VírusWorm/Codbot.AP
Data em que surgiu:29/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:19.968 Bytes
MD5 checksum:c34b5ec44017814cb4b9718855267984
Versão VDF:6.31.01.192

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Kaspersky: Backdoor.Win32.Codbot.ap
   •  TrendMicro: WORM_SDBOT.CDI
   •  Sophos: W32/Codbot-W
   •  VirusBuster: Worm.Codbot.AI
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.BJ


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\Perfhmon.exe

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\Perfhmon.exe
   • "DisplayName"="Performance Logs"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Collects performance data from local or remote computers based on preconfigured schedule parameters, then writes the data to a log or triggers an alert."



São adicionadas as seguintes chaves ao registo:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Perfhmon
   • @="Service"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Perfhmon
   • @="Service"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso dos seguintes Exploits:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow ao utilizar VERITAS Backup Exec Admin Plus Pack Option)


Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: 0x80.martian**********
Porta: 6556
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0xff.mem**********
Porta: 6556
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.online-**********
Porta: 6556
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.going**********
Porta: 6556
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my**********
Porta: 6556
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my-**********
Porta: 6556
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.martian**********
Porta: 1023
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0xff.mem**********
Porta: 1023
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.online-**********
Porta: 1023
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.going**********
Porta: 1023
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my**********
Porta: 1023
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: 0x80.my-**********
Porta: 1023
Canal #21#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Palavras-chave armazenadas
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Abre ligações remotas
    • Executa pesquisas na rede
    • Inicia a rotina de propagação
    • Termina o malware

 Backdoor São abertas as seguintes portas:

%SYSDIR%\mapi32.exe numa porta TCP aleatória Por forma a fornecer um servidor FTP.
%SYSDIR%\mapi32.exe numa porta UDP 69 para fornecer um servidor de TFTP.

 Roubos de informação     • Teclar

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • e-gold
   • egold
   • bank
   • e-bay
   • ebay
   • paypal

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • xPerFHmoNx

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Irina Boldea em terça-feira, 14 de março de 2006
Descrição atualizada por Irina Boldea em quarta-feira, 15 de março de 2006

Voltar . . . .