BDS/Codbot.AH - Backdoor Server

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	BDS/Codbot.AH
Descubierto:	03/03/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	46.080 Bytes
Suma de control MD5:	d209b321f972e3b4a9d9d75e40a58524
Versión del VDF:	6.31.01.34

General Método de propagación:
   • Red local

Alias:
   • Symantec: W32.Toxbot
   • Mcafee: W32/Sdbot.worm.gen.w
   • Kaspersky: Backdoor.Win32.Codbot.ah
   • TrendMicro: WORM_CODBOT.W
   • VirusBuster: Worm.Codbot.Y
   • Bitdefender: Backdoor.Codbot.AH

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\dxdmain.exe

Crea el siguiente fichero:

– %TEMPDIR%\erase.bat Este fichero batch es empleado para eliminar un fichero.

Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain\Security]
   • "Security"=hex:%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxdmain]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxdmain]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%sysdir%\dxdmain.exe"
     "DisplayName"="DirectX Graphics"
     "ObjectName"="LocalSystem"
     "FailureActions"=hex:%valores hex%
     "Description"="Allows you to disable DirectDraw, Direct3D, and AGP Texture Acceleration."

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain\Enum]
   • "0"="Root\\LEGACY_DXDMAIN\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000]
   • "Service"="dxdmain"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="DirectX Graphics"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="dxdmain"

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
• ipc$
• c$

Exploit:
Emplea las siguientes brechas de seguridad:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow al utilizar VERITAS Backup Exec Admin Plus Pack Option)

Proceso de infección:
Crea un script TFTP o FTP en el equipo afectado para descargar el programa viral en un sistema remoto.

IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: **********.goingformars.com
Puerto: 6556
Canal: #11#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: **********.my1x1.com
Puerto: 6556
Canal: #11#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: **********.my-secure.name
Puerto: 6556
Canal: #11#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: **********.memzero.info
Puerto: 6556
Canal: #11#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: **********.online-software.org
Puerto: 6556
Canal: #11#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

Servidor: **********.martiansong.com
Puerto: 6556
Canal: #11#
Apodo: %serie de caracteres aleatorios%
Contraseña: g3t0u7

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Contraseñas guardadas
    • Velocidad del procesador
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Informaciones acerca del sistema operativo Windows

– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Realizar un análisis de la red
    • Iniciar la captura de pulsaciones de teclado
    • Iniciar la rutina de propagación

Backdoor (Puerta trasera) Abre los siguientes puertos:

– dxdmain.exe en un puerto TCP aleatorio para funcionar como servidor FTP.
– dxdmain.exe en el puerto UDP 69 para funcionar como servidor TFTP.
– dxdmain.exe en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.

Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete

– Monitoriza la red mediante un sniffer y busca las siguientes series de caracteres:
   • OPER
   • JOIN
   • bank
   • login
   • e-bay
   • ebay
   • paypal

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• xDxdmaiNx

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Iulia Diaconescu el Mon, 06 Mar 2006 10:16 (GMT+1)
Descripción actualizada por Iulia Diaconescu el Mon, 06 Mar 2006 10:46 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver