Имя:BDS/CodBot.AT
Обнаружен:13/10/2005
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:24.576 байт.
Контрольная сумма MD5:2e8fbee76c2339e9894b628fb0dc341c
Версия VDF:6.32.00.09

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Toxbot
   •  TrendMicro: WORM_CODBOT.AF
   •  VirusBuster: Worm.Codbot.AJ
   •  Bitdefender: Backdoor.Codbot.AT


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\netddesrv.exe



Создается файл:

%TEMPDIR%\destroy.cmd После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\NetDDEsrv
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\netddesrv.exe"
   • "DisplayName"="NetDDE Server"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:05,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,65,00,72,00,01,00,00,00,01,00,00,00
   • "Description"="Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers.



Добавляются следующие ключи реестра:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv
   • @="Service"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используются следующие бреши в безопасности:
– MS02-061 (повышение привилегий в SQL Server Web)
– MS03-026 (Переполнение буфера RPC Interface)
– MS04-007 (Уязвимость ASN.1)
– MS04-011 (Уязвимость LSASS)

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: 0x80.**********.org
Порт: 6556
Канал: #26#
Имя: %случайная комбинация букв из восьми букв%
Пароль: g3t0u7

Сервер: 0x80.**********.org
Порт: 1023
Канал: #26#
Имя: %случайная комбинация букв из восьми букв%
Пароль: g3t0u7

Сервер: 0x80.my**********.com
Порт: 6556
Канал: #26#
Имя: %случайная комбинация букв из восьми букв%
Пароль: g3t0u7

Сервер: 0x80.my**********.com
Порт: 1023
Канал: #26#
Имя: %случайная комбинация букв из восьми букв%
Пароль: g3t0u7

Сервер: 0x80.my-**********.name
Порт: 6556
Канал: #26#
Имя: %случайная комбинация букв из восьми букв%
Пароль: g3t0u7

Сервер: 0x80.my-**********.name
Порт: 1023
Канал: #26#
Имя: %случайная комбинация букв из восьми букв%
Пароль: g3t0u7

Сервер: 0xff.me**********.info
Порт: 6556
Канал: #26#
Имя: %случайная комбинация букв из восьми букв%
Пароль: g3t0u7

Сервер: 0xff.me**********.info
Порт: 1023
Канал: #26#
Имя: %случайная комбинация букв из восьми букв%
Пароль: g3t0u7

Сервер: 0x80.going**********.com
Порт: 6556
Канал: #26#
Имя: %случайная комбинация из шести букв%
Пароль: g3t0u7

Сервер: 0x80.going**********.com
Порт: 1023
Канал: #26#
Имя: %случайная комбинация из шести букв%
Пароль: g3t0u7

Сервер: 0x80.mar**********.com
Порт: 6556
Канал: #26#
Имя: %случайная комбинация из шести букв%
Пароль: g3t0u7

Сервер: 0x80.mar**********.com
Порт: 1023
Канал: #26#
Имя: %случайная комбинация из шести букв%
Пароль: g3t0u7



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Объем памяти
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Запустить файл
    • Проверка сети
    • Регистрация службы
    • Запуск программы контроля клавиатуры
    • Остановить процесс

 Backdoor Открываются следующие порты:

%SYSDIR%\netddesrv.exe к произвольному TCP порту для обеспечения FTP сервера.
%SYSDIR%\netddesrv.exe по UDP порту 69 для обеспечения TFTP сервера.
%SYSDIR%\netddesrv.exe к произвольному TCP порту

Возможности удаленного контроля:
    • Загрузить файл

 Кража – Проверяется сетевой трафик. Поиск следующих последовательностей символов:
   • bank
   • ebay
   • e-bay
   • egold
   • e-gold
   • login
   • paypal

 Разное Мьютекс:
Создается мьютекс:
   • xNeTDDEsrVx


Строка:
Здесь содержится следующая последовательность:
   • god hates us all

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующими паковщиками:
   • PecBundle
   • PECompact

Описание добавил Irina Boldea в(о) четверг, 13 октября 2005 г.
Описание обновил Irina Boldea в(о) пятница, 14 октября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.