Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Sdbot.FME realiza las siguientes acciones:
- Se conecta al canal #55# de varios servidores IRC, y espera órdenes de control remoto para llevar a cabo en el ordenador afectado. Se conecta a los siguientes servidores:
hhs32.security.security32.biz, a través del puerto 4654.
hhs32.security.updates32.biz, a través del puerto 65528 ó 65529.
Sólo el usuario cuya máscara sea @ASSNET puede enviar órdenes a Sdbot.FME. - Puede recibir cualquiera de las siguientes órdenes:
- Descargar y ejecutar archivos.
- Obtener claves de Protected Storage, donde se encuentran almacenadas las contraseñas de Outlook, Internet Explorer, etc.
- Iniciar o detener servicios de Windows.
- Listar y finalizar procesos.
- Aplicar políticas de seguridad de Windows de grado alto o bajo.
Cuando se aplican políticas de grado alto, se deshabilitan las siguientes opciones: el DCOM, el recurso compartido IPC$, poder compartir cualquier directorio que se estuviera compartiendo, listar las cuentas anónimas del ordenador afectado.
- Redireccionar puertos TCP hacia otros ordenadores, para utilizar el equipo de pasarela (gateway) hacia otros sitios.
- Abrir una consola CMD.
- Enumerar los recursos compartidos y crear nuevos.
- Escanear un ordenador determinado.
- Buscar o detener la búsqueda de ordenadores vulnerables.
- Actualizar la caché DNS.
- Realizar los siguientes ataques de Denegación de Servicios (DoS): ICMP Flood y TCP/SYN Flood.
- Actualizar los servidores, canales y alias a los que el gusano se conecta.
- Obtener información estadística sobre el ordenador, como el espacio libre en los discos duros o el tiempo que el usuario ha estado conectado a Internet.
- Listar las acciones que está llevando a cabo en ese momento.
- Actualizarse a sí mismo.
- Eliminarse a sí mismo.
- Conocer el tiempo que lleva activo.
Metodo de Infección
Sdbot.FME crea el archivo HHS32.PIF en el directorio de sistema de Windows. Este archivo es una copia del gusano y una vez creada, Sdbot.FME elimina el archivo original desde el que fue ejecutado.
Sdbot.FME crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ OLE
HTML32 Help System = hhs32.pif - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HTML32 Help System = hhs32.pif - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
HTML32 Help System = hhs32.pif - HKEY_CURRENT_USER\ SYSTEM\ CurrentControlSet\ Control\ Lsa
HTML32 Help System = hhs32.pif - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Ole
HTML32 Help System = hhs32.pif - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
HTML32 Help System = hhs32.pif - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
HTML32 Help System = hhs32.pif - HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ Lsa
HTML32 Help System = hhs32.pif - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Lsa
HTML32 Help System = hhs32.pif
Mediante estas entradas, Sdbot.FME consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
Sdbot.FME se propaga a través de Internet y realiza el siguiente proceso:
Otros Detalles
Sdbot.FME está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 74752 Bytes, y está comprimido.
Sdbot.FME crea un mutex llamado hhs32, para asegurarse de que únicamente haya activa una copia de sí mismo en todo momento.