Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/CodBot.AT
La date de la dcouverte:13/12/2012
Type:Serveur porte drobe
En circulation:Non
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:24.576 Octets
Somme de contrle MD5:2e8fbee76c2339e9894b628fb0dc341c
Version VDF:7.11.53.216

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Symantec: W32.Toxbot
   •  TrendMicro: WORM_CODBOT.AF
   •  VirusBuster: Worm.Codbot.AJ
   •  Bitdefender: Backdoor.Codbot.AT


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\netddesrv.exe



Le fichier suivant est cr:

%TEMPDIR%\destroy.cmd Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\NetDDEsrv
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\netddesrv.exe"
   • "DisplayName"="NetDDE Server"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,65,00,72,00,01,00,00,00,01,00,00,00
   • "Description"="Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers.



Les cls de registre suivantes sont ajoute:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: 0x80.**********.org
Port: 6556
Canal: #26#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.**********.org
Port: 1023
Canal: #26#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.my**********.com
Port: 6556
Canal: #26#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.my**********.com
Port: 1023
Canal: #26#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.my-**********.name
Port: 6556
Canal: #26#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.my-**********.name
Port: 1023
Canal: #26#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0xff.me**********.info
Port: 6556
Canal: #26#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0xff.me**********.info
Port: 1023
Canal: #26#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: g3t0u7

Serveur: 0x80.going**********.com
Port: 6556
Canal: #26#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.going**********.com
Port: 1023
Canal: #26#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.mar**********.com
Port: 6556
Canal: #26#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.mar**********.com
Port: 1023
Canal: #26#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Taille de mmoire
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
    • Excuter un fichier
     Scanner le rseau
     Enregistrer un service
     Commence le keylog
    • Terminer un processus

 Porte drobe Les ports suivants sont ouverts:

%SYSDIR%\netddesrv.exe sur un port TCP alatoire afin de fournir un serveur FTP
%SYSDIR%\netddesrv.exe sur le port UDP 69 afin de fournir un serveur TFTP.
%SYSDIR%\netddesrv.exe sur un port TCP alatoire

Capacits d'accs distance:
     Tlcharger un fichier

 Vol d'informations  il emploie un analyseur de rseau qui vrifie la chane de caractres suivante :
   • bank
   • ebay
   • e-bay
   • egold
   • e-gold
   • login
   • paypal

 Informations divers Mutex:
Il cre le Mutex suivant:
   • xNeTDDEsrVx


Chane de caractres:
Ensuite il contient la chane de caractres suivante:
   • god hates us all

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec les logiciels de compression des excutables suivants:
   • PecBundle
   • PECompact

Description insérée par Irina Boldea le jeudi 13 octobre 2005
Description mise à jour par Irina Boldea le vendredi 14 octobre 2005

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.