WORM_SDBOT.UH
Backdoor:Win32/Rbot (Microsoft); W32.Spybot.Worm (Symantec); W32/Sdbot.worm.gen (McAfee); W32/Rbot-HQ (Sophos)
Windows 2000, Windows XP, Windows Server 2003
Tipo di minaccia informatica:
Worm
Distruttivo?:
No
Crittografato?:
No
In the wild::
Sì
Panoramica e descrizione
Utiliza una lista de nombres de usuario para acceder a archivos compartidos protegidos mediante contraseña. Utiliza una lista de contraseñas para acceder a archivos compartidos protegidos mediante contraseña. Se aprovecha de las vulnerabilidades de software para propagarse por las redes.
Se conecta a servidores de IRC. Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.
Perpetra ataques de denegación de servicio (DoS) en sistemas afectados utilizando métodos de inundación específicos.
Roba claves de CD, números de serie y/o los identificadores de producto de determinados programas. La información sustraída se puede usar para beneficio de los ciberdelincuentes, quienes pueden acceder a esa información. Usa un rastreador para averiguar contraseñas de los paquetes de red. Esta acción permite a este malware conocer las contraseñas de inicio de sesión de los equipos conectados al sistema.
Dettagli tecnici
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System%\WIN32X.EXE
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Time Manager = "dveldr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
Microsoft Time Manager = "dveldr.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Ole
Microsoft Time Manager = "dveldr.exe"
Propagación
Infiltra copias de sí mismo en las carpetas compartidas siguientes:
- ADMIN$\system32
- C$\Windows\system32
- C$\WINNT\system32
- IPC$
Utiliza la siguiente lista de nombres de usuario para acceder a archivos compartidos protegidos mediante contraseña:
- {blank}
- accounting
- accounts
- administrador
- administrat
- administrateur
- administrator
- admins
- backup
- blank
- brian
- chris
- cisco
- compaq
- computer
- control
- database
- default
- exchange
- george
- guest
- homeuser
- internet
- intranet
- katie
- nokia
- oeminstall
- oemuser
- office
- oracle
- orainstall
- outlook
- owner
- peter
- siemens
- staff
- student
- susan
- teacher
- technical
- win2000
- win2k
- win98
- windows
- winnt
- winxp
- wwwadmin
Utiliza la siguiente lista de contraseñas para acceder a archivos compartidos protegidos mediante contraseña:
- {blank}
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234567890
- access
- bitch
- changeme
- databasepass
- databasepassword
- db1234
- dbpass
- dbpassword
- domain
- domainpass
- domainpassword
- hello
- linux
- login
- loginpass
- pass1234
- passwd
- password
- password1
- qwerty
- server
- sqlpassoainstall
- system
- winpass
Se aprovecha de las vulnerabilidades de software siguientes para propagarse por las redes:
- (MS03-026) Buffer Overrun In RPC Interface Could Allow Code Execution
- (MS02-061) Elevation of Privilege in SQL Server Web Tasks (Q316333)
- (MS03-007) Unchecked Buffer In Windows Component Could Cause Server Compromise (815021)
- (MS04-011) Security Update for Microsoft Windows (835732)
Rutina de puerta trasera
Se conecta a alguno de los siguientes servidores de IRC:
- irc.{BLOCKED}o.net
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Update malware from HTTP and FTP URL
- Steal CD keys of games
- Execute a file
- Download from HTTP and FTP URL
- Open a command shell
- Open files
- Display the driver list
- Get screen capture
- Capture pictures and video clips
- Display netinfo
- Make a bot join a channel
- Stop and start a thread
- List all running process
- Rename a file
- Generate a random nickname
- Perform different kinds of distributed denial of service (DDoS) attacks
- Retrieve and clear log files
- Terminate the bot
- Disconnect the bot from IRC
- Send a message to the IRC server
- Let the bot perform mode change
- Change BOT ID
- Display connection type, local IP address, and other net information
- Log in and log out the user
- Issue Ping attack on to a target computer
- Display system information such as CPU speed, Amount of memory, Windows platform, build version and product ID, Malware uptime, User name
Ataque de denegación de servicio
Perpetra ataques de denegación de servicio (DoS) en sistemas afectados utilizando los siguientes métodos de inundación:
- HTTP
- ICMP
- SYN
- UDP
Robo de información
Roba claves de CD, números de serie y/o identificadores de producto de aplicaciones de determinados programas.
Inicia un rastreador carnívoro para recuperar contraseñas de los paquetes de red usando determinadas cadenas.
Soluzioni
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Identificar y terminar los archivos detectados como WORM_SDBOT.UH
- Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecución. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuestión aquí.
- Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
- Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuación.
Step 3
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- Microsoft Time Manager = "dveldr.exe"
- Microsoft Time Manager = "dveldr.exe"
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
- Microsoft Time Manager = "dveldr.exe"
- Microsoft Time Manager = "dveldr.exe"
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
- Microsoft Time Manager = "dveldr.exe"
- Microsoft Time Manager = "dveldr.exe"
Step 4
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como WORM_SDBOT.UH En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Step 5
Descargar y aplicar estos parches de seguridad No utilice estos productos hasta que se hayan instalado los parches adecuados. Trend Micro recomienda a los usuarios que descarguen los parches críticos en cuanto los proveedores los pongan a su disposición.
- http://technet.microsoft.com/en-us/security/bulletin/ms03-026
- http://technet.microsoft.com/en-us/security/bulletin/ms02-061
- http://technet.microsoft.com/en-us/security/bulletin/ms03-007
- http://technet.microsoft.com/en-us/security/bulletin/ms04-011
Sondaggio