Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/CodBot.20959
Scoperto:15/07/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:20.959 Byte
Somma di controllo MD5:e30Fb27bda3e449353048a5053eb4585
Versione VDF:6.31.00.214

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Mcafee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Registra le battute di tastiera
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\mapi32.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%TEMPDIR%\erase.bat Viene eseguito ulteriormente dopo che stato completamente creato. Questo file automatico utilizzato per cancellare un file.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori esadecimali%
   • "Description"="Enables support for the Messaging Application Program Interface."



Vengono aggiunte le seguenti chiavi di registro:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



Vengono cambiate le seguenti chiavi di registro:

HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   Valore precedente:
   • "NetbiosOptions" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "NetbiosOptions" = dword:00000002

HKLM\SOFTWARE\Microsoft\OLE
   Valore precedente:
   • "EnableDCOM" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableDCOM" = "N"

HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   Valore precedente:
   • "Start" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "Start" = dword:00000003

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   Valore precedente:
   • "MaxClientRequestBuffer" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "MaxClientRequestBuffer" = dword:00000000

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
 VX05-006 (Remote Heap Overflow when using the VERITAS Backup Exec Admin Plus Pack Option)


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
Tenta di pianificare una esecuzione remota del malware, sulla macchina infettata recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: 0x80.martian**********
Porta: 6556
Canale: #9#
Nickname: %stringa casuale di sei caratteri%
Password: g3t0u7

Server: 0xff.mem**********
Porta: 6556
Canale: #9#
Nickname: %stringa casuale di sei caratteri%
Password: g3t0u7

Server: 0x80.online-**********
Porta: 6556
Canale: #9#
Nickname: %stringa casuale di sei caratteri%
Password: g3t0u7

Server: 0x80.going**********
Porta: 6556
Canale: #9#
Nickname: %stringa casuale di sei caratteri%
Password: g3t0u7

Server: 0x80.my**********
Porta: 6556
Canale: #9#
Nickname: %stringa casuale di sei caratteri%
Password: g3t0u7

Server: 0x80.my-**********
Porta: 6556
Canale: #9#
Nickname: %stringa casuale di sei caratteri%
Password: g3t0u7



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Password memorizzate nella cache
    • Velocit della CPU
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
    • Download di file
    • Eseguire file
    • Terminare il processo
    • Aprire condivisione remota
     Effettuare scansione della rete
     Iniziare procedura di diffusione
    • Terminare il malware

 Backdoor Le seguenti porte sono aperte:

%SYSDIR%\mapi32.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.
%SYSDIR%\mapi32.exe sulla porta UDP 69 con lo scopo di procurarsi un server TFTP.

 Sottrazione di informazioni      Battute di tastiera

Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di tracciamento:
   • bank
   • e-bay
   • ebay
   • paypal

 Varie Mutex:
Crea il seguente Mutex:
   • xMAPIMailClientx

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • MEW

Descrizione inserita da Irina Boldea su martedì 14 marzo 2006
Descrizione aggiornata da Irina Boldea su mercoledì 15 marzo 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.