Full description

Nume:	Worm/ToxoBot.19744
Descoperit pe data de:	16/08/2005
Tip:	Vierme
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	19.744 Bytes
MD5:	EC6952A917E98971A7226D019AB1A8F7
Versiune VDF:	6.31.1.92

General Metoda de raspandire:
   • Reteaua locala

Alias:
   • Symantec: W32.Toxbot
   • VirusBuster: Worm.Codbot.AB
   • Bitdefender: Trojan.Exploit.Hokey

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Inregistreaza intrarile de la tastatura
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
• %SYSDIR%\javascript.exe

Sterge copia initiala a virusului.

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\javascript.exe
   • "DisplayName"="Enables Javascript Support"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,41,00,63,\ 00,01,00,00,00,01,00,00,00
   • "Description"="This service is responsible for handling Javascript."

– [HKLM\SYSTEM\CurrentControlSet\Services\Javascript\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Javascript]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Javascript]
   • @="Service"

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)

Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: 0x80.**********-software.org
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.**********formars.com
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.my**********.com
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.**********secure.name
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0xff.**********zero.info
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

Server: 0x80.martian**********.com
Port: 1023, 6556
Canal: #15#
Nick: %combinatie de caractere aleatoare%
Parola: g3t0u7

– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Cantitatea de memorie

– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier

Backdoor Deschide porturile:

– %SYSDIR%\javascript.exe port TCP aleator pentru a functiona ca server FTP.
– %SYSDIR%\javascript.exe port TCP aleator pentru a oferi functionalitate de backdoor.
– %SYSDIR%\javascript.exe pe portul UDP 69 pentru a oferi un server TFTP.

Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

Alte informatii Mutex:
Creeaza urmatorul mutex:
• xJavaSCriptx

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Andrei Gherman em terça-feira, 16 de agosto de 2005
Descrição atualizada por Andrei Gherman em quarta-feira, 24 de agosto de 2005

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas