PCの修理が必要ですか?
専門家に頼む
????Worm/CodBot.20959
????15/07/2005
??????
????????
?????
???????
????????????
?????????????
????????20.959 ???
MD5???????e30Fb27bda3e449353048a5053eb4585
VDF???????6.31.00.214

 ???? ????
   • ???????????


??
   •  McAfee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


????????/OS?
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


???
   • ???????????
   • ?????????
   • ??????????????
   • ???????????????

 ???? ??????????????????
   • %SYSDIR%\mapi32.exe



???????????????????



???????????????

%TEMPDIR%\erase.bat ???????????????? ????????????????????????????

 ????? ??????????????????????????????????????????

HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex?%
   • "Description"="Enables support for the Messaging Application Program Interface."



???????????????????

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



???????????????????

HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   ???
   • "NetbiosOptions" = %?????%
   ????
   • "NetbiosOptions" = dword:00000002

HKLM\SOFTWARE\Microsoft\OLE
   ???
   • "EnableDCOM" = %?????%
   ????
   • "EnableDCOM" = "N"

HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   ???
   • "Start" = %?????%
   ????
   • "Start" = dword:00000003

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   ???
   • "MaxClientRequestBuffer" = %?????%
   ????
   • "MaxClientRequestBuffer" = dword:00000000

 ???????? ???????????????????????????????????????????


???????(Exploit)
??????????(Exploit)???????
– MS02-061 (SQL Server Web ???????????)
– MS03-007 (Windows ??????????????????????Web ??????????)
– MS03-026 (RPC ????????????? ??????????????????)
– MS04-011 (LSASS????)
 VX05-006 (VERITAS Backup Exec Admin Plus Pack Option?????????????????????Remote Heap Overflow??????)


??????
????????????????????????????????????FTP????????????


???????
????????????????????????????????????????NetScheduleJobAdd?????????

 IRC ?????????????????????????????????IRC??????????

??? 0x80.martian**********
???? 6556
????? #9#
?????? %6??????????%
????? g3t0u7

??? 0xff.mem**********
???? 6556
????? #9#
?????? %6??????????%
????? g3t0u7

??? 0x80.online-**********
???? 6556
????? #9#
?????? %6??????????%
????? g3t0u7

??? 0x80.going**********
???? 6556
????? #9#
?????? %6??????????%
????? g3t0u7

??? 0x80.my**********
???? 6556
????? #9#
?????? %6??????????%
????? g3t0u7

??? 0x80.my-**********
???? 6556
????? #9#
?????? %6??????????%
????? g3t0u7



 ???????????????????????????
    • ??????????????
    • CPU??
    • ???????????
    • ????????
    • ?????
    • ??????????
    • ?????????????
    • ???????????????
    • ??????
    • ??????OS???????


 ????????????????????????
    • ???????????
    • ??????
    • ???????????
    • ??????????
     ??????????????
     ?????????
    • ??????????

 ????? ?????????????

%SYSDIR%\mapi32.exe ????????TCP????? FTP??????????
%SYSDIR%\mapi32.exe UDP???? 69 TFTP???????????

 ??      ????

???????????URL??????????????????????????
   • bank
   • e-bay
   • ebay
   • paypal

 ??? Mutex(??????)
???Mutex(??????????????
   • xMAPIMailClientx

 ??????? ??????????
?????????????????????????????????????????????????????
   • MEW

説明の挿入者 Irina Boldea の 2006年3月14日火曜日
説明の更新者 Irina Boldea の 2006年3月15日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。