Nume:W32/Codbot.A.1
Descoperit pe data de:15/02/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:50.176 Bytes
MD5:6f6affa5a078d9c2b6a3633db7462745
Versiune VDF:6.29.00.125

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Codbot.A
   •  Mcafee: W32/Sdbot.worm.gen
   •  Kaspersky: Backdoor.Win32.Codbot.ab
   •  TrendMicro: WORM_CODBOT.B
   •  Sophos: Exp/MS04011-A
   •  Grisoft: BackDoor.Small.7.AT
   •  VirusBuster: Worm.Codbot.A
   •  Eset: Win32/Codbot.E
   •  Bitdefender: Worm.Sdbot.CNY


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\upnp.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\UPnP Configuration
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\upnp.exe"
   • "DisplayName"="Universal Plug and Play Device Configuration"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Handling all UPnP related system operations."

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori si parole:
   • Rendszergazda
   • Beheerder
   • amministratore
   • hallintovirkailijat
   • Administrat
   • Administrateur
   • administrador
   • Administrador
   • administrator
   • Administrator
   • ADMINISTRATOR
   • Password
   • password



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: 0x41.cyber**********
Port: 6556
Canal: #0x90
Nick: %sir de 9 caractere aleatoare%
Parola: 3nt3r

Server: dev.lsa**********
Port: 6556
Canal: #0x90
Nick: %sir de 9 caractere aleatoare%
Parola: 3nt3r

Server: dev.lsa**********
Port: 6556
Canal: #0x90
Nick: %sir de 9 caractere aleatoare%
Parola: 3nt3r

Server: dev.mem**********
Port: 6556
Canal: #0x90
Nick: %sir de 9 caractere aleatoare%
Parola: 3nt3r



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activarea partajarii de resurse in retea
    • terminare proces
    • Scaneaza reteaua
    • Porneste keylog
    • Porneste rutina de raspandire
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur

 Backdoor Deschide portul

– %SYSDIR%\upnp.exe pe portul TCP 21 pentru a functiona ca server FTP.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • 0x0_UPnP_0x0

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Irina Boldea le mardi 16 mai 2006
Description mise à jour par Irina Boldea le mardi 16 mai 2006

Retour . . . .