Worm/CodBot.19792 - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/CodBot.19792
Descubierto:	17/08/2005
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	19.456 Bytes
Suma de control MD5:	A99408E866C8115BC605C00446911017
Versión del VDF:	6.31.1.104

General Método de propagación:
   • Red local

Alias:
   • Symantec: W32.Toxbot
   • Mcafee: Exploit-Lsass.gen
   • Kaspersky: Backdoor.Win32.Codbot.am
   • TrendMicro: WORM_TOXBOT.B
   • VirusBuster: Worm.Codbot.Gen.2
   • Bitdefender: GenPack:Backdoor.SDBot.F12601F2

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\rpcmon.exe

Elimina la copia inicial del virus.

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\Rpcmon]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\rpcmon.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Monitoring"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex numbers%
   • "Description"="Monitoring the end point mapper and other RPC services."

– [HKLM\SYSTEM\CurrentControlSet\Services\Rpcmon\Security]
   • "Security"=%hex numbers%

Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon]
   • @="Service"

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)

Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: 0x80.online-**********.org
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.going<.MASK>formars.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.my**********.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.**********-secure.name
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0xff.**********zero.info
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.martian**********.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamaño de la memoria

– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero

Backdoor (Puerta trasera) Abre los siguientes puertos:

– %SYSDIR%\rpcmon.exe en el puerto UDP 69 para funcionar como servidor TFTP.
– %SYSDIR%\rpcmon.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
– %SYSDIR%\rpcmon.exe en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.

Robo de informaciones Intenta robar las siguientes informaciones:

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • "e-gold"
   • "egold"
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• XRpCMoNx

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Wed, 17 Aug 2005 14:26 (GMT+1)
Descripción actualizada por Andrei Gherman el Wed, 08 Aug 2007 12:53 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver