Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Spida.B
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Spida.B copia en un archivo de texto todas las claves de acceso al servidor infectado y los envía a la dirección de correo electrónico ixltd@postone.com. De este modo, convierte en vulnerable el servidor atacado.

Metodo de Infección

Spida.B copia el archivo REGEDIT32.EXE en el directorio raíz y borra el archivo MSVER241.SRQ.

A continuación, Spida.B crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ NetDDE\ ImagePath %COMSPEC% / c start netdde && sqlprocess init
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ NetDDE\ Start 2
Estas dos entradas tienen por objeto activar el protocolo DDE.
HKEY_LOCAL_MACHINE\ software\ microsoft\ mssqlserver\ client\ connectto\ Dsquery dbmssocn
Esta entrada permite al servidor utilizar la librería Winsock en lugar de la librería Dbnetlib, utilizada por defecto.

Para llevar a cabo la infección, Spida.B hace uso de los siguientes componentes:

SERVICES.EXE: Escáner utilizado para localizar otros sistemas vulnerables.
SQLEXEC.JS: Permite la ejecución de comandos.
CLEMAIL.EXE: Aplicación shareware que permite enviar mensajes desde la línea de comandos.
SQLPROCESS.JS: Añade entradas al Registro, mueve y elimina archivos.
SQLINSTALL.BAT: Copia los archivos del gusano al sistema.
SQLDIR.JS: Recoge información del sistema.
TIMER.DLL: Archivo complementario.
SAMDUMP.DLL: Archivo complementario.
PWDUMP2.EXE: Recoge información sobre claves de acceso.
RUN.JS.

Método de Propagación

Para propagarse, Spida.B busca servidores que tengan las siguientes características:

La aplicación SQL de Microsoft instalada.
Una cuenta de administrador con la contraseña en blanco.
El puerto 1433 abierto. Spida.B realiza sus comunicaciones con el servidor infectado a través de ese puerto.
Una dirección IP que no comience por 10, 127, 172 ó 192, ya que dichas direcciones IP se están reservadas a Intranets.

Para encontrar servidores que reúnan esas características, Spida.B utiliza alguna de las herramientas señaladas en el apartado Método de infección. Principalmente SERVICES.EXE.

Otros Detalles

Spida.B tiene un tamaño de 1140 Bytes.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info