BDS/Codbot.AH - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Codbot.AH
Scoperto:	03/03/2006
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	46.080 Byte
Somma di controllo MD5:	d209b321f972e3b4a9d9d75e40a58524
Versione VDF:	6.31.01.34

Generale Metodo di propagazione:
   • Rete locale

Alias:
   • Symantec: W32.Toxbot
   • Mcafee: W32/Sdbot.worm.gen.w
   • Kaspersky: Backdoor.Win32.Codbot.ah
   • TrendMicro: WORM_CODBOT.W
   • VirusBuster: Worm.Codbot.Y
   • Bitdefender: Backdoor.Codbot.AH

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Registra le battute di tastiera
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %SYSDIR%\dxdmain.exe

Viene creato il seguente file:

– %TEMPDIR%\erase.bat Questo file automatico è utilizzato per cancellare un file.

Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain\Security]
   • "Security"=hex:%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxdmain]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxdmain]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%sysdir%\dxdmain.exe"
     "DisplayName"="DirectX Graphics"
     "ObjectName"="LocalSystem"
     "FailureActions"=hex:%valori esadecimali%
     "Description"="Allows you to disable DirectDraw, Direct3D, and AGP Texture Acceleration."

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain\Enum]
   • "0"="Root\\LEGACY_DXDMAIN\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000]
   • "Service"="dxdmain"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="DirectX Graphics"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="dxdmain"

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
• ipc$
• c$

Exploit:
Sfrutta le seguenti vulnerabilità:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow when using the VERITAS Backup Exec Admin Plus Pack Option)

Processo virale:
Crea uno script TFTP o FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********.goingformars.com
Porta: 6556
Canale: #11#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: **********.my1x1.com
Porta: 6556
Canale: #11#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: **********.my-secure.name
Porta: 6556
Canale: #11#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: **********.memzero.info
Porta: 6556
Canale: #11#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: **********.online-software.org
Porta: 6556
Canale: #11#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

Server: **********.martiansong.com
Porta: 6556
Canale: #11#
Nickname: %stringa di caratteri casuale%
Password: g3t0u7

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Password memorizzate nella cache
    • Velocità della CPU
    • Uptime del malware
    • Informazioni sulla rete
    • Dimensione della memoria
    • Informazioni sul sistema operativo Windows

– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Effettuare scansione della rete
    • Inizia keylog
    • Iniziare procedura di diffusione

Backdoor Le seguenti porte sono aperte:

– dxdmain.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.
– dxdmain.exe sulla porta UDP 69 con lo scopo di procurarsi un server TFTP.
– dxdmain.exe su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • OPER
   • JOIN
   • bank
   • login
   • e-bay
   • ebay
   • paypal

Varie Mutex:
Crea il seguente Mutex:
• xDxdmaiNx

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Mon, 06 Mar 2006 10:16 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Mon, 06 Mar 2006 10:46 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back