Sdbot.AI gusano con capacidad para actuar como puerta traseraNombre completo: Worm-Backdoor.W32/Sdbot.AI@SMB
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft
Tamaño (bytes): 33765
Alias:Backdoor.Sdbot.AI (Symantec)
Gusano que se propaga a unidades compartidas de equipos a las que puede acceder por estar protegidas con contraseñas débiles. Las máquinas a las que se dirige las selecciona aleatoriamente por su IP.
Posee capacidad para actuar como puerta trasera, lo que permite al intruso acceder sin autorización al sistema afectado y realizar en él acciones como la subida/descarga de ficheros o la ejecución de programas.
Cuando Worm-Backdoor.W32/Sdbot.AI@SMB es ejecutado, realiza las siguientes acciones: 1. Se copia a sí mismo como %System%\systacq.exe.
Nota: %System% es una variable que hace referencia al directorio de sistema.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:
Claves: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "Syntax Script" = "systacq.exe"
3. Abre una puerta trasera en el equipo infectado por el puerto TCP 29147 conectándose a un servidor IRC en el dominio bob.nsns.biz.
4. Permanece en espera de recibir comandos procedentes del atacante remoto.
La puerta trasera permite al intruso llevar a cabo alguna de las siguientes acciones:
* Realizar ataques de Denegación de Servicio (DoS) contra otros equipos.
* Conectarse a direcciones de Internet.
* Subir y descargar ficheros.
* Ejecutar programas.
* Realizar escaneo de puertos.
5. Se propaga a las siguientes unidades compartidas de red:
* C$
* IPC$
* ADMIN$
de máquinas con direcciones IP que han sido generadas aleatoriamente.
Para conectarse, utiliza nombres de usuario obtenidos mediante el API 'NetUserEnum' y las siguientes contraseñas:
* 7
* 121
* access
* accounting
* accounts
* adm
* admin
* administrateur
* administrator
* afro
* asd
* backup
* barbara
* bill
* blank
* bruce
* capitol
* changeme
* cisco
* compaq
* control
* ctx
* data
* database
* databasepass
* databasepassword
* db1
* db1234
* dbpass
* dbpassword
* default
* dell
* domain
* domainpass
* domainpassword
* exchange
* exchnge
* fish
* fred
* freddy
* fuck
* glen
* god
* guest
* headoffice
* heaven
* hell
* home
* homeuser
* internet
* intranet
* kate
* katie
* lan
* login
* loginpass
* main
* mass
* nokia
* none
* oem
* oeminstall
* oemuser
* office
* orange
* owa
* pass
* pass1234
* passwd
* password
* password1
* pink
* pwd
* qaz
* ron
* sage
* sam
* sex
* siemens
* sql
* sqlpass
* staff
* student
* student1
* teacher
* technical
* test
* turnip
* user
* user1
* userpassword
* web
* win2000
* win2k
* win98
* windows
* winnt
* winpass
* winxp
* www
* yellow
6. Intenta copiar el fichero %System%\systca.exe en las unidades compartidas remotas.
Más información
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4617
