Nombre:Worm/ToxoBot.19744
Descubierto:16/08/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:19.744 Bytes
Suma de control MD5:EC6952A917E98971A7226D019AB1A8F7
Versión del VDF:6.31.1.92

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Toxbot
   •  VirusBuster: Worm.Codbot.AB
   •  Bitdefender: Trojan.Exploit.Hokey


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\javascript.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\javascript.exe
   • "DisplayName"="Enables Javascript Support"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,41,00,63,\ 00,01,00,00,00,01,00,00,00
   • "Description"="This service is responsible for handling Javascript."

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Javascript]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Javascript]
   • @="Service"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: 0x80.**********-software.org
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.**********formars.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.my**********.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.**********secure.name
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0xff.**********zero.info
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.martian**********.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamaño de la memoria


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\javascript.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
%SYSDIR%\javascript.exe en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.
%SYSDIR%\javascript.exe en el puerto UDP 69 para funcionar como servidor TFTP.

 Robo de informaciones Intenta robar las siguientes informaciones:

– Se inicia una rutina de creación de ficheros log después de teclear los siguientes textos:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • xJavaSCriptx

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el martes 16 de agosto de 2005
Descripción actualizada por Andrei Gherman el miércoles 24 de agosto de 2005

Volver . . . .