| Nombre común: Sdbot.LLF
Nombre técnico: W32/Sdbot.LLF.worm
Peligrosidad: Media
Tipo: Backdoor
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 06/12/2007
Detección actualizada: 06/12/2007
¿Está en circulación? Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Sdbot.LLF es un backdoor que permite a los hackers acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad: contraseñas guardadas por algunos servicios de Windows.
Envía la información que ha conseguido recoger a un usuario remoto, a través de cualquier vía: correo electrónico, FTP, etc.
Reduce el nivel de seguridad del ordenador: permanece a la escucha de puertos ya abiertos para poder controlar remotamente el ordenador; permanece a la espera de órdenes de control remoto, recibidas a través de IRC.
Utiliza técnicas de ocultación para impedir su detección por parte del usuario:
Finaliza procesos correspondientes a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, para evitar ser detectado.
Emplea diversas técnicas con objeto de dificultar su análisis por parte de compañías antivirus:
Finaliza su propia ejecución si detecta que está siendo ejecutado en un entorno de máquina virtual, como por ejemplo VMWare o VirtualPC.
Efectos
Sdbot.LLF permite acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Evita su detección por parte del usuario afectado, empleando las siguientes técnicas de ocultación:
Finaliza los procesos correspondientes a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, de modo que no puedan alertar al usuario de la presencia de este malware en el ordenador.
Dificulta su análisis por parte de compañías antivirus mediante las siguientes técnicas:
Finalizando su propia ejecución si detecta que está siendo ejecutado en un entorno de máquina virtual, como por ejemplo VMWare o VirtualPC.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad:
Contraseñas guardadas por algunos servicios de Windows.
Posteriormente, envía la información que ha conseguido recoger a un usuario remoto, a través de cualquier vía: correo electrónico, FTP, etc.
Reduce el nivel de seguridad del ordenador:
Permanece a la escucha de puertos ya abiertos para poder controlar remotamente el ordenador.
Permanece a la espera de órdenes de control remoto, recibidas a través de IRC.
Método de Propagación
Propagación a través de recursos compartidos de red:
Sdbot.LLF comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas.
Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.
Otros Detalles
Sdbot.LLF tiene las siguientes características adicionales:
Tiene un tamaño de 47616 Bytes.
|
|
