¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Codbot.AP
Descubierto:29/08/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:19.968 Bytes
Suma de control MD5:c34b5ec44017814cb4b9718855267984
Versin del VDF:6.31.01.192

 General Mtodo de propagacin:
   • Red local


Alias:
   •  Kaspersky: Backdoor.Win32.Codbot.ap
   •  TrendMicro: WORM_SDBOT.CDI
   •  Sophos: W32/Codbot-W
   •  VirusBuster: Worm.Codbot.AI
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.BJ


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\Perfhmon.exe

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\Perfhmon.exe
   • "DisplayName"="Performance Logs"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Collects performance data from local or remote computers based on preconfigured schedule parameters, then writes the data to a log or triggers an alert."



Aade las siguientes claves al registro:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Perfhmon
   • @="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Perfhmon
   • @="Service"

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
 VX05-006 (Remote Heap Overflow al utilizar VERITAS Backup Exec Admin Plus Pack Option)


Proceso de infeccin:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicacin remota.


Ejecucin remota:
Intenta programar una ejecucin remota del programa viral, en la mquina recin infectada. Por eso emplea la funcin NetScheduleJobAdd.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: 0x80.martian**********
Puerto: 6556
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0xff.mem**********
Puerto: 6556
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0x80.online-**********
Puerto: 6556
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0x80.going**********
Puerto: 6556
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0x80.my**********
Puerto: 6556
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0x80.my-**********
Puerto: 6556
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0x80.martian**********
Puerto: 1023
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0xff.mem**********
Puerto: 1023
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0x80.online-**********
Puerto: 1023
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0x80.going**********
Puerto: 1023
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0x80.my**********
Puerto: 1023
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7

Servidor: 0x80.my-**********
Puerto: 1023
Canal: #21#
Apodo: %serie de caracteres aleatorios%
Contrasea: g3t0u7



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseas guardadas
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca de los procesos del sistema
    • Tamao de la memoria
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Abrir remote shell
     Realizar un anlisis de la red
     Iniciar la rutina de propagacin
    • Terminar proceso viral

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\mapi32.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
%SYSDIR%\mapi32.exe en el puerto UDP 69 para funcionar como servidor TFTP.

 Robo de informaciones      Pulsaciones de teclado

Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • e-gold
   • egold
   • bank
   • e-bay
   • ebay
   • paypal

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • xPerFHmoNx

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • MEW

Descripción insertada por Irina Boldea el martes 14 de marzo de 2006
Descripción actualizada por Irina Boldea el miércoles 15 de marzo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.