¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/CodBot.20959
Descubierto:15/07/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:20.959 Bytes
Suma de control MD5:e30Fb27bda3e449353048a5053eb4585
Versin del VDF:6.31.00.214

 General Mtodo de propagacin:
   • Red local


Alias:
   •  Mcafee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\mapi32.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%TEMPDIR%\erase.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Enables support for the Messaging Application Program Interface."



Aade las siguientes claves al registro:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



Modifica las siguientes claves del registro:

HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   Valor anterior:
   • "NetbiosOptions" = %configuracin definida por el usuario%
   Nuevo valor:
   • "NetbiosOptions" = dword:00000002

HKLM\SOFTWARE\Microsoft\OLE
   Valor anterior:
   • "EnableDCOM" = %configuracin definida por el usuario%
   Nuevo valor:
   • "EnableDCOM" = "N"

HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   Valor anterior:
   • "Start" = %configuracin definida por el usuario%
   Nuevo valor:
   • "Start" = dword:00000003

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   Valor anterior:
   • "MaxClientRequestBuffer" = %configuracin definida por el usuario%
   Nuevo valor:
   • "MaxClientRequestBuffer" = dword:00000000

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
 VX05-006 (Remote Heap Overflow al utilizar VERITAS Backup Exec Admin Plus Pack Option)


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.


Ejecucin remota:
Intenta programar una ejecucin remota del programa viral, en la mquina recin infectada. Por eso emplea la funcin NetScheduleJobAdd.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: 0x80.martian**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dgitos%
Contrasea: g3t0u7

Servidor: 0xff.mem**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dgitos%
Contrasea: g3t0u7

Servidor: 0x80.online-**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dgitos%
Contrasea: g3t0u7

Servidor: 0x80.going**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dgitos%
Contrasea: g3t0u7

Servidor: 0x80.my**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dgitos%
Contrasea: g3t0u7

Servidor: 0x80.my-**********
Puerto: 6556
Canal: #9#
Apodo: %serie de caracteres aleatorios de seis dgitos%
Contrasea: g3t0u7



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseas guardadas
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamao de la memoria
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
     Realizar un anlisis de la red
     Iniciar la rutina de propagacin
    • Terminar proceso viral

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\mapi32.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
%SYSDIR%\mapi32.exe en el puerto UDP 69 para funcionar como servidor TFTP.

 Robo de informaciones      Pulsaciones de teclado

Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • bank
   • e-bay
   • ebay
   • paypal

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • xMAPIMailClientx

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • MEW

Descripción insertada por Irina Boldea el martes 14 de marzo de 2006
Descripción actualizada por Irina Boldea el miércoles 15 de marzo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.