SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Jueves 24 de Agosto de 2006, 15:29
-
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta: 23-08-2006
Última Actualización: 23-08-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Sdbot.BAY
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Sdbot-BAY (Sophos)
Detalles
Sdbot.BAY está activo de forma continua en un segundo plano y proporciona un servidor de puerta trasera que permite a un usuario remoto acceder y controlar un ordenador a través de canales IRC.
Incluye funcionalidades para acceder a Internet y comunicarse con un servidor remoto vía HTTP.
Al ejecutarse por primera vez, se copia en %Windows%\msput.exe.
El archivo msput.exe se registra como un nuevo servicio de controlador de sistema con el nombre "Microsoft Startup Manager", y puede también ejecutarse de forma automática al inicio del sistema. Se crearán entradas en el registro en:
HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Startup Manager\
Crea las siguientes entradas en el registro, lo que desactiva el inicio automático de cualquier otro programa:
HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4
HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Start
4
Se crearán entradas en el registro de la siguiente manera:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2
1
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1
Se crearán entradas en el registro en:
HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\