| Nombre común: Sdbot.LSM
Nombre técnico: W32/Sdbot.LSM.worm
Peligrosidad: Media
Tipo: Backdoor
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 15/03/2008
Detección actualizada: 15/03/2008
¿Está en circulación? Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Sdbot.LSM es un backdoor que permite a los hackers acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad: contraseñas guardadas por algunos servicios de Windows.
Reduce el nivel de seguridad del ordenador: finaliza procesos pertenecientes a diversas herramientas de seguridad, como programas antivirus y cortafuegos, dejando al ordenador indefenso frente a ataques de otro malware; permanece a la espera de órdenes de control remoto, recibidas a través de IRC.
Utiliza técnicas de ocultación para impedir su detección por parte del usuario:
Finaliza procesos correspondientes a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, para evitar ser detectado.
Borra el archivo original desde el que fue ejecutado, una vez se ha instalado en el ordenador.
Emplea diversas técnicas con objeto de dificultar su análisis por parte de compañías antivirus:
Finaliza su propia ejecución si detecta que está siendo ejecutado en un entorno de máquina virtual, como por ejemplo VMWare o VirtualPC.
Efectos
Sdbot.LSM permite acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o dificultan su trabajo.
Evita su detección por parte del usuario afectado, empleando las siguientes técnicas de ocultación:
Finaliza los procesos correspondientes a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, de modo que no puedan alertar al usuario de la presencia de este malware en el ordenador.
Borra el archivo original desde el que fue ejecutado, una vez se ha instalado en el ordenador.
Dificulta su análisis por parte de compañías antivirus mediante las siguientes técnicas:
Finalizando su propia ejecución si detecta que está siendo ejecutado en un entorno de máquina virtual, como por ejemplo VMWare o VirtualPC.
Captura determinada información introducida o guardada por el usuario, con el consiguiente peligro para su confidencialidad:
Contraseñas guardadas por algunos servicios de Windows.
Reduce el nivel de seguridad del ordenador:
Finaliza procesos pertenecientes a diversas herramientas de seguridad, como programas antivirus y cortafuegos, dejando al ordenador indefenso frente a ataques de otro malware.
Método de Propagación
Propagación a través de recursos compartidos de red:
Sdbot.LSM comprueba si el ordenador infectado se encuentra conectado a una red. En caso afirmativo, intenta propagarse a las unidades de red compartidas.
Para ello, intenta ganar acceso a dichas unidades compartidas, empleando contraseñas que son típicas o fáciles de adivinar.
Otros Detalles
Sdbot.LSM tiene las siguientes características adicionales:
Tiene un tamaño de 42496 Bytes.
|
|