Nombre:BDS/CodBot.AT
Descubierto:13/10/2005
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:24.576 Bytes
Suma de control MD5:2e8fbee76c2339e9894b628fb0dc341c
Versión del VDF:6.32.00.09

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Toxbot
   •  TrendMicro: WORM_CODBOT.AF
   •  VirusBuster: Worm.Codbot.AJ
   •  Bitdefender: Backdoor.Codbot.AT


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\netddesrv.exe



Crea el siguiente fichero:

%TEMPDIR%\destroy.cmd Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\NetDDEsrv
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\netddesrv.exe"
   • "DisplayName"="NetDDE Server"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,65,00,72,00,01,00,00,00,01,00,00,00
   • "Description"="Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers.



Añade las siguientes claves al registro:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: 0x80.**********.org
Puerto: 6556
Canal: #26#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: g3t0u7

Servidor: 0x80.**********.org
Puerto: 1023
Canal: #26#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: g3t0u7

Servidor: 0x80.my**********.com
Puerto: 6556
Canal: #26#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: g3t0u7

Servidor: 0x80.my**********.com
Puerto: 1023
Canal: #26#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: g3t0u7

Servidor: 0x80.my-**********.name
Puerto: 6556
Canal: #26#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: g3t0u7

Servidor: 0x80.my-**********.name
Puerto: 1023
Canal: #26#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: g3t0u7

Servidor: 0xff.me**********.info
Puerto: 6556
Canal: #26#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: g3t0u7

Servidor: 0xff.me**********.info
Puerto: 1023
Canal: #26#
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: g3t0u7

Servidor: 0x80.going**********.com
Puerto: 6556
Canal: #26#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7

Servidor: 0x80.going**********.com
Puerto: 1023
Canal: #26#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7

Servidor: 0x80.mar**********.com
Puerto: 6556
Canal: #26#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7

Servidor: 0x80.mar**********.com
Puerto: 1023
Canal: #26#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Tamaño de la memoria
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • Ejecutar fichero
    • Realizar un análisis de la red
    • Registrar un servicio
    • Iniciar la captura de pulsaciones de teclado
    • Terminar proceso

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\netddesrv.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
%SYSDIR%\netddesrv.exe en el puerto UDP 69 para funcionar como servidor TFTP.
%SYSDIR%\netddesrv.exe en un puerto TCP aleatorio

Capabilidades de control remoto:
    • Descargar fichero

 Robo de informaciones – Monitoriza la red mediante un sniffer y busca las siguientes series de caracteres:
   • bank
   • ebay
   • e-bay
   • egold
   • e-gold
   • login
   • paypal

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • xNeTDDEsrVx


Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • god hates us all

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
   • PecBundle
   • PECompact

Descripción insertada por Irina Boldea el jueves 13 de octubre de 2005
Descripción actualizada por Irina Boldea el viernes 14 de octubre de 2005

Volver . . . .