi@clark.net TEXT CHANNEL
- xircon[b4] + doot.3b[pawt] be-two +
anony(v1) + aolsay(impulse) + deepthought + saq(dbg)
Finalmente el
gusano puede ocasiona una Negación de Servicio o ataque DOS,
saturaciones SYN, PING y UPD.
Los payloads
de este troyano/backdoor son los siguientes:
- Intenta ingresar a los sistemas remotos
con recursos compartidos ocultos.
- Emplea una relación de nombres de
usuarios y claves de acceso.
- Se propaga también a través de su
propio motor IRC.
- Captura información de la configuración
del servidor y de las estaciones de trabajo.
- Controla en forma remota los sistemas
infectados.
- Envía información al hacker a través del
Chat.
- Infecta a los usuarios conectados a una
misma sesión de Chat.
- Envía y descarga archivos.
- Se conecta a otros servidores IRC.
- Se une a sesiones de canales de Chat.
- Crea sus propios canales de Chat
- Ejecuta ataques DOS y de saturación
SYN, PING y UPD, que
disminuyen el rendimiento o colapsan los sistemas.
- Se actualiza a sí mismo vía HTTP.
PER ANTIVIRUS®
versión 8.3 y 8.4 con registro de virus al 23 de
Noviembre
del 2003 detecta y elimina eficientemente este
troyano/backdoor.
