Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Miyu en 06 de Enero de 2005, 01:15:05 pm

Título: IRC/SdBot.CTF. Se copia como "systacq.exe"
Publicado por: Miyu en 06 de Enero de 2005, 01:15:05 pm

IRC/SdBot.CTF. Se copia como "systacq.exe"

Nombre: IRC/SdBot.CTF
Nombre NOD32: IRC/SdBot.CTF
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: SdBot.CTF, Backdoor.Sdbot, Backdoor.SdBot.ai, Backdoor.Sdbot.AI, Backdoor.SDBot.Gen, Backdoor:IRC/SdBot, Bck/Sdbot.gen, IRC/BackDoor.SdBot.BZ, NewHeur_PE, Trojan.Sdbot, W32/Sdbot.worm.gen, W32/Sdbot-Fam, Win32.IRC.Bot.based, Win32:SdBot-g2, Worm/Sdbot.39936.B
Fecha: 6/ene/05
Plataforma: Windows 32-bit
Tamaño: 33,765 bytes
Puerto: TCP 29147

Gusano que se propaga por recursos compartidos de redes, y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.

Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:

    c:\windows\system\systacq.exe

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Syntax Script = "systacq.exe"

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    Syntax Script = "systacq.exe"

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Syntax Script = "systacq.exe"

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    Syntax Script = "systacq.exe"

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    Syntax Script = "systacq.exe"

El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.

Algunas de las contraseñas utilizadas son las siguientes:

    access
    accounting
    accounts
    adm
    admin
    administrateur
    administrator
    afro
    asd
    backup
    barbara
    bill
    blank
    bruce
    capitol
    changeme
    cisco
    compaq
    control
    ctx
    data
    database
    databasepass
    databasepassword
    db1
    db1234
    dbpass
    dbpassword
    default
    dell
    domain
    domainpass
    domainpassword
    exchange
    exchnge
    fish
    fred
    freddy
    fuck
    glen
    god
    guest
    headoffice
    heaven
    hell
    home
    homeuser
    internet
    intranet
    kate
    katie
    lan
    login
    loginpass
    main
    mass
    nokia
    none
    oem
    oeminstall
    oemuser
    office
    orange
    owa
    pass
    pass1234
    passwd
    password
    password1
    pink
    pwd
    qaz
    ron
    sage
    sam
    sex
    siemens
    sql
    sqlpass
    staff
    student
    student1
    teacher
    technical
    test
    turnip
    user
    user1
    userpassword
    web
    win2000
    win2k
    win98
    windows
    winnt
    winpass
    winxp
    www
    yellow
    007
    121

Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo:

    c$\systacq.exe
    c$\winnt\system32\systacq.exe
    Admin$\system32\systacq.exe

También intenta copiar en los recursos compartidos el siguiente archivo, que previamente libera en la siguiente ubicación:

    c:\windows\system32\systca.exe

Posee un componente de acceso por puerta trasera (backdoor), que intenta conectarse a servidores de IRC y unirse a un canal predeterminado por el puerto TCP/29147. Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática.

Algunas acciones posibles:

    * Auto actualizarse
    * Capturar imágenes de webcams
    * Capturas de pantalla
    * Conectarse a una URL determinada
    * Descargar y ejecutar archivos
    * Enviar archivos
    * Enviar pulsaciones de teclado a la ventana activa
    * Escanear puertos de otras computadoras
    * Iniciar un servidor HTTP
    * Matar procesos e hilos de ejecución
    * Obtener información del sistema
    * Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
    * Robar el caché de contraseñas en Windows 95, 98 y ME

El gusano es capaz de finalizar la ejecución de los siguientes procesos:

    bbeagle.exe
    i11r54n4.exe
    irun4.exe
    msblast.exe
    msblast.exe
    msconfig.exe
    mscvb32.exe
    navapw32.exe
    navw32.exe
    netstat.exe
    pandaavengine.exe
    penis32.exe
    rate.exe
    regedit.exe
    ssate.exe
    sysinfo.exe
    sysmonxp.exe
    teekids.exe
    wincfg32.exetaskmon.exe
    winsys.exe
    winupd.exe
    zapro.exe
    zonealarm.exe
    d3dupdate.exe

También roba la información de registro (CD-Keys), de los siguientes juegos:

    Battlefield 1942
    Battlefield 1942 (Road To Rome)
    Battlefield 1942 (Secret Weapons of WWII)
    Battlefield Vietnam
    Black and White
    Chrome
    Command and Conquer: Generals
    Command and Conquer: Generals (Zero Hour)
    Command and Conquer: Red Alert
    Command and Conquer: Red Alert 2
    Command and Conquer: Tiberian Sun
    Counter-Strike
    FIFA 2002
    FIFA 2003
    Freedom Force
    Global Operations
    Gunman Chronicles
    Half-Life
    Hidden & Dangerous 2
    IGI 2: Covert Strike
    Industry Giant 2
    James Bond 007: Nightfire
    Legends of Might and Magic
    Medal of Honor: Allied Assault
    Medal of Honor: Allied Assault: Breakthrough
    Medal of Honor: Allied Assault: Spearhead
    Microsoft Windows Product ID
    Nascar Racing 2002
    Nascar Racing 2003
    Need For Speed Hot Pursuit 2
    Need For Speed: Underground
    Neverwinter Nights
    Neverwinter Nights (Hordes of the Underdark)
    Neverwinter Nights (Shadows of Undrentide)
    NHL 2002
    NHL 2003
    NOX
    ProductId
    Rainbow Six III RavenShield
    Shogun: Total War: Warlord Edition
    Software\Activision\Soldier of Fortune II - Double Helix
    Soldier of Fortune II - Double Helix
    Soldiers Of Anarchy
    The Gladiators
    Unreal Tournament 2003
    Unreal Tournament 2004


Reparación manual

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Deshabilitar cualquier conexión a Internet o una red

Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

* En Windows 95/98/Me/NT/2000

1. Seleccione Inicio, Buscar, Archivos o carpetas

2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas"

3. En "Nombre" ingrese (o corte y pegue), lo siguiente:

    SYSTAC?.EXE

4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados

5. Cierre la ventana de búsqueda

6. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

* En Windows XP

1. Seleccione Inicio, Buscar

2. Seleccione "Todos los archivos y carpetas"

3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente:

    SYSTAC?.EXE

4. Verifique que en "Buscar en:" esté seleccionado "C:"

5. Pinche en "Más opciones avanzadas"

6. Seleccione "Buscar en carpetas del sistema"

7. Seleccione "Buscar en subcarpetas"

8. Haga clic en "Búsqueda" y borre todos los archivos encontrados

9. Cierre la ventana de búsqueda

10. Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

    HKEY_CURRENT_USER
    \Software
    \Microsoft
    \Windows
    \CurrentVersion
    \Run

3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Syntax Script

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

    HKEY_CURRENT_USER
    \Software
    \Microsoft
    \Windows
    \CurrentVersion
    \RunOnce

5. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Syntax Script

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \Run

7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Syntax Script

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \RunOnce

9. Haga clic en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Syntax Script

10. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \RunServices

11. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Syntax Script

12. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

13. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.

Más información http://www.vsantivirus.com/irc-sdbot-ctf.htm