Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Codbot.AE.1
La date de la dcouverte:13/12/2012
Type:Serveur porte drobe
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:49.152 Octets
Somme de contrle MD5:15870257aa24dac575191161c4d52781
Version VDF:7.11.53.216

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Symantec: W32.Toxbot
   •  Mcafee: W32/Sdbot.worm.gen.w
   •  Kaspersky: Backdoor.Win32.Codbot.ae
   •  TrendMicro: WORM_SDBOT.BJA
   •  VirusBuster: Worm.Codbot.S


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\netddeclnt.exe



Il supprime sa propre copie, excute initialement



Le fichier suivant est cr:

– Un fichier qui est pour l'utilisation temporaire et qui peut tre supprimer aprs:
   • %TEMPDIR%\del.bat

 Registre Les cls de registre suivantes sont ajoutes afin de charger les services aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\NetDDEclnt]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%le dossier d'excution du malware%\\%le fichier excut%"
   • "DisplayName"="Network DDE Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,42,00,42,\
   • 00,01,00,00,00,01,00,00,00
   • "Description"="Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers."

HKLM\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Enum]
   • "0"="Root\\LEGACY_NETDDECLNT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001
   • "INITSTARTFAILED"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Les cls de registre suivantes sont ajoute:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt]
   • @="Service"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt]
   • @="Service

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000]
   • "Service"="NetDDEclnt"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Network DDE Client"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="NetDDEclnt"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Ralentissement de connexion:
D aux multiples fils d'excution crs en rseau, un ordinateur infect devient une machine lente et inutilisable.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: %inconnu%
Canal: #exploit

Serveur: %inconnu%
Canal: #raw



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Espace libre sur le disque dur
    • Mmoire libre
    • Information sur le rseau
    • L'ID de la plateforme
    • Information sur des processus courants
    • Rpertoire de systme
    • Rpertoire de Windows

 Vol d'informations Il essaie de voler l'information suivante:

Une routine de journalisation est commenc aprs que les chanes de caractres suivantes soient tapes:
   • bank
   • login
   • paypal
   • e-bay
   • ebay

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • PE-Crypt.Antideb

Description insérée par Catalin Jora le mercredi 3 août 2005
Description mise à jour par Catalin Jora le mardi 23 août 2005

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.