Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/CodBot.20959
Data em que surgiu:15/07/2005
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:20.959 Bytes
MD5 checksum:e30Fb27bda3e449353048a5053eb4585
Verso VDF:6.31.00.214

 Vulgarmente Meio de transmisso:
   • Rede local


Alias:
   •  Mcafee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\mapi32.exe



Apaga a cpia executada inicialmente.



criado o seguinte ficheiro:

%TEMPDIR%\erase.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Enables support for the Messaging Application Program Interface."



So adicionadas as seguintes chaves ao registo:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



Altera as seguintes chaves de registo do Windows:

HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   Valor anterior:
   • "NetbiosOptions" = %definies do utilizador %
   Valor recente:
   • "NetbiosOptions" = dword:00000002

HKLM\SOFTWARE\Microsoft\OLE
   Valor anterior:
   • "EnableDCOM" = %definies do utilizador %
   Valor recente:
   • "EnableDCOM" = "N"

HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   Valor anterior:
   • "Start" = %definies do utilizador %
   Valor recente:
   • "Start" = dword:00000003

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   Valor anterior:
   • "MaxClientRequestBuffer" = %definies do utilizador %
   Valor recente:
   • "MaxClientRequestBuffer" = dword:00000000

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
 VX05-006 (Remote Heap Overflow ao utilizar VERITAS Backup Exec Admin Plus Pack Option)


Processo de infeco:
Cria um script FTP na mquina infectada para permitir o download do malware da mquina atacante.


Execuo remota:
Tenta programar uma execuo remota do malware, na mquina recentemente infectada. Ento usa a funo de NetScheduleJobAdd.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: 0x80.martian**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatrios%
Palavra-chave g3t0u7

Servidor: 0xff.mem**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatrios%
Palavra-chave g3t0u7

Servidor: 0x80.online-**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatrios%
Palavra-chave g3t0u7

Servidor: 0x80.going**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatrios%
Palavra-chave g3t0u7

Servidor: 0x80.my**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatrios%
Palavra-chave g3t0u7

Servidor: 0x80.my-**********
Porta: 6556
Canal #9#
Nickname: %seis caracteres aleatrios%
Palavra-chave g3t0u7



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Palavras-chave armazenadas
    • Velocidade do CPU
    • Utilizador Actual
    • Espao disponvel no disco
    • Memria disponvel
    • Tempo de vida do malware
    • Informaes sobre a rede
    • Informao sobre processos em execuo
    • Capacidade da memria
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Abre ligaes remotas
     Executa pesquisas na rede
     Inicia a rotina de propagao
    • Termina o malware

 Backdoor So abertas as seguintes portas:

%SYSDIR%\mapi32.exe numa porta TCP aleatria Por forma a fornecer um servidor FTP.
%SYSDIR%\mapi32.exe numa porta UDP 69 para fornecer um servidor de TFTP.

 Roubos de informao      Teclar

iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • bank
   • e-bay
   • ebay
   • paypal

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • xMAPIMailClientx

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Irina Boldea em terça-feira, 14 de março de 2006
Descrição atualizada por Irina Boldea em quarta-feira, 15 de março de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.