Имя:Worm/CodBot.19792
Обнаружен:17/08/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:19.456 байт.
Контрольная сумма MD5:A99408E866C8115BC605C00446911017
Версия VDF:6.31.1.104

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Toxbot
   •  Mcafee: Exploit-Lsass.gen
   •  Kaspersky: Backdoor.Win32.Codbot.am
   •  TrendMicro: WORM_TOXBOT.B
   •  VirusBuster: Worm.Codbot.Gen.2
   •  Bitdefender: GenPack:Backdoor.SDBot.F12601F2


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\rpcmon.exe



Выполненная копия программы удаляется.

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\Rpcmon]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\rpcmon.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Monitoring"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex numbers%
   • "Description"="Monitoring the end point mapper and other RPC services."

– [HKLM\SYSTEM\CurrentControlSet\Services\Rpcmon\Security]
   • "Security"=%hex numbers%



Добавляются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
   • @="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon]
   • @="Service"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используются следующие бреши в безопасности:
– MS02-061 (повышение привилегий в SQL Server Web)
– MS03-026 (Переполнение буфера RPC Interface)
– MS03-039 (Переполнение буфера RPCSS Service)
– MS03-049 (Переполнение буфера Workstation Service)
– MS04-011 (Уязвимость LSASS)


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: 0x80.online-**********.org
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0x80.going<.MASK>formars.com
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0x80.my**********.com
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0x80.**********-secure.name
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0xff.**********zero.info
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7

Сервер: 0x80.martian**********.com
Порт: 1023, 6556
Канал: #15#
Имя: %случайная буквенная комбинация%
Пароль: g3t0u7



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Время жизни вредоносной программы
    • Информация о сети
    • Объем памяти


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл

 Backdoor Открываются следующие порты:

%SYSDIR%\rpcmon.exe по UDP порту 69 для обеспечения TFTP сервера.
%SYSDIR%\rpcmon.exe к произвольному TCP порту для обеспечения FTP сервера.
%SYSDIR%\rpcmon.exe к произвольному TCP порту для обеспечения backdoor функции.

 Кража Попытка кражи следующей информации:

– Запуск функции протоколирования при посещении веб-страницы с одной из следующих последовательностей в URL:
   • "e-gold"
   • "egold"
   • "bank"
   • "login"
   • "e-bay"
   • "ebay"
   • "paypal"

– Протоколируется:
    • Нажатие клавиш
    • Информация об окне

 Разное Мьютекс:
Создается мьютекс:
   • XRpCMoNx

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) среда, 17 августа 2005 г.
Описание обновил Andrei Gherman в(о) среда, 8 августа 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.