Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/CodBot.20959
La date de la dcouverte:15/07/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:20.959 Octets
Somme de contrle MD5:e30Fb27bda3e449353048a5053eb4585
Version VDF:6.31.00.214

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Mcafee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\mapi32.exe



Il supprime sa propre copie, excute initialement



Le fichier suivant est cr:

%TEMPDIR%\erase.bat Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Enables support for the Messaging Application Program Interface."



Les cls de registre suivantes sont ajoute:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



Les cls de registre suivantes sont changes:

HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   L'ancienne valeur:
   • "NetbiosOptions" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "NetbiosOptions" = dword:00000002

HKLM\SOFTWARE\Microsoft\OLE
   L'ancienne valeur:
   • "EnableDCOM" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM" = "N"

HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   L'ancienne valeur:
   • "Start" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "Start" = dword:00000003

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   L'ancienne valeur:
   • "MaxClientRequestBuffer" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "MaxClientRequestBuffer" = dword:00000000

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
 VX05-006 (Remote Heap Overflow lorsque de l'utilisation de VERITAS Backup Exec Admin Plus Pack Option)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: 0x80.martian**********
Port: 6556
Canal: #9#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0xff.mem**********
Port: 6556
Canal: #9#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.online-**********
Port: 6556
Canal: #9#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.going**********
Port: 6556
Canal: #9#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.my**********
Port: 6556
Canal: #9#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.my-**********
Port: 6556
Canal: #9#
Pseudonyme: %chane de caractres alatoire de six digits%
Mot de passe: g3t0u7



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antmmoire:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • Information sur des processus courants
    • Taille de mmoire
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
    • Tlcharger un fichier
    • Excuter un fichier
    • Finir le processus
    • Ouvrir une ligne de commande distance
     Scanner le rseau
     Dmarrer une routine de propagation
    • Terminer le Malware

 Porte drobe Les ports suivants sont ouverts:

%SYSDIR%\mapi32.exe sur un port TCP alatoire afin de fournir un serveur FTP
%SYSDIR%\mapi32.exe sur le port UDP 69 afin de fournir un serveur TFTP.

 Vol d'informations      Frappes de touche

Une routine de journalisation est commence aprs qu'un site web soit visit, qui contient une des sous chanes de caractres suivantes dans l'URL.
   • bank
   • e-bay
   • ebay
   • paypal

 Informations divers Mutex:
Il cre le Mutex suivant:
   • xMAPIMailClientx

 Dtails de fichier Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • MEW

Description insérée par Irina Boldea le mardi 14 mars 2006
Description mise à jour par Irina Boldea le mercredi 15 mars 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.