WORM_SDBOT.JAB
Backdoor:Win32/IRCbot.gen!U (Microsoft), Backdoor.Win32.IRCBot.gen (Kaspersky), Bloodhound.Exploit.8 (Symantec), Exploit-DcomRpc.gen (McAfee), Mal/IRCBot-C (Sophos), Trojan.Win32.Ircbot!cobra (Sunbelt), W32/IRCBot.C!tr.bdr (Fortinet); Virus.Win32.IRCBot (Ikarus), Win32/AutoRun.IRCBot.FC (Nod32), Trojan W32/Ircbot.BFOH (Norman),
Windows 2000, Windows XP, Windows Server 2003
Tipo di minaccia informatica:
Worm
Distruttivo?:
No
Crittografato?:
No
In the wild::
³§¨¬
Panoramica e descrizione
Llega tras conectar las unidades extra¨ªbles afectadas a un sistema. Entra mediante recursos compartidos de igual a igual (P2P).
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado. Utiliza una lista de contrase?as para acceder a archivos compartidos protegidos mediante contrase?a.
Se une a un canal de IRC.
Dettagli tecnici
Detalles de entrada
Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.
Entra mediante recursos compartidos de igual a igual (P2P).
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %Application Data%\dnsupdater.exe
- %User Temp%\windump.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:
- anotherblackwidow
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SunJavaUpdateSched = "%Application Data%\dnsupdater.exe"
±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô
Infiltra copias de s¨ª mismo en las carpetas compartidas siguientes:
- SharedDocs\porno_movie.mpeg.exe
- ADMIN$\porno_movie.mpeg.exe
- C$\porno_movie.mpeg.exe
- D$\porno_movie.mpeg.exe
- E$\porno_movie.mpeg.exe
Este malware infiltra la(s) siguiente(s) copia(s) de s¨ª mismo en todas las unidades extra¨ªbles:
- autorunme.exe
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Utiliza la siguiente lista de contrase?as para acceder a archivos compartidos protegidos mediante contrase?a:
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234567890
- 123abc
- abcde
- access
- admin
- administrator
- admins
- amministratore
- apollo13
- apple
- awerty
- billy
- bitch
- command
- computer
- database
- default
- guest
- hacker
- internet
- intranet
- linux
- login
- loginpass
- mysql
- nokia
- oracle
- owner
- pass1234
- qwerty
- server
- siemens
- system
- win2000
- win2k
- win95
- win98
- winnt
- winpass
- winxp
- wwwadmin
Rutina de puerta trasera
Se conecta a uno de los servidores de IRC siguientes:
- Irc.{BLOCKED}z.com
Se une a alguno de los canales siguientes de IRC:
- ##synfu##
- ##flash##
- #~priv~#
- #~cevi~#
Finalizaci¨®n del proceso
Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:
- Wireshark
- tcpview
- MSASCui
- msmpeng
Soluzioni
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Terminar este proceso
- Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecuci¨®n. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuesti¨®n .
- Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
- Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuaci¨®n.
Step 3
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- SunJavaUpdateSched = "%Application Data%\dnsupdater.exe"
- SunJavaUpdateSched = "%Application Data%\dnsupdater.exe"
Step 4
Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_SDBOT.JAB que contienen las siguientes cadenas
Step 5
Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como WORM_SDBOT.JAB En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Sondaggio