W32/Sdbot.AGZ, SdBot.AGZ/IRC
Sdbot.AGZ es un destructivo gusano/backdoor residente en memoria reportado el 13 de Diciembre del 2005, que se propaga a través de redes con recursos compartidos configuradas con contraseñas débiles, además de servidores MS-SQL.
Infecta con un archivo de nombre Flxper.exe, activa un BOT de IRC (Internet Chat Relay) y ejecuta diversas acciones en forma remota, incluso buscando vulnerabilidades de los sistemas operativos y ocasionando ataques DoS.
Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 59 KB
Recordemos que un BOT es la abreviatura de "robot" que se aplica a un programa que contiene instrucciones para actuar en forma independiente, pudiendo realizar una diversidad de comandos o acciones en forma automática.
Existen cada vez mas sitios web que distribuyen gratuitamente BOTS de IRC:
http://www.egghelp.org
http://supybot.com
http://www.jibble.org/pircbot.php
http://www.ybbot.com
http://www.macurious.com/free/ircbot/agbot
Una vez ingresado a un sistema se auto-copia a la carpeta %System% con el nombre de Flxper.exe y para activarse la siguiente vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"NotFaut" = "%System%\flxper.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"NotFaut" = "%System%\flxper.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices]
"NotFaut" = "%System%\flxper.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el gusano rastrea direcciones de redes con recursos compartidos configuradas con nombres de usuarios y contraseñas débiles buscando copiarse a las siguientes carpetas:
ADMIN$
C$
D$
E$
IPC$
LWC$
PRINT$
para lo cual usa una extensa lista de nombres y contraseñas compilada en su código.
Actuando como Backdoor emplea un Bot de IRC (Internet Chat Relay) conectándose a un pre-determinado canal de Chat cifrado desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones:
Descargar y ejecutar archivos con códigos malignos.
Borrar los archivos ocultos de las redes con recursos compartidos.
Capturar y enviar una información completa del sistema.
Capturar teclas digitadas.
Crear un BOT que se una a otros canales de Chat.
Abrir comandos remotos ocultos.
Rastrear sistemas con vulnerabilidades.
Ejecutar comandos básicos de IRC.
Habilitar y ejecutar un servidor FTP.
Ejecutar ataques DoS.
PER ANTIVIRUS® versión 9.5 con registro de virus al 13 de Diciembre del 2005 detecta y elimina eficientemente este gusano/backdoor.
NOTICIA COMPLETA EN
http://www.perantivirus.com/
http://www.perantivirus.com/sosvirus...o/sdbotagz.htm
