VírusWorm/CodBot.20959
Data em que surgiu:15/07/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:20.959 Bytes
MD5 checksum:e30Fb27bda3e449353048a5053eb4585
Versão VDF:6.31.00.214

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Mcafee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\mapi32.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%TEMPDIR%\erase.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Enables support for the Messaging Application Program Interface."



São adicionadas as seguintes chaves ao registo:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



Altera as seguintes chaves de registo do Windows:

– HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   Valor anterior:
   • "NetbiosOptions" = %definições do utilizador %
   Valor recente:
   • "NetbiosOptions" = dword:00000002

– HKLM\SOFTWARE\Microsoft\OLE
   Valor anterior:
   • "EnableDCOM" = %definições do utilizador %
   Valor recente:
   • "EnableDCOM" = "N"

– HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   Valor anterior:
   • "Start" = %definições do utilizador %
   Valor recente:
   • "Start" = dword:00000003

– HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   Valor anterior:
   • "MaxClientRequestBuffer" = %definições do utilizador %
   Valor recente:
   • "MaxClientRequestBuffer" = dword:00000000

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow ao utilizar VERITAS Backup Exec Admin Plus Pack Option)


Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: 0x80.martian**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0xff.mem**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.online-**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.going**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my-**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatórios%
Palavra-chave g3t0u7



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Palavras-chave armazenadas
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Abre ligações remotas
    • Executa pesquisas na rede
    • Inicia a rotina de propagação
    • Termina o malware

 Backdoor São abertas as seguintes portas:

%SYSDIR%\mapi32.exe numa porta TCP aleatória Por forma a fornecer um servidor FTP.
%SYSDIR%\mapi32.exe numa porta UDP 69 para fornecer um servidor de TFTP.

 Roubos de informação     • Teclar

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • bank
   • e-bay
   • ebay
   • paypal

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • xMAPIMailClientx

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Irina Boldea em terça-feira, 14 de março de 2006
Descrição atualizada por Irina Boldea em quarta-feira, 15 de março de 2006

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.