W32/Sdbot.XH, SdBot.XH/IRC

Sdbot.XH es un destructivo troyano/backdoor reportado el 20 de Abril del 2005, que se propaga a través de las Redes con recursos compartidos configuradas con contraseñas débiles. Infecta con un archivo de nombre Windesktop.exe, captura y envía información al intruso a través de un canal cifrado del IRC (Internet Chat Relay).  Explota las vulnerabilidades del desbordamiento del buffer en servidores MS SQL 2000, LSASS y el RPC/DCOM.

Libera un troyano que manipula las estructuras internas del Kernel de Windows termina y esconde los procesos de la mayoría de antivirus, software de control y otros software en el proceso de Inicio automático del sistema.

Modifica el archivo HOSTS para impedir el acceso a los sitios web de software antivirus. Roba la información del sistema y las claves de varios programas instalados y populares juegos de PC.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Una vez ingresado a un sistema se auto-copia a la carpeta %System% con el nombre de Windesktop.exe y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "Windows Desktop Controler" = "%System%\windesktop.exe"  
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "Windows Desktop Controler" = "%System%\windesktop.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "Windows Desktop Controler" = "%System%\windesktop.exe" 
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "Windows Desktop Controler" = "%System%\windesktop.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para impedir la ejecución automática al inicio del sistema de otros programas el gusano agrega estas llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4 

Al siguiente re-inicio el gusano termina los procesos en ejecución de la mayoría de antivirus, software de control y de otros gusanos y troyanos que estuviesen instalados en los sistemas infectados.

Libera un archivo de nombre msdirectx.sys en la carpeta en uso, que es un troyano que se activa en memoria y esconde los procesos, manipulando las estructuras internas del Kernel de Windows.

luego rastrea aleatoriamente direcciones de redes configuras con contraseñas débiles o con las vulnerabilidades del desbordamiento del buffer en servidores MS SQL 2000, LSASS y el RPC/DCOM. 

Actuando como Backdoor se conecta a un determinado canal del IRC (Internet Chat Relay) cuyo nombre se encuentra cifrado dentro de su código desde donde recibirá comandos en forma remota y ejecutará las siguientes acciones: 

• Rastrea redes con vulnerabilidades.
• Descarga y ejecuta archivos malignos.
• Roba información del sistema.
• Roba claves de software instalado y juegos de PC.
• Activa un servidor FTP

El gusano modifica el archivo HOSTS para impedir el acceso a las siguientes direcciones relacionadas a sitios web de antivirus:

• avp.com
• ca.com
• customer.symantec.com
• dispatch.mcafee.com
• download.mcafee.com
• f-secure.com
• kaspersky.com
• kaspersky-labs.com
• liveupdate.symantec.com
• liveupdate.symantecliveupdate.com
• mast.mcafee.com
• mcafee.com
• my-etrust.com
• nai.com
• networkassociates.com
• rads.mcafee.com
• secure.nai.com
• securityresponse.symantec.com
• sophos.com
• symantec.com
• trendmicro.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• viruslist.com
• www.avp.com
• www.ca.com
• www.f-secure.com
• www.grisoft.com
• www.kaspersky.com
• www.mcafee.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.sophos.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.com

La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:

• Microsoft Security Bulletin MS02-039
• Microsoft Security Bulletin MS04-011
• Microsoft Security Bulletin MS04-012

PER ANTIVIRUS® versión 9.2 con registro de virus al 20 de Abril del 2005 detecta y elimina  eficientemente este troyano/backdoor.