¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/CodBot.20959
Descubierto:15/07/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:20.959 Bytes
Suma de control MD5:e30Fb27bda3e449353048a5053eb4585
Versión del VDF:6.31.00.214

 General Método de propagación:
   • Red local


Alias:
   •  Mcafee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\mapi32.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%TEMPDIR%\erase.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Enables support for the Messaging Application Program Interface."



Añade las siguientes claves al registro:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



Modifica las siguientes claves del registro:

– HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   Valor anterior:
   • "NetbiosOptions" = %configuración definida por el usuario%
   Nuevo valor:
   • "NetbiosOptions" = dword:00000002

– HKLM\SOFTWARE\Microsoft\OLE
   Valor anterior:
   • "EnableDCOM" = %configuración definida por el usuario%
   Nuevo valor:
   • "EnableDCOM" = "N"

– HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   Valor anterior:
   • "Start" = %configuración definida por el usuario%
   Nuevo valor:
   • "Start" = dword:00000003

– HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   Valor anterior:
   • "MaxClientRequestBuffer" = %configuración definida por el usuario%
   Nuevo valor:
   • "MaxClientRequestBuffer" = dword:00000000

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow al utilizar VERITAS Backup Exec Admin Plus Pack Option)


Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.


Ejecución remota:
–Intenta programar una ejecución remota del programa viral, en la máquina recién infectada. Por eso emplea la función NetScheduleJobAdd.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: 0x80.martian**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7

Servidor: 0xff.mem**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7

Servidor: 0x80.online-**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7

Servidor: 0x80.going**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7

Servidor: 0x80.my**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7

Servidor: 0x80.my-**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dígitos%
Contraseña: g3t0u7



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseñas guardadas
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
    • Realizar un análisis de la red
    • Iniciar la rutina de propagación
    • Terminar proceso viral

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\mapi32.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
%SYSDIR%\mapi32.exe en el puerto UDP 69 para funcionar como servidor TFTP.

 Robo de informaciones     • Pulsaciones de teclado

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • bank
   • e-bay
   • ebay
   • paypal

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • xMAPIMailClientx

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • MEW

Descripción insertada por Irina Boldea el martes, 14 de marzo de 2006
Descripción actualizada por Irina Boldea el miércoles, 15 de marzo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.