Nombre:Worm/CodBot.19792
Descubierto:17/08/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:19.456 Bytes
Suma de control MD5:A99408E866C8115BC605C00446911017
Versión del VDF:6.31.1.104

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Toxbot
   •  Mcafee: Exploit-Lsass.gen
   •  Kaspersky: Backdoor.Win32.Codbot.am
   •  TrendMicro: WORM_TOXBOT.B
   •  VirusBuster: Worm.Codbot.Gen.2
   •  Bitdefender: GenPack:Backdoor.SDBot.F12601F2


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\rpcmon.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\Rpcmon]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\rpcmon.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Monitoring"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex numbers%
   • "Description"="Monitoring the end point mapper and other RPC services."

– [HKLM\SYSTEM\CurrentControlSet\Services\Rpcmon\Security]
   • "Security"=%hex numbers%



Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon]
   • @="Service"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: 0x80.online-**********.org
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.going<.MASK>formars.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.my**********.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.**********-secure.name
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0xff.**********zero.info
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.martian**********.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamaño de la memoria


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\rpcmon.exe en el puerto UDP 69 para funcionar como servidor TFTP.
%SYSDIR%\rpcmon.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
%SYSDIR%\rpcmon.exe en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.

 Robo de informaciones Intenta robar las siguientes informaciones:

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • "e-gold"
   • "egold"
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • XRpCMoNx

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el miércoles 17 de agosto de 2005
Descripción actualizada por Andrei Gherman el miércoles 8 de agosto de 2007

Volver . . . .