WORM_SDBOT.SPB
Trojan:Win32/Qhost.gen!D (Microsoft), W32.IRCBot.Gen (Symantec), Generic QHosts.a.gen (McAfee), Mal/NafBot-A (Sophos), Trojan.Win32.Ircbot!cobra (Sunbelt), W32/Antavmu.FC!tr (Fortinet); W32/Bloop.A.gen!Eldorado (Fprot), Worm.Win32.Pushbot (Ikarus), Win32/Boberog.BG worm (Nod32), Trojan W32/Rbot.BOA (Norman),
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.
TECHNICAL DETAILS
Detalles de entrada
Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %Windows%\test.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Finaliza la ejecuci¨®n de la copia que ejecut¨® inicialmente y ejecuta en su lugar la copia que ha creado.
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
test = "test.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
test = "test.exe"
Otras modificaciones del sistema
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:1"
±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô
Crea las carpetas siguientes en todas las unidades extra¨ªbles:
- driver
- driver\usb
Este malware infiltra la(s) siguiente(s) copia(s) de s¨ª mismo en todas las unidades extra¨ªbles:
- driver\usb\{random characters}
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Rutina de puerta trasera
Se conecta a uno de los servidores de IRC siguientes:
- irc.{BLOCKED}ini.net
Modificar el archivo HOSTS
Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:
- www.symantec.com
- securityresponse.symantec.com
- symantec.com
- www.sophos.com
- sophos.com
- www.mcafee.com
- mcafee.com
- liveupdate.symantecliveupdate.com
- www.viruslist.com
- viruslist.com
- viruslist.com
- f-secure.com
- www.f-secure.com
- kaspersky.com
- kaspersky-labs.com
- www.avp.com
- www.kaspersky.com
- avp.com
- www.networkassociates.com
- networkassociates.com
- www.ca.com
- ca.com
- mast.mcafee.com
- my-etrust.com
- www.my-etrust.com
- download.mcafee.com
- dispatch.mcafee.com
- secure.nai.com
- nai.com
- www.nai.com
- update.symantec.com
- updates.symantec.com
- us.mcafee.com
- liveupdate.symantec.com
- customer.symantec.com
- rads.mcafee.com
- trendmicro.com
- www.trendmicro.com
- www.grisoft.com
- www.grisoft.com
- virustotal.com
- www.virustotal.com
- virscan.org
- www.virscan.org
- scanner.novirusthanks.org
- www.scanner.novirusthanks.org
- virusscan.jotti.org
- www.virusscan.jotti.org
- threatexpert.com
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Terminar este proceso
- Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecuci¨®n. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuesti¨®n .
- Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
- Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuaci¨®n.
Step 3
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- test = "test.exe"
- test = "test.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
- test = "test.exe"
- test = "test.exe"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- {malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:1"
- {malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:1"
Step 4
Buscar y eliminar estas carpetas
Step 5
Eliminar estas cadenas que el malware/grayware/spyware ha a?adido al archivo HOSTS
Step 6
Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_SDBOT.SPB que contienen las siguientes cadenas
Step 7
Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como WORM_SDBOT.SPB En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.