Sdbot.VC

SDBOT.VC destructivo troyano/backdoor roba información controla remotamente ocasiona ataques DoS.

W32/Sdbot.VC, SdBot.VC/IRC

Sdbot.VC es un destructivo troyano/backdoor reportado el 26 de Mayo del 2005, que se propaga a través de redes vulnerables con un archivo de nombre Wupdated.exe, captura y envía información al autor del virus a través de dos servidores IRC (Internet Chat Relay) usando el puerto TCP 6667.

Descarga una herramienta de control remoto, ejecuta una serie de acciones, roba información del sistema, claves de CD de juegos de PC y ocasiona ataques DoS.

Dentro de su código se encuentra la herramienta gratuita PSEXEC de control remoto la cual libera en los sistemas infectados.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 con una extensión de 69.5 KB y empaquetado con el Exe32Pack:

http://www.sac.sk/files.php?d=7&p=18

Una vez ingresado a un sistema se auto-copia a la carpeta %System% con el nombre de Wupdated.exe y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Configuration Loaded"="%System%\Wupdated.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices]
"Configuration Loaded"="%System%\Wupdated.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Al siguiente re-inicio libera la herramienta PSEXEC que es una herramienta gratuita de control remoto.

http://www.sysinternals.com/ntw2k/freeware/psexec.shtml

luego ejecuta un servidor de Identidad en el puerto TCP 113.

Actuando como Backdoor se conecta a los servidores IRC irc.undernet.org y kan3.de a través del puerto TCP 6667 y se une a los canales de Chat #maerchenland y #kellyfamily desde un intruso podrá enviar comandos e instrucciones pudiendo ocasionar las siguientes acciones:

Descargar y ejecutar archivos con códigos malignos.
Capturar información del sistema, sistema operativo, redes y unidades de disco.
Ejecutar ataques DOS de saturación SYN, PING, ICMP y UPD
Actualizar el backdoor vía HTTP.
Operar acciones tales como cambios de Nick, unirse a canales Chat, etc.
Redireccionar el tráfico en ciertos puertos TCP o UDP.
Cambiar y conectarse a un URL diferente al instalado por defecto.
Propagarse a sistemas de redes LAN.
Unirse y espiar determinados canales de Chat
Activar procesos remotos usando la herramienta gratuita PSEXEC.EXE.

roba claves de CD de populares juegos de PC:

Half-Life
Unreal Tournament 2003
Counter-Strike
Project IGI 2
Battlefield 1942
Battlefield 1942 Road To Rome
Rainbow Six III RavenShield
Neverwinter Knights
Soldier of Fortune 2
The Gladiators
Need for Speed Hot Persuit 2
FIFA 2003
Command & Conquer Generals
Red Alert 2
Tiberian Sun

PER ANTIVIRUS® versiones 9.2 y 9.3 con registro de virus al 26 de Mayo del 2005 detectan y eliminan este troyano/backdoor.