Nom:BDS/CodBot.AT
La date de la découverte:13/10/2005
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:24.576 Octets
Somme de contrôle MD5:2e8fbee76c2339e9894b628fb0dc341c
Version VDF:6.32.00.09

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Toxbot
   •  TrendMicro: WORM_CODBOT.AF
   •  VirusBuster: Worm.Codbot.AJ
   •  Bitdefender: Backdoor.Codbot.AT


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\netddesrv.exe



Le fichier suivant est créé:

%TEMPDIR%\destroy.cmd Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\NetDDEsrv
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\netddesrv.exe"
   • "DisplayName"="NetDDE Server"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,65,00,72,00,01,00,00,00,01,00,00,00
   • "Description"="Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers.



Les clés de registre suivantes sont ajoutée:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: 0x80.**********.org
Port: 6556
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.**********.org
Port: 1023
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.my**********.com
Port: 6556
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.my**********.com
Port: 1023
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.my-**********.name
Port: 6556
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.my-**********.name
Port: 1023
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0xff.me**********.info
Port: 6556
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0xff.me**********.info
Port: 1023
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.going**********.com
Port: 6556
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.going**********.com
Port: 1023
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.mar**********.com
Port: 6556
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.mar**********.com
Port: 1023
Canal: #26#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Taille de mémoire
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Exécuter un fichier
    • Scanner le réseau
    • Enregistrer un service
    • Commence le keylog
    • Terminer un processus

 Porte dérobée Les ports suivants sont ouverts:

%SYSDIR%\netddesrv.exe sur un port TCP aléatoire afin de fournir un serveur FTP
%SYSDIR%\netddesrv.exe sur le port UDP 69 afin de fournir un serveur TFTP.
%SYSDIR%\netddesrv.exe sur un port TCP aléatoire

Capacités d'accès à distance:
    • Télécharger un fichier

 Vol d'informations – il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • bank
   • ebay
   • e-bay
   • egold
   • e-gold
   • login
   • paypal

 Informations divers Mutex:
Il crée le Mutex suivant:
   • xNeTDDEsrVx


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • god hates us all

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • PecBundle
   • PECompact

Description insérée par Irina Boldea le jeudi 13 octobre 2005
Description mise à jour par Irina Boldea le vendredi 14 octobre 2005

Retour . . . .