Nom:Worm/ToxoBot.19744
La date de la découverte:16/08/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:19.744 Octets
Somme de contrôle MD5:EC6952A917E98971A7226D019AB1A8F7
Version VDF:6.31.1.92

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Toxbot
   •  VirusBuster: Worm.Codbot.AB
   •  Bitdefender: Trojan.Exploit.Hokey


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il enregistre les frappes de touche
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\javascript.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\javascript.exe
   • "DisplayName"="Enables Javascript Support"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,41,00,63,\ 00,01,00,00,00,01,00,00,00
   • "Description"="This service is responsible for handling Javascript."

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Javascript]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Javascript]
   • @="Service"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: 0x80.**********-software.org
Port: 1023, 6556
Canal: #15#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: 0x80.**********formars.com
Port: 1023, 6556
Canal: #15#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: 0x80.my**********.com
Port: 1023, 6556
Canal: #15#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: 0x80.**********secure.name
Port: 1023, 6556
Canal: #15#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: 0xff.**********zero.info
Port: 1023, 6556
Canal: #15#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7

Serveur: 0x80.martian**********.com
Port: 1023, 6556
Canal: #15#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: g3t0u7



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Taille de mémoire


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier

 Porte dérobée Les ports suivants sont ouverts:

%SYSDIR%\javascript.exe sur un port TCP aléatoire afin de fournir un serveur FTP
%SYSDIR%\javascript.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée
%SYSDIR%\javascript.exe sur le port UDP 69 afin de fournir un serveur TFTP.

 Vol d'informations Il essaie de voler l'information suivante:

– Une routine de journalisation est commencé après que les chaînes de caractères suivantes soient tapées:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

 Informations divers Mutex:
Il crée le Mutex suivant:
   • xJavaSCriptx

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le mardi 16 août 2005
Description mise à jour par Andrei Gherman le mercredi 24 août 2005

Retour . . . .