Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Spida copia en un fichero de texto todas las claves de acceso al servidor infectado y los envía a la dirección de correo electrónico ixltd@postone.com. De este modo, convierte en vulnerable el servidor atacado.
Metodo de Infección
Spida copia el fichero REGEDIT32.EXE en el directorio raíz y borra el fichero MSVER241.SRQ.
A continuación, Spida crea las siguientes entradas en el Registro de Windows:
Para llevar a cabo la infección, Spida hace uso de los siguientes componentes:
- SERVICES.EXE: escáner tilizado para localizar otros sistemas vulnerables.
- SQLEXEC.JS: Permite la ejecución de comandos.
- CLEMAIL.EXE: Aplicación shareware que permite enviar mensajes desde la línea de comandos.
- SQLPROCESS.JS: Añade entradas al Registro, mueve y elimina ficheros.
- SQLINSTALL.BAT: Copia los ficheros del gusano al sistema.
- SQLDIR.JS: Recoge información del sistema.
- TIMER.DLL: Fichero complementario.
- SAMDUMP.DLL: Fichero complementario.
- PWDUMP2.EXE: Recoge información sobre claves de acceso.
- RUN.JS
Método de Propagación
Para propagarse, Spida busca servidores que tengan las siguientes características:
- La aplicación SQL de Microsoft instalada.
- Una cuenta de administrador con la contraseña en blanco.
- El puerto 1433 abierto. Spida realiza sus comunicaciones con el servidor infectado a través de ese puerto.
- Una dirección IP que no comience por 10, 127, 172 ó 192, ya que dichas direcciones IP se están reservadas a Intranets.
Para encontrar servidores que reúnan esas características, Spida utiliza alguna de las herramientas señaladas en el apartado Método de infección. Principalmente SERVICES.EXE.