BDS/Codbot.AH - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/Codbot.AH
Data em que surgiu:	03/03/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	46.080 Bytes
MD5 checksum:	d209b321f972e3b4a9d9d75e40a58524
Versão VDF:	6.31.01.34

Vulgarmente Meio de transmissão:
   • Rede local

Alias:
   • Symantec: W32.Toxbot
   • Mcafee: W32/Sdbot.worm.gen.w
   • Kaspersky: Backdoor.Win32.Codbot.ah
   • TrendMicro: WORM_CODBOT.W
   • VirusBuster: Worm.Codbot.Y
   • Bitdefender: Backdoor.Codbot.AH

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\dxdmain.exe

É criado o seguinte ficheiro:

– %TEMPDIR%\erase.bat Este ficheiro de processamento em lote é usado para apagar um ficheiro.

Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain\Security]
   • "Security"=hex:%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxdmain]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxdmain]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%sysdir%\dxdmain.exe"
     "DisplayName"="DirectX Graphics"
     "ObjectName"="LocalSystem"
     "FailureActions"=hex:%valores hex%
     "Description"="Allows you to disable DirectDraw, Direct3D, and AGP Texture Acceleration."

– [HKLM\SYSTEM\CurrentControlSet\Services\dxdmain\Enum]
   • "0"="Root\\LEGACY_DXDMAIN\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000]
   • "Service"="dxdmain"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="DirectX Graphics"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXDMAIN\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="dxdmain"

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
• ipc$
• c$

Exploit:
Faz uso dos seguintes Exploits:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow ao utilizar VERITAS Backup Exec Admin Plus Pack Option)

Processo de infecção:
Cria um script TFTP ou FTP na máquina a atacada para permitir o download do malware da máquina atacante.

IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: **********.goingformars.com
Porta: 6556
Canal #11#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: **********.my1x1.com
Porta: 6556
Canal #11#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: **********.my-secure.name
Porta: 6556
Canal #11#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: **********.memzero.info
Porta: 6556
Canal #11#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: **********.online-software.org
Porta: 6556
Canal #11#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

Servidor: **********.martiansong.com
Porta: 6556
Canal #11#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave g3t0u7

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Palavras-chave armazenadas
    • Velocidade do CPU
    • Tempo de vida do malware
    • Informações sobre a rede
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows

– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Termina processos
    • Abandona canais IRC
    • Abre ligações remotas
    • Executa pesquisas na rede
    • Inicia o keylog
    • Inicia a rotina de propagação

Backdoor São abertas as seguintes portas:

– dxdmain.exe numa porta TCP aleatória Por forma a fornecer um servidor FTP.
– dxdmain.exe numa porta UDP 69 para fornecer um servidor de TFTP.
– dxdmain.exe numa porta TCP aleatória Por forma a fornecer capacidades backdoor.

Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave guardadas e que são usadas pela função AutoComplete

– Usa um sniffer de rede para pesquisar os seguintes textos:
   • OPER
   • JOIN
   • bank
   • login
   • e-bay
   • ebay
   • paypal

Informações diversas Mutex:
Cria o seguinte Mutex:
• xDxdmaiNx

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Iulia Diaconescu em Mon, 06 Mar 2006 10:16 (GMT+1)
Descrição adicionada por Iulia Diaconescu em Mon, 06 Mar 2006 10:46 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back