¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/Codbot.AE.1
Descubierto:13/12/2012
Tipo:Servidor Backdoor
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:49.152 Bytes
Suma de control MD5:15870257aa24dac575191161c4d52781
Versin del VDF:7.11.53.216

 General Mtodo de propagacin:
   • Red local


Alias:
   •  Symantec: W32.Toxbot
   •  Mcafee: W32/Sdbot.worm.gen.w
   •  Kaspersky: Backdoor.Win32.Codbot.ae
   •  TrendMicro: WORM_SDBOT.BJA
   •  VirusBuster: Worm.Codbot.S


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\netddeclnt.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

– Un fichero temporal, que puede ser eliminado despus:
   • %TEMPDIR%\del.bat

 Registro Aade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

HKLM\SYSTEM\CurrentControlSet\Services\NetDDEclnt]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%directorio donde se ejecuta el programa viral%\\%ficheros ejecutados%"
   • "DisplayName"="Network DDE Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,42,00,42,\
   • 00,01,00,00,00,01,00,00,00
   • "Description"="Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers."

HKLM\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Enum]
   • "0"="Root\\LEGACY_NETDDECLNT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001
   • "INITSTARTFAILED"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Aade las siguientes claves al registro:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt]
   • @="Service"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt]
   • @="Service

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000]
   • "Service"="NetDDEclnt"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Network DDE Client"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="NetDDEclnt"

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.


Ralentizacin:
Debido a la creacin de varios hilos de ejecucin en la red, el ordenador infectado se convierte en una mquina lenta y casi inutilisable.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: %desconocido%
Canal: #exploit

Servidor: %desconocido%
Canal: #raw



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • ID de la plataforma
    • Informaciones acerca de los procesos del sistema
    • Carpeta de sistema
    • Carpeta Windows

 Robo de informaciones Intenta robar las siguientes informaciones:

Se inicia una rutina de creacin de ficheros log despus de teclear los siguientes textos:
   • bank
   • login
   • paypal
   • e-bay
   • ebay

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • PE-Crypt.Antideb

Descripción insertada por Catalin Jora el miércoles 3 de agosto de 2005
Descripción actualizada por Catalin Jora el martes 23 de agosto de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.