• Domingo 22 de Diciembre de 2024, 13:24

Autor Tema:  Sdbot.bay  (Leído 1687 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Sdbot.bay
« en: Jueves 24 de Agosto de 2006, 15:29 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   
Fecha de Alta: 23-08-2006
Última Actualización: 23-08-2006
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Sdbot.BAY    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Sdbot-BAY (Sophos)
Detalles

Sdbot.BAY está activo de forma continua en un segundo plano y proporciona un servidor de puerta trasera que permite a un usuario remoto acceder y controlar un ordenador a través de canales IRC.

Incluye funcionalidades para acceder a Internet y comunicarse con un servidor remoto vía HTTP.

Al ejecutarse por primera vez, se copia en %Windows%\msput.exe.

El archivo msput.exe se registra como un nuevo servicio de controlador de sistema con el nombre "Microsoft Startup Manager", y puede también ejecutarse de forma automática al inicio del sistema. Se crearán entradas en el registro en:

HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Startup Manager\

Crea las siguientes entradas en el registro, lo que desactiva el inicio automático de cualquier otro programa:

HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Start
4

Se crearán entradas en el registro de la siguiente manera:

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2
1

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1

Se crearán entradas en el registro en:

HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\
El pasado son solo recuerdos, el futuro son solo sueños