Nom:Worm/CodBot.20959
La date de la découverte:15/07/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:20.959 Octets
Somme de contrôle MD5:e30Fb27bda3e449353048a5053eb4585
Version VDF:6.31.00.214

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Mcafee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\mapi32.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%TEMPDIR%\erase.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Enables support for the Messaging Application Program Interface."



Les clés de registre suivantes sont ajoutée:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



Les clés de registre suivantes sont changées:

– HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   L'ancienne valeur:
   • "NetbiosOptions" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NetbiosOptions" = dword:00000002

– HKLM\SOFTWARE\Microsoft\OLE
   L'ancienne valeur:
   • "EnableDCOM" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM" = "N"

– HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   L'ancienne valeur:
   • "Start" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start" = dword:00000003

– HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   L'ancienne valeur:
   • "MaxClientRequestBuffer" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "MaxClientRequestBuffer" = dword:00000000

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow lorsque de l'utilisation de VERITAS Backup Exec Admin Plus Pack Option)


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: 0x80.martian**********
Port: 6556
Canal: #9#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0xff.mem**********
Port: 6556
Canal: #9#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.online-**********
Port: 6556
Canal: #9#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.going**********
Port: 6556
Canal: #9#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.my**********
Port: 6556
Canal: #9#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7

Serveur: 0x80.my-**********
Port: 6556
Canal: #9#
Pseudonyme: %chaîne de caractères aléatoire de six digits%
Mot de passe: g3t0u7



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Finir le processus
    • Ouvrir une ligne de commande à distance
    • Scanner le réseau
    • Démarrer une routine de propagation
    • Terminer le Malware

 Porte dérobée Les ports suivants sont ouverts:

%SYSDIR%\mapi32.exe sur un port TCP aléatoire afin de fournir un serveur FTP
%SYSDIR%\mapi32.exe sur le port UDP 69 afin de fournir un serveur TFTP.

 Vol d'informations     • Frappes de touche

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • bank
   • e-bay
   • ebay
   • paypal

 Informations divers Mutex:
Il crée le Mutex suivant:
   • xMAPIMailClientx

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • MEW

Description insérée par Irina Boldea le mardi 14 mars 2006
Description mise à jour par Irina Boldea le mercredi 15 mars 2006

Retour . . . .