IRC/SdBot.CRC. Utiliza recursos compartidos, IRC Nombre: IRC/SdBot.CRC
Nombre Nod32: IRC/SdBot.CRC
Tipo: Gusano de Internet y caballo de Troya
Alias: SdBot.CRC, BackDoor.IRC.Sdbot, Backdoor.Win32.IRCBot.b, IRC/SdBot.CRC, I-Worm/Maslan.A, Troj/Sdbot-RV, Trojan.IRCBot-23, W32.IRCBot, W32/Maslan.A, Win32.Maslan.A@mm, Worm/Maslan.A.IRC, Worm/Zusha.A, WORM_RBOT.YG
Plataforma: Windows 32-bit
Tamaño: 89,600 bytes
Se trata de un gusano de redes, capaz de propagarse utilizando varios exploits, entre ellos el que se aprovecha de la vulnerabilidad en el componente LSASS, corregida por Microsoft en abril de 2004 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
También se aprovecha de la vulnerabilidad ya corregida por Microsoft, en el componente RPC/DCOM (ver "MS04-012 Parche acumulativo para RPC/DCOM (828741)",
http://www.vsantivirus.com/vulms04-012.htm).
Luego de ejecutarse, el gusano descarga y ejecuta archivos adicionales de Internet. Estos archivos son a su vez troyanos del tipo "downloaders", o sea códigos que descargan otros programas.
Los archivos descargados, pueden eliminar los procesos de diversas aplicaciones de seguridad, incluyendo cortafuegos. También pueden modificar la configuración del cortafuegos de Windows XP, de tal modo que otros programas descargados por el gusano (troyanos), puedan comunicarse de y hacia Internet sin el conocimiento del usuario infectado.
Finalmente, se libera y ejecuta un componente de acceso remoto por puerta trasera (backdoor), en todos los sistemas infectados, con la posibilidad de comunicarse entre ellos.
El gusano crea el siguiente archivo:
c:\windows\system32\exename.exe
Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Ole
Blah service = c:\windows\system32\exename.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blah service = c:\windows\system32\exename.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Blah service = c:\windows\system32\exename.exe
El gusano puede propagarse a través de redes, copiándose en los siguientes recursos compartidos:
admin$
c$
ipc$
Para ello utiliza la cuenta del usuario actual, o una extensa lista interna con nombres de usuario y contraseñas.
Además, puede copiarse a sistemas infectados con otros troyanos y gusanos que abren puertas traseras (Optix, Sub7, Bagle, Mydoom, etc.)
También puede propagarse utilizando la aplicación DameWare (una utilidad para la administración de sistemas de empresas para Windows NT/2000/XP/2003).
El gusano puede actuar como un BOT de IRC (un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos). Para ello se conecta al siguiente servidor para recibir las instrucciones de un usuario remoto:
irc .sykonet .org
Algunas de las acciones posibles:
- Operaciones HTTP y FTP
- Realizar ataques de denegación de servicio (DoS)
- Agregar o quitar recursos compartidos
- Habilitar o deshabilitar DCOM
- Redireccionar puertos
- Realizar varias operaciones en IRC
- Listar procesos activos
- Iniciar o terminar procesos
- Obtener contenido del portapapeles
- Capturar imagen usando la Webcam de la víctima
- Enviar correo utilizando su propio motor SMTP
- Obtener el contenido del caché de contraseñas
- Realizar escaneos de paquetes
- Capturar la salida del teclado
- Buscar otros sistemas vulnerables o infectados
- Conseguir la clave de registro de Windows
- Conseguir la clave de registro de los siguientes juegos:
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike (Retail)
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers Of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Reparación Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmAntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Ole
3. Haga clic en la carpeta "Ole" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:
Blah service
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:
Blah service
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre la entrada que haga referencia al siguiente archivo:
Blah service
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
(09/12/04 - 12:13 -0200 (Cambia nombre: Maslan.A a SdBot.CRC)Más información:
http://www.vsantivirus.com/sdbot-crc.htm
