Nume:Worm/ToxoBot.19744
Descoperit pe data de:16/08/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:19.744 Bytes
MD5:EC6952A917E98971A7226D019AB1A8F7
Versiune VDF:6.31.1.92

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Toxbot
   •  VirusBuster: Worm.Codbot.AB
   •  Bitdefender: Trojan.Exploit.Hokey


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inregistreaza intrarile de la tastatura
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\javascript.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\javascript.exe
   • "DisplayName"="Enables Javascript Support"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,41,00,63,\ 00,01,00,00,00,01,00,00,00
   • "Description"="This service is responsible for handling Javascript."

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Javascript]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Javascript]
   • @="Service"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: 0x80.**********-software.org
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.**********formars.com
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.my**********.com
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.**********secure.name
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0xff.**********zero.info
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.martian**********.com
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Cantitatea de memorie


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier

 Backdoor Deschide porturile:

– %SYSDIR%\javascript.exe port TCP aleator pentru a functiona ca server FTP.
– %SYSDIR%\javascript.exe port TCP aleator pentru a oferi functionalitate de backdoor.
– %SYSDIR%\javascript.exe pe portul UDP 69 pentru a oferi un server TFTP.

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • xJavaSCriptx

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Andrei Gherman su martedì 16 agosto 2005
Descrizione aggiornata da Andrei Gherman su mercoledì 24 agosto 2005

Indietro . . . .