Nume:Worm/CodBot.19792
Descoperit pe data de:17/08/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:19.456 Bytes
MD5:A99408E866C8115BC605C00446911017
Versiune VDF:6.31.1.104

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Toxbot
   •  Mcafee: Exploit-Lsass.gen
   •  Kaspersky: Backdoor.Win32.Codbot.am
   •  TrendMicro: WORM_TOXBOT.B
   •  VirusBuster: Worm.Codbot.Gen.2
   •  Bitdefender: GenPack:Backdoor.SDBot.F12601F2


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\rpcmon.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\Rpcmon]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\rpcmon.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Monitoring"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex numbers%
   • "Description"="Monitoring the end point mapper and other RPC services."

– [HKLM\SYSTEM\CurrentControlSet\Services\Rpcmon\Security]
   • "Security"=%hex numbers%



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon]
   • @="Service"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: 0x80.online-**********.org
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.going<.MASK>formars.com
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.my**********.com
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.**********-secure.name
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0xff.**********zero.info
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.martian**********.com
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Cantitatea de memorie


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier

 Backdoor Deschide porturile:

– %SYSDIR%\rpcmon.exe pe portul UDP 69 pentru a oferi un server TFTP.
– %SYSDIR%\rpcmon.exe port TCP aleator pentru a functiona ca server FTP.
– %SYSDIR%\rpcmon.exe port TCP aleator pentru a oferi functionalitate de backdoor.

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • "e-gold"
   • "egold"
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • XRpCMoNx

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Gherman on Wednesday, August 17, 2005
Description updated by Andrei Gherman on Wednesday, August 8, 2007

Back . . . .