IRC/SdBot.CTI. Troyano de acceso remoto via IRC Nombre: IRC/SdBot.CTI
Nombre NOD32: IRC/SdBot.CTI
Tipo: Caballo de Troya de acceso remoto
Alias: SdBot.CTI, Backdoor.SDBot.H, Backdoor.Win32.IRCBot.i, BKDR_SDBOT.GEN, Bloodhound.Exploit.8, Exploit.MS04-011, Exploit:Win32/Lsass.gen!, Exploit-DcomRpc.gen, IRC/SdBot.CTI, W32/Sdbot-SW, W32/Sdbot-SW, Win32.HLLW.ForBot.based, Worm/Zusha.A
Plataforma: Windows 32-bit
Caballo de Troya que permite el acceso a los equipos infectados a través de los canales de IRC a los que se conecta por una puerta trasera.
También puede propagarse como gusano por recursos compartidos de redes.
Cuando se ejecuta, crea los siguientes archivos en el directorio del sistema de Windows:
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\SYSEDITS.EXE
c:\windows\system32\NVAPPSW.EXE
El archivo HB90HGF3.EXE se copia a si mismo como APPNV.EXE:
c:\windows\system32\APPNV.EXE
SYSEDITS.EXE es un archivo corrupto que no funciona.
El troyano crea luego las siguientes entradas en el registro de Windows para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = c:\windows\system32\APPNV.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = c:\windows\system32\APPNV.EXE
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
[nombre] = c:\windows\system32\APPNV.EXE
El troyano también se propaga por recursos compartidos de redes con contraseñas débiles, o utilizando conocidos exploits de ciertas vulnerabilidades.
Para ello copia el archivo C:\WINDOWS\SYSTEM32\NVAPPSW.EXE en las máquinas remotas.
Reparación
Deshabilitar cualquier conexión a Internet o una redEs importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha borre toda entrada que haga referencia a cualquiera de los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha borre toda entrada que haga referencia a cualquiera de los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la derecha borre toda entrada que haga referencia a cualquiera de los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
8. Abra cada clave de ese tipo que aparezca:
HKEY_USERS
\[código de usuario]
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
Donde [código de usuario] es algo como lo siguiente:
S-1-5-21-1993962763-2139871995-839522115-1003
9. Haga clic en la carpeta "Run" y borre toda entrada que haga referencia a cualquiera de los siguientes archivos:
c:\windows\system32\APPNV.EXE
c:\windows\system32\HB90HGF3.EXE
c:\windows\system32\NVAPPSW.EXE
c:\windows\system32\SYSEDITS.EXE
10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional : Cambie las contraseñasLimpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/
