Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
???:Worm/CodBot.20959
?????????:15/07/2005
???:?????
? ???????? ????????:??
?????????? ????? ?????????:??????
????????? ???????????????:???????
????????? ???????????:???????
???? ??????????:??
?????? ?????:20.959 ????.
??????????? ????? MD5:e30Fb27bda3e449353048a5053eb4585
?????? VDF:6.31.00.214

 ????? ????? ???????????????:
   • ????????? ????


?????????? (?liases):
   •  Mcafee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


???????????? ???????:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


???????????:
   • ????????????? ? ?????????? ????????? ? ?????????? ???????
   • ????????? ???????
   • ?????????? ?????????? ??
   • ????????? ?????????????????? ???????????? ? ??????????

 ????? ????????? ??????????? ?????:
   • %SYSDIR%\mapi32.exe



??????????? ????? ????????? ?????????.



????????? ????:

%TEMPDIR%\erase.bat ????? ??????? ?????????? ???????? ???????? ?? ??????????? ?? ??????????. ?????? batch-???? ???????????? ??? ???????? ?????.

 ?????? ??? ???????? ?????? ????? ???????????? ??????? ??????????? ????????? ????? ???????.

HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%????????????????? ????????%
   • "Description"="Enables support for the Messaging Application Program Interface."



??????????? ????????? ????? ???????:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



?????????? ????????? ????? ???????:

HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   ??????? ????????:
   • "NetbiosOptions" = %????????? ????????????%
   ????? ????????:
   • "NetbiosOptions" = dword:00000002

HKLM\SOFTWARE\Microsoft\OLE
   ??????? ????????:
   • "EnableDCOM" = %????????? ????????????%
   ????? ????????:
   • "EnableDCOM" = "N"

HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   ??????? ????????:
   • "Start" = %????????? ????????????%
   ????? ????????:
   • "Start" = dword:00000003

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   ??????? ????????:
   • "MaxClientRequestBuffer" = %????????? ????????????%
   ????? ????????:
   • "MaxClientRequestBuffer" = dword:00000000

 ??????? ????????????? ??????????? ????????? ???????? ?????????? ?????????? ? ?????? ??????????? ??? ????? ??????????? ???????????????. ??????????? ?????????? ?????.


????????:
???????????? ????????? ????? ? ????????????:
– MS02-061 (????????? ?????????? ? SQL Server Web)
– MS03-007 (????????????? ????? ? ?????????? Windows)
– MS03-026 (???????????? ?????? RPC Interface)
– MS04-011 (?????????? LSASS)
 VX05-006 (Remote Heap Overflow ??? ????????????? ??????? VERITAS Backup Exec Admin Plus Pack)


??????? ?????????????:
?? ????????? ?????????? ????????? FTP ??????. ?? ????????? ???????????? ??????? ????????? ?? ????????? ?????????.


????????? ?????????:
?????????????? ??????? ??????? ??????????? ????????? ?? ????? ?????????? ??????????. ??? ????????????? ? ??????? ??????? NetScheduleJobAdd.

 IRC ??? ???????? ?????????? ? ??????? ? ??????????? ?????????? ?????????? ??????????????? ?????????? ?? ?????????? IRC ?????????:

??????: 0x80.martian**********
????: 6556
?????: #9#
???: %????????? ?????????? ?? ????? ????%
??????: g3t0u7

??????: 0xff.mem**********
????: 6556
?????: #9#
???: %????????? ?????????? ?? ????? ????%
??????: g3t0u7

??????: 0x80.online-**********
????: 6556
?????: #9#
???: %????????? ?????????? ?? ????? ????%
??????: g3t0u7

??????: 0x80.going**********
????: 6556
?????: #9#
???: %????????? ?????????? ?? ????? ????%
??????: g3t0u7

??????: 0x80.my**********
????: 6556
?????: #9#
???: %????????? ?????????? ?? ????? ????%
??????: g3t0u7

??????: 0x80.my-**********
????: 6556
?????: #9#
???: %????????? ?????????? ?? ????? ????%
??????: g3t0u7



 ?????? ??????????? ????????? ???????? ???????? ? ?????????? ????????? ??????????:
    • ???????????? ??????
    • ???????? ??????????
    • ??????? ????????????
    • ????????? ????? ?? ?????
    • ????????? ??????????? ??????
    • ????? ????? ??????????? ?????????
    • ?????????? ? ????
    • ?????????? ? ?????????? ?????????
    • ????? ??????
    • ?????????? ?? ???????????? ??????? Windows


 ??????????? ????????? ???????? ???????????? ????????? ????????? ????????:
    • ????????? ????
    • ????????? ????
    • ?????????? ???????
    • ???????? ?????????? ??????????
     ???????? ????
     ?????? ????????? ???????????????
    • ??????? ???????????? ??????? ?????????

 Backdoor ??????????? ????????? ?????:

%SYSDIR%\mapi32.exe ? ????????????? TCP ????? ??? ??????????? FTP ???????.
%SYSDIR%\mapi32.exe ?? UDP ????? 69 ??? ??????????? TFTP ???????.

 ?????      ??????? ??????

?????? ??????? ???????????????? ??? ????????? ???-???????? ? ????? ?? ????????? ??????????????????? ? URL:
   • bank
   • e-bay
   • ebay
   • paypal

 ?????? ???????:
????????? ???????:
   • xMAPIMailClientx

 ?????? ????? ????????:
??? ?????????? ??????????? ? ?????????? ??????? ????? ?? ??? ????????? ????????? ??????????:
   • MEW

Описание добавил Irina Boldea в(о) вторник, 14 марта 2006 г.
Описание обновил Irina Boldea в(о) среда, 15 марта 2006 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.