Efectos Sdbot.GN realiza las siguientes acciones: Se conecta al canal IRC #crooklyn del servidor irc.quakenet.org para recibir comandos de control, como por ejemplo:
- Redireccionar puertos.
- Descargar y ejecutar ficheros.
- Escanear puertos.
- Actualizar el backdoor.
- Enviar el backdoor a otros canales de IRC.
- Lanzar ataques de denegación de servicio (DoS).
Metodo de Infección Sdbot.GN crea el fichero SPOOLSVR.EXE en el directorio de sistema de Windows. Este fichero contiene el código del backdoor. Sdbot.GN crea las siguientes entradas en el Registro de Windows: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Windows SYStry = spoolsvr.exe HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\CurrentVersion\ RunServices
Windows SYStry = spoolsvr.exe
Con estas dos entradas, Sdbot.GN consigue ejecutarse cada vez que se inicie Windows.
Método de Propagación Sdbot.GN no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, transferencia de ficheros a través de FTP, canales IRC, redes de intercambio de ficheros punto a punto (P2P), etc. Otros Detalles Sdbot.GN está escrito en el lenguaje de programación C mediante el compilador LCC-Win32. El backdoor tiene un tamaño de 52256 Bytes. |