Nome del virus:Worm/ToxoBot.19744
Scoperto:16/08/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:19.744 Byte
Somma di controllo MD5:EC6952A917E98971A7226D019AB1A8F7
Versione VDF:6.31.1.92

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Toxbot
   •  VirusBuster: Worm.Codbot.AB
   •  Bitdefender: Trojan.Exploit.Hokey


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Registra le battute di tastiera
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\javascript.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\javascript.exe
   • "DisplayName"="Enables Javascript Support"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,41,00,63,\ 00,01,00,00,00,01,00,00,00
   • "Description"="This service is responsible for handling Javascript."

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Javascript]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Javascript]
   • @="Service"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: 0x80.**********-software.org
Porta: 1023, 6556
Canale: #15#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: 0x80.**********formars.com
Porta: 1023, 6556
Canale: #15#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: 0x80.my**********.com
Porta: 1023, 6556
Canale: #15#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: 0x80.**********secure.name
Porta: 1023, 6556
Canale: #15#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: 0xff.**********zero.info
Porta: 1023, 6556
Canale: #15#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: 0x80.martian**********.com
Porta: 1023, 6556
Canale: #15#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Uptime del malware
    • Informazioni sulla rete
    • Dimensione della memoria


– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Eseguire file

 Backdoor Le seguenti porte sono aperte:

%SYSDIR%\javascript.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.
%SYSDIR%\javascript.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.
%SYSDIR%\javascript.exe sulla porta UDP 69 con lo scopo di procurarsi un server TFTP.

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Dopo aver digitato con la tastiera una stringa che corrisponde a una delle seguenti, viene avviata una procedura di “tracciamento”:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Cattura:
    • Battute di tastiera
    • Informazioni della finestra

– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Cattura:
    • Battute di tastiera
    • Informazioni della finestra

 Varie Mutex:
Crea il seguente Mutex:
   • xJavaSCriptx

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su martedì 16 agosto 2005
Descrizione aggiornata da Andrei Gherman su mercoledì 24 agosto 2005

Indietro . . . .