Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Categoría: 2 (bajo riesgo)
Tipo: Gusano
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Medio de contagio: Correo infectado.
Fecha de descubrimiento: 30 de enero de 2005
Acciones que toma:

1. Se copia a si mismo a %System%\pgjd83sa.exe
2. Añade este valor: "statload" = "pgjd83sa.exe" en la siguientes calves del registro, de manera que se ejecuta cada vez que se inicia el sistema.
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
     RunServices
   • HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
3. Se conecta a: axess.warezfr.ca usando el puerto 2784 a través de IRC
4. Permite que un atacante realice una de estas acciones:
   • Realizar un escaneo de puertos
   • Subir, bajar y ejecutar archivos
5. Se copia a si mismo con este nombre: d9gj32.exe en una de los siguientes recursos compartido de red o en una dirección ip aleatoria
   • ADMIN$\system32
   • C$
   • C$\Documents and Settings\All Users\Documents
   • C$\shared
   • C$\windows\system32
   • C$\winnt\system32
   • IPC$
6. Usa nombres de usuario obtenidos del sistema y la siguiente lista de claves para tratar de copiarse en sitios compartidos de la red
   • 007
   • 121
   • access
   • accounting
   • accounts
   • adm
   • admin
   • administrateur
   • administrator
   • afro
   • asd
   • backup
   • barbara
   • bill
   • blank
   • bruce
   • capitol
   • changeme
   • cisco
   • compaq
   • control
   • ctx
   • data
   • database
   • databasepass
   • databasepassword
   • db1
   • db1234
   • dbpass
   • dbpassword
   • default
   • dell
   • domain
   • domainpass
   • domainpassword
   • exchange
   • exchnge
   • fish
   • fred
   • freddy
   • fuck
   • glen
   • god
   • guest
   • headoffice
   • heaven
   • hell
   • home
   • homeuser
   • internet
   • intranet
   • kate
   • katie
   • lan
   • login
   • loginpass
   • main
   • mass
   • nokia
   • none
   • oem
   • oeminstall
   • oemuser
   • office
   • orange
   • owa
   • pass
   • pass1234
   • passwd
   • password
   • password1
   • pink
   • pwd
   • qaz
   • ron
   • sage
   • sam
   • sex
   • siemens
   • sql
   • sqlpass
   • staff
   • student
   • student1
   • teacher
   • technical
   • test
   • turnip
   • user
   • user1
   • userpassword
   • web
   • win2000
   • win2k
   • win98
   • windows
   • winnt
   • winpass
   • winxp
   • www
   • yellow

---

Eliminación:

Manual:

1. Deshabilitar la recuperación del sistema (Windows Xp y Millenium)
2. Actualizar las definiciones del antivirus
3. Reiniciar la computadora en modo seguro o modo VGA
4. Ejecutar un análisis completo y borrar todos los archivos infectados con «Backdoor.Sdbot.AO»
5. Borrar las entradas mencionadas del el registro al igual que los archivos mencionados.

Para borrar las entradas del registro, hay que usar Inicio > ejecutar > regedit, navegar por el panel izquierdo hasta las carpetas o claves mencionadas y eliminar los valores mencionados antes del panel derecho.

---

Comentario:
Este gusano no parece expandirse mucho, al menos por ahora, y su motor de violar sistemas, aunque bien encaminado, parece poco potente, sin embargo, si afecta a un sistema, las posibilidades que leotorga al atacante son bastante amplias, por lo que conviene estar limpio

Páginas de referencia:
Inglés