Nume:W32/Codbot.A.1
Descoperit pe data de:15/02/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:50.176 Bytes
MD5:6f6affa5a078d9c2b6a3633db7462745
Versiune VDF:6.29.00.125

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Codbot.A
   •  Mcafee: W32/Sdbot.worm.gen
   •  Kaspersky: Backdoor.Win32.Codbot.ab
   •  TrendMicro: WORM_CODBOT.B
   •  Sophos: Exp/MS04011-A
   •  Grisoft: BackDoor.Small.7.AT
   •  VirusBuster: Worm.Codbot.A
   •  Eset: Win32/Codbot.E
   •  Bitdefender: Worm.Sdbot.CNY


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\upnp.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\UPnP Configuration
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\upnp.exe"
   • "DisplayName"="Universal Plug and Play Device Configuration"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Handling all UPnP related system operations."

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori si parole:
   • Rendszergazda
   • Beheerder
   • amministratore
   • hallintovirkailijat
   • Administrat
   • Administrateur
   • administrador
   • Administrador
   • administrator
   • Administrator
   • ADMINISTRATOR
   • Password
   • password



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: 0x41.cyber**********
Port: 6556
Canal: #0x90
Nick: %sir de 9 caractere aleatoare%
Parola: 3nt3r

Server: dev.lsa**********
Port: 6556
Canal: #0x90
Nick: %sir de 9 caractere aleatoare%
Parola: 3nt3r

Server: dev.lsa**********
Port: 6556
Canal: #0x90
Nick: %sir de 9 caractere aleatoare%
Parola: 3nt3r

Server: dev.mem**********
Port: 6556
Canal: #0x90
Nick: %sir de 9 caractere aleatoare%
Parola: 3nt3r



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activarea partajarii de resurse in retea
    • terminare proces
    • Scaneaza reteaua
    • Porneste keylog
    • Porneste rutina de raspandire
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur

 Backdoor Deschide portul

– %SYSDIR%\upnp.exe pe portul TCP 21 pentru a functiona ca server FTP.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • 0x0_UPnP_0x0

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Irina Boldea on Tuesday, May 16, 2006
Description updated by Irina Boldea on Tuesday, May 16, 2006

Back . . . .