VírusBDS/CodBot.AT
Data em que surgiu:13/10/2005
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:24.576 Bytes
MD5 checksum:2e8fbee76c2339e9894b628fb0dc341c
Versão VDF:6.32.00.09

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Symantec: W32.Toxbot
   •  TrendMicro: WORM_CODBOT.AF
   •  VirusBuster: Worm.Codbot.AJ
   •  Bitdefender: Backdoor.Codbot.AT


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\netddesrv.exe



É criado o seguinte ficheiro:

%TEMPDIR%\destroy.cmd Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\NetDDEsrv
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\netddesrv.exe"
   • "DisplayName"="NetDDE Server"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,65,00,72,00,01,00,00,00,01,00,00,00
   • "Description"="Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers.



São adicionadas as seguintes chaves ao registo:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: 0x80.**********.org
Porta: 6556
Canal #26#
Nickname: %oito caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.**********.org
Porta: 1023
Canal #26#
Nickname: %oito caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my**********.com
Porta: 6556
Canal #26#
Nickname: %oito caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my**********.com
Porta: 1023
Canal #26#
Nickname: %oito caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my-**********.name
Porta: 6556
Canal #26#
Nickname: %oito caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my-**********.name
Porta: 1023
Canal #26#
Nickname: %oito caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0xff.me**********.info
Porta: 6556
Canal #26#
Nickname: %oito caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0xff.me**********.info
Porta: 1023
Canal #26#
Nickname: %oito caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.going**********.com
Porta: 6556
Canal #26#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.going**********.com
Porta: 1023
Canal #26#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.mar**********.com
Porta: 6556
Canal #26#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.mar**********.com
Porta: 1023
Canal #26#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Memória disponível
    • Tempo de vida do malware
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Executa o ficheiro
    • Executa pesquisas na rede
    • Registar um serviço
    • Inicia o keylog
    • Termina processos

 Backdoor São abertas as seguintes portas:

%SYSDIR%\netddesrv.exe numa porta TCP aleatória Por forma a fornecer um servidor FTP.
%SYSDIR%\netddesrv.exe numa porta UDP 69 para fornecer um servidor de TFTP.
%SYSDIR%\netddesrv.exe numa porta TCP aleatória

Capacidades de controlo remoto:
    • Download de ficheiros

 Roubos de informação – Usa um sniffer de rede para pesquisar os seguintes textos:
   • bank
   • ebay
   • e-bay
   • egold
   • e-gold
   • login
   • paypal

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • xNeTDDEsrVx


Texto:
Além disso tem o seguinte texto:
   • god hates us all

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
   • PecBundle
   • PECompact

Descrição enviada por Irina Boldea em quinta-feira, 13 de outubro de 2005
Descrição atualizada por Irina Boldea em sexta-feira, 14 de outubro de 2005

Voltar . . . .