IRC/SdBot.CRH. Utiliza recursos compartidos, IRC Nombre: IRC/SdBot.CRH
Nombre Nod32: IRC/SdBot.CRH
Tipo: Gusano de Internet y caballo de Troya
Alias: SdBot.CRH, Backdoor.Win32.SdBot.ts, BackDoor.IRC.Sdbot, W32/Sdbot-RW, Worm/Maslan.B.1, Win32.Maslan.B@mm, IRC/SdBot.CRH
Plataforma: Windows 32-bit
Se trata de un gusano de redes, capaz de propagarse utilizando varios exploits, entre ellos el que se aprovecha de la vulnerabilidad en el componente LSASS, corregida por Microsoft en abril de 2004 (ver "MS04-011 Actualización crítica de Windows (835732)",
http://www.vsantivirus.com/vulms04-011.htm).
También se aprovecha de la vulnerabilidad ya corregida por Microsoft, en el componente RPC/DCOM (ver "MS04-012 Parche acumulativo para RPC/DCOM (828741)",
http://www.vsantivirus.com/vulms04-012.htm).
Luego de ejecutarse, el gusano descarga y ejecuta archivos adicionales de Internet. Estos archivos son a su vez troyanos del tipo "downloaders", o sea códigos que descargan otros programas.
Los archivos descargados, pueden eliminar los procesos de diversas aplicaciones de seguridad, incluyendo cortafuegos. También pueden modificar la configuración del cortafuegos de Windows XP, de tal modo que otros programas descargados por el gusano (troyanos), puedan comunicarse de y hacia Internet sin el conocimiento del usuario infectado.
Finalmente, se libera y ejecuta un componente de acceso remoto por puerta trasera (backdoor), en todos los sistemas infectados, con la posibilidad de comunicarse entre ellos.
El gusano crea el siguiente archivo:
c:\windows\system32\___synmgr.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Synchronization Manager =
c:\windows\system32\___synmgr.exe
El gusano puede propagarse a través de redes, copiándose en los siguientes recursos compartidos:
admin$
c$
ipc$
Para ello utiliza la cuenta del usuario actual, o una extensa lista interna con nombres de usuario y contraseñas.
El gusano puede actuar como un BOT de IRC (un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Algunas de las acciones posibles:
- Operaciones HTTP y FTP
- Realizar ataques de denegación de servicio (DoS)
- Agregar o quitar recursos compartidos
- Habilitar o deshabilitar DCOM
- Redireccionar puertos
- Realizar varias operaciones en IRC
- Listar procesos activos
- Iniciar o terminar procesos
- Obtener contenido del portapapeles
- Capturar imagen usando la Webcam de la víctima
- Enviar correo utilizando su propio motor SMTP
- Obtener el contenido del caché de contraseñas
- Realizar escaneos de paquetes
- Capturar la salida del teclado
- Buscar otros sistemas vulnerables o infectados
- Conseguir la clave de registro de Windows
- Conseguir la clave de registro de algunos juegos
Reparación
IMPORTANTE:Descargue y ejecute cada parche antes de proceder al resto de la limpieza, desde los siguientes enlaces:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmAntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsoft Synchronization Manager
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:
Microsoft Windows DHCP
Microsoft Synchronization Manager
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Microsoft Synchronization Manager
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/sdbot-crh.htm
