Worm/ToxoBot.19744 - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/ToxoBot.19744
Descubierto:	16/08/2005
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	19.744 Bytes
Suma de control MD5:	EC6952A917E98971A7226D019AB1A8F7
Versión del VDF:	6.31.1.92

General Método de propagación:
   • Red local

Alias:
   • Symantec: W32.Toxbot
   • VirusBuster: Worm.Codbot.AB
   • Bitdefender: Trojan.Exploit.Hokey

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\javascript.exe

Elimina la copia inicial del virus.

Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\javascript.exe
   • "DisplayName"="Enables Javascript Support"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,41,00,63,\ 00,01,00,00,00,01,00,00,00
   • "Description"="This service is responsible for handling Javascript."

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Javascript]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Javascript]
   • @="Service"

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)

Proceso de infección:
Crea un script FTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: 0x80.**********-software.org
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.**********formars.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.my**********.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.**********secure.name
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0xff.**********zero.info
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: 0x80.martian**********.com
Puerto: 1023, 6556
Canal: #15#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamaño de la memoria

– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero

Backdoor (Puerta trasera) Abre los siguientes puertos:

– %SYSDIR%\javascript.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
– %SYSDIR%\javascript.exe en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.
– %SYSDIR%\javascript.exe en el puerto UDP 69 para funcionar como servidor TFTP.

Robo de informaciones Intenta robar las siguientes informaciones:

– Se inicia una rutina de creación de ficheros log después de teclear los siguientes textos:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• xJavaSCriptx

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Tue, 16 Aug 2005 16:29 (GMT+1)
Descripción actualizada por Andrei Gherman el Wed, 24 Aug 2005 16:36 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver