VírusW32/Codbot.A.1
Data em que surgiu:15/02/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:50.176 Bytes
MD5 checksum:6f6affa5a078d9c2b6a3633db7462745
Versão VDF:6.29.00.125

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Symantec: W32.Codbot.A
   •  Mcafee: W32/Sdbot.worm.gen
   •  Kaspersky: Backdoor.Win32.Codbot.ab
   •  TrendMicro: WORM_CODBOT.B
   •  Sophos: Exp/MS04011-A
   •  Grisoft: BackDoor.Small.7.AT
   •  VirusBuster: Worm.Codbot.A
   •  Eset: Win32/Codbot.E
   •  Bitdefender: Worm.Sdbot.CNY


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\upnp.exe

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\UPnP Configuration
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\upnp.exe"
   • "DisplayName"="Universal Plug and Play Device Configuration"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valores hex%
   • "Description"="Handling all UPnP related system operations."

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– Uma lista de nomes de utilizador e palavras-chave:
   • Rendszergazda
   • Beheerder
   • amministratore
   • hallintovirkailijat
   • Administrat
   • Administrateur
   • administrador
   • Administrador
   • administrator
   • Administrator
   • ADMINISTRATOR
   • Password
   • password



Exploit:
Faz uso dos seguintes Exploits:
– MS01-059 (Unchecked Buffer in Universal Plug and Play )
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: 0x41.cyber**********
Porta: 6556
Canal #0x90
Nickname: %nove caracteres aleatórios%
Palavra-chave 3nt3r

Servidor: dev.lsa**********
Porta: 6556
Canal #0x90
Nickname: %nove caracteres aleatórios%
Palavra-chave 3nt3r

Servidor: dev.lsa**********
Porta: 6556
Canal #0x90
Nickname: %nove caracteres aleatórios%
Palavra-chave 3nt3r

Servidor: dev.mem**********
Porta: 6556
Canal #0x90
Nickname: %nove caracteres aleatórios%
Palavra-chave 3nt3r



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Activa partilhas de rede
    • Termina processos
    • Executa pesquisas na rede
    • Inicia o keylog
    • Inicia a rotina de propagação
    • Termina o malware
    • Termina processos
    • Actualiza-se a ele próprio

 Backdoor É aberta a seguinte porta:

%SYSDIR%\upnp.exe numa porta TCP 21 Por forma a fornecer um servidor FTP.

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • 0x0_UPnP_0x0

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Irina Boldea em terça-feira, 16 de maio de 2006
Descrição atualizada por Irina Boldea em terça-feira, 16 de maio de 2006

Voltar . . . .