backdoor.sdbot.z, backdoor.sdbot.ht
tipo: troyano
tama?o: 33,824 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 29/04/2004. descripción:
w32/sdbot.z , es un troyano, este permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
cuando el troyano se ejecuta se copia a si mismo dentro de:
system \wupdated.exe
seguidamente crea un servicio llamado windows update service, este ejecuta el archivo wupdated.exe.
además intenta eliminar el valor configuration loaded de las siguientes entradas:
hkey_local_machine\software\microsoft\windows\currentversion\run
hkey_local_machine\software\microsoft\windows\currentversion\runservices
el gusano intenta establecer comunicaci?n con un determinado servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones:
enviar información de la computadora y de la red a su creador. ejecutar y eliminar archivos. unirse a un canal de chat irc. realizar ataques de denegaci?n de servicio (dos) listar y finalizar procesos. abrir y cerrar la unidad de cd-rom. descargar archivos v?a ftp. capturar las pulsaciones del teclado (keylogger) y guardarlo en el archivo llamado keylog.txt dentro de system |
