Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusW32/Codbot.A.1
Data em que surgiu:15/02/2005
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:50.176 Bytes
MD5 checksum:6f6affa5a078d9c2b6a3633db7462745
Verso VDF:6.29.00.125

 Vulgarmente Meio de transmisso:
   • Rede local


Alias:
   •  Symantec: W32.Codbot.A
   •  Mcafee: W32/Sdbot.worm.gen
   •  Kaspersky: Backdoor.Win32.Codbot.ab
   •  TrendMicro: WORM_CODBOT.B
   •  Sophos: Exp/MS04011-A
   •  Grisoft: BackDoor.Small.7.AT
   •  VirusBuster: Worm.Codbot.A
   •  Eset: Win32/Codbot.E
   •  Bitdefender: Worm.Sdbot.CNY


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\upnp.exe

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

HKLM\SYSTEM\CurrentControlSet\Services\UPnP Configuration
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\upnp.exe"
   • "DisplayName"="Universal Plug and Play Device Configuration"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Handling all UPnP related system operations."

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia cpias de si prprio s seguintes partilhas de rede:
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Usa a seguinte informao de login para ganhar acesso mquina remota:

Uma lista de nomes de utilizador e palavras-chave:
   • Rendszergazda
   • Beheerder
   • amministratore
   • hallintovirkailijat
   • Administrat
   • Administrateur
   • administrador
   • Administrador
   • administrator
   • Administrator
   • ADMINISTRATOR
   • Password
   • password



Exploit:
Faz uso dos seguintes Exploits:
 MS01-059 (Unchecked Buffer in Universal Plug and Play )
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Execuo remota:
Tenta programar uma execuo remota do malware, na mquina recentemente infectada. Ento usa a funo de NetScheduleJobAdd.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: 0x41.cyber**********
Porta: 6556
Canal #0x90
Nickname: %nove caracteres aleatrios%
Palavra-chave 3nt3r

Servidor: dev.lsa**********
Porta: 6556
Canal #0x90
Nickname: %nove caracteres aleatrios%
Palavra-chave 3nt3r

Servidor: dev.lsa**********
Porta: 6556
Canal #0x90
Nickname: %nove caracteres aleatrios%
Palavra-chave 3nt3r

Servidor: dev.mem**********
Porta: 6556
Canal #0x90
Nickname: %nove caracteres aleatrios%
Palavra-chave 3nt3r



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Velocidade do CPU
    • Utilizador Actual
    • Espao disponvel no disco
    • Memria disponvel
    • Tempo de vida do malware
    • Informaes sobre a rede
    • Informao sobre processos em execuo
    • Capacidade da memria
    • Nome de utilizador
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Activa partilhas de rede
    • Termina processos
     Executa pesquisas na rede
     Inicia o keylog
     Inicia a rotina de propagao
    • Termina o malware
    • Termina processos
     Actualiza-se a ele prprio

 Backdoor  aberta a seguinte porta:

%SYSDIR%\upnp.exe numa porta TCP 21 Por forma a fornecer um servidor FTP.

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • 0x0_UPnP_0x0

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Irina Boldea em terça-feira, 16 de maio de 2006
Descrição atualizada por Irina Boldea em terça-feira, 16 de maio de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.