WORM_SDBOT.ERP

Modifica determinadas entradas de registro para desactivar las funciones del Centro de seguridad. Esto permite que el malware ejecute sus rutinas sin ser detectado. Modifica determinadas entradas de registro para desactivar las actualizaciones automáticas de Service Pack 2 en los sistemas afectados que ejecutan Windows XP. Desactiva el Administrador de tareas, el Editor del Registro y las opciones de carpeta.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Windows%\ntvdm.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.\
0000
Service = "NTVDM."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTVDM.
ImagePath = "%Windows%\ntvdm.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTVDM.
DisplayName = "NTVDM."

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %Windows%\ntvdm.exe"

(Note: The default value data of the said registry entry is "Explorer.exe".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
SFCDisable = "{hex}"

(Note: The default value data of the said registry entry is 0.)

Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.\
0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.\
0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTVDM.

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Enterprise Security Manager = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Intruder Alert = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
LiveAdvisor = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
LiveUpdate = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton AntiVirus Product Updates = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton AntiVirus Virus Definitions = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton CleanSweep = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton Commander = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton Internet Security = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton SystemWorks = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton Utilities = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
PC Handyman and HealthyPC = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
pcANYWHERE = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Rescue Disk = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Symantec Desktop Firewall = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Symantec Gateway Security IDS = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
SymEvent = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Ghost = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
NetRecon = "1"

Agrega las siguientes claves de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Ole
EnableDCOM = "N"

(Note: The default value data of the said registry entry is Y.)

Modifica las siguientes entradas de registro para desactivar las funciones del Centro de seguridad:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(Note: The default value data of the said registry entry is 0.)

Modifica las siguientes entradas de registro para desactivar las actualizaciones automáticas de Service Pack 2 en los sistemas afectados que ejecutan Windows XP:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = "1"

(Note: The default value data of the said registry entry is 0.)

Crea la(s) siguiente(s) entrada(s) de registro para desactivar el Administrador de tareas, las herramientas de registro y las opciones de carpeta:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Policies\System
DisableTaskMgr = "1"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Policies\System
DisableRegistryTools = "1"

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\WindowsFirewall\StandardProfile
EnableFirewall = "0"