Nume:BDS/CodBot.AT
Descoperit pe data de:13/10/2005
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:24.576 Bytes
MD5:2e8fbee76c2339e9894b628fb0dc341c
Versiune VDF:6.32.00.09

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Toxbot
   •  TrendMicro: WORM_CODBOT.AF
   •  VirusBuster: Worm.Codbot.AJ
   •  Bitdefender: Backdoor.Codbot.AT


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\netddesrv.exe



Este creat fisierul:

– %TEMPDIR%\destroy.cmd Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\NetDDEsrv
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\netddesrv.exe"
   • "DisplayName"="NetDDE Server"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,65,00,72,00,01,00,00,00,01,00,00,00
   • "Description"="Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers.



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: 0x80.**********.org
Port: 6556
Canal: #26#
Nick: %sir de 8 caractere aleatoare%
Parola: g3t0u7

Server: 0x80.**********.org
Port: 1023
Canal: #26#
Nick: %sir de 8 caractere aleatoare%
Parola: g3t0u7

Server: 0x80.my**********.com
Port: 6556
Canal: #26#
Nick: %sir de 8 caractere aleatoare%
Parola: g3t0u7

Server: 0x80.my**********.com
Port: 1023
Canal: #26#
Nick: %sir de 8 caractere aleatoare%
Parola: g3t0u7

Server: 0x80.my-**********.name
Port: 6556
Canal: #26#
Nick: %sir de 8 caractere aleatoare%
Parola: g3t0u7

Server: 0x80.my-**********.name
Port: 1023
Canal: #26#
Nick: %sir de 8 caractere aleatoare%
Parola: g3t0u7

Server: 0xff.me**********.info
Port: 6556
Canal: #26#
Nick: %sir de 8 caractere aleatoare%
Parola: g3t0u7

Server: 0xff.me**********.info
Port: 1023
Canal: #26#
Nick: %sir de 8 caractere aleatoare%
Parola: g3t0u7

Server: 0x80.going**********.com
Port: 6556
Canal: #26#
Nick: %sir de 6 caractere aleatoare%
Parola: g3t0u7

Server: 0x80.going**********.com
Port: 1023
Canal: #26#
Nick: %sir de 6 caractere aleatoare%
Parola: g3t0u7

Server: 0x80.mar**********.com
Port: 6556
Canal: #26#
Nick: %sir de 6 caractere aleatoare%
Parola: g3t0u7

Server: 0x80.mar**********.com
Port: 1023
Canal: #26#
Nick: %sir de 6 caractere aleatoare%
Parola: g3t0u7



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Cantitatea de memorie
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • executarea unui fisier
    • Scaneaza reteaua
    • Inregistreaza un serviciu
    • Porneste keylog
    • terminare proces

 Backdoor Deschide porturile:

– %SYSDIR%\netddesrv.exe port TCP aleator pentru a functiona ca server FTP.
– %SYSDIR%\netddesrv.exe pe portul UDP 69 pentru a oferi un server TFTP.
– %SYSDIR%\netddesrv.exe port TCP aleator

Posibilitati de control la distanta:
    • descarcare fisier

 Furt de informatii – Monitorizeaza reteaua folosind un sniffer si cauta urmatoarele siruri de caractere:
   • bank
   • ebay
   • e-bay
   • egold
   • e-gold
   • login
   • paypal

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • xNeTDDEsrVx


Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • god hates us all

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, sunt folosite urmatoarele programe de arhivare:
   • PecBundle
   • PECompact

Description insérée par Irina Boldea le jeudi 13 octobre 2005
Description mise à jour par Irina Boldea le vendredi 14 octobre 2005

Retour . . . .