English
Deutsch
Español
Italian
Home
Virus Info
W32/Codbot.A.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
W32/Codbot.A.1 - Malware
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
W32/Codbot.A.1
Обнаружен:
15/02/2005
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
50.176 байт.
Контрольная сумма MD5:
6f6affa5a078d9c2b6a3633db7462745
Версия VDF:
6.29.00.125
Общее
Метод распространения:
• Локальная сеть
Псевдонимы (аliases):
• Symantec: W32.Codbot.A
• Mcafee: W32/Sdbot.worm.gen
• Kaspersky: Backdoor.Win32.Codbot.ab
• TrendMicro: WORM_CODBOT.B
• Sophos: Exp/MS04011-A
• Grisoft: BackDoor.Small.7.AT
• VirusBuster: Worm.Codbot.A
• Eset: Win32/Codbot.E
• Bitdefender: Worm.Sdbot.CNY
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Изменение реестра
• Использует уязвимость ПО
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\upnp.exe
Реестр
Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.
– HKLM\SYSTEM\CurrentControlSet\Services\UPnP Configuration
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%SYSDIR%
\upnp.exe"
• "DisplayName"="Universal Plug and Play Device Configuration"
• "ObjectName"="LocalSystem"
• "FailureActions"=
%шестнадцатиричное значение%
• "Description"="Handling all UPnP related system operations."
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Копия объекта помещается в следующие сетевые ресурсы общего доступа:
• C$\windows\system32
• c$\winnt\system32
• ADMIN$\system32\
• ADMIN$
• print$
Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:
– Список имен пользователей и паролей:
• Rendszergazda
• Beheerder
• amministratore
• hallintovirkailijat
• Administrat
• Administrateur
• administrador
• Administrador
• administrator
• Administrator
• ADMINISTRATOR
• Password
• password
Эксплойт:
Используются следующие бреши в безопасности:
–
MS01-059
(Unchecked Buffer in Universal Plug and Play)
–
MS02-061
(повышение привилегий в SQL Server Web)
–
MS03-007
(непроверенный буфер в компоненте Windows)
–
MS03-026
(Переполнение буфера RPC Interface)
–
MS04-007
(Уязвимость ASN.1)
–
MS04-011
(Уязвимость LSASS)
Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.
IRC
Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:
Сервер: 0x41.cyber**********
Порт: 6556
Канал: #0x90
Имя:
%случайная комбинация букв из девяти букв%
Пароль: 3nt3r
Сервер: dev.lsa**********
Порт: 6556
Канал: #0x90
Имя:
%случайная комбинация букв из девяти букв%
Пароль: 3nt3r
Сервер: dev.lsa**********
Порт: 6556
Канал: #0x90
Имя:
%случайная комбинация букв из девяти букв%
Пароль: 3nt3r
Сервер: dev.mem**********
Порт: 6556
Канал: #0x90
Имя:
%случайная комбинация букв из девяти букв%
Пароль: 3nt3r
– Данная вредоносная программа способна собирать и передавать следующую информацию:
• Скорость процессора
• Текущий пользователь
• Свободное место на диске
• Свободная оперативная память
• Время жизни вредоносной программы
• Информация о сети
• Информация о запущенных процессах
• Объем памяти
• Имя пользователя
• Информация об операционной системе Windows
– Вредоносная программа обладает способностью выполнять следующие действия:
• Отключить сетевые папки общего доступа
• Загрузить файл
• Подключить сетевые папки общего доступа
• Остановить процесс
• Проверка сети
• Запуск программы контроля клавиатуры
• Запуск процедуры распространения
• Закрыть потенциально опасную программу
• Остановить процесс
• Обновляется самостоятельно
Backdoor
Открывается порт:
–
%SYSDIR%
\upnp.exe по TCP порту 21 для обеспечения FTP сервера.
Разное
Мьютекс:
Создается мьютекс:
• 0x0_UPnP_0x0
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Irina Boldea Tue, 16 May 2006 11:03 (GMT+1)
Описание обновлено: Irina Boldea Tue, 16 May 2006 11:23 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Lovgate.W
Worm/Mytob.U
Worm/Klez.E
TR/Dldr.Exchanger.OQ
TR/Dldr.Small.but
TR/Kavimondas.B
TR/Dldr.Agent.73728
JS/Dldr.Iframe.BY
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info W32/Codbot.A.1
Print this page
.gif)
