Need help? Ask the community or hire an expert.
Go to Avira Answers
??:Worm/CodBot.20959
????:13/12/2012
??:??
????:?
????????????
??/?????????
?? / ?????????
????:?
????:20.959 ??
MD5 ???:e30Fb27bda3e449353048a5053eb4585
VDF ??:7.11.53.216

 ???? ????:
   • ????


??:
   •  Mcafee: Proxy-FBSR
   •  TrendMicro: WORM_CODBOT.U
   •  Sophos: Exp/MS04011-A
   •  VirusBuster: Worm.Codbot.W
   •  Eset: Win32/Codbot
   •  Bitdefender: Backdoor.Codbot.AG


??/????:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


???:
   • ????
   • ?????
   • ??????
   • ?????

 ?? ???????????:
   • %SYSDIR%\mapi32.exe



???????????????



??????:

%TEMPDIR%\erase.bat ???????????? ?????????????

 ??? ?????????????????????????:

HKLM\SYSTEM\CurrentControlSet\Services\MAPI
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%SYSDIR%\mapi32.exe
   • "DisplayName"="MAPI Mail Client"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%?????%
   • "Description"="Enables support for the Messaging Application Program Interface."



?????????????:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MAPI
   • @="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MAPI
   • @="Service"



?????????:

HKLM\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\Adapters
   ??:
   • "NetbiosOptions" = %???????%
   ??:
   • "NetbiosOptions" = dword:00000002

HKLM\SOFTWARE\Microsoft\OLE
   ??:
   • "EnableDCOM" = %???????%
   ??:
   • "EnableDCOM" = "N"

HKLM\SYSTEM\CurrentControlSet\Services\NetDDE
   ??:
   • "Start" = %???????%
   ??:
   • "Start" = dword:00000003

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
   ??:
   • "MaxClientRequestBuffer" = %???????%
   ??:
   • "MaxClientRequestBuffer" = dword:00000000

 ???? ?????????????????????????????


????:
??????????:
– MS02-061 (SQL Server Web ??????)
– MS03-007 (Windows ???????????)
– MS03-026 (RPC ?????????)
– MS04-011 (LSASS ??)
 VX05-006 (??? VERITAS Backup Exec Admin Plus Pack ????????)


????:
??????????? FTP ??????????????????


????:
???????????????????????? ???????NetScheduleJobAdd ???

 IRC ????????????????????? IRC ???:

???: 0x80.martian**********
??: 6556
??: #9#
??: %?????????%
??: g3t0u7

???: 0xff.mem**********
??: 6556
??: #9#
??: %?????????%
??: g3t0u7

???: 0x80.online-**********
??: 6556
??: #9#
??: %?????????%
??: g3t0u7

???: 0x80.going**********
??: 6556
??: #9#
??: %?????????%
??: g3t0u7

???: 0x80.my**********
??: 6556
??: #9#
??: %?????????%
??: g3t0u7

???: 0x80.my-**********
??: 6556
??: #9#
??: %?????????%
??: g3t0u7



 ??????????????????:
    • ????
    • CPU ??
    • ????
    • ??????
    • ????
    • ????????
    • ???????
    • ????????
    • ????
    • Windows ??????


 ????????????:
    • ????
    • ????
    • ????
    • ???? Shell
     ??????
     ??????
    • ??????

 ???? ???????:

%SYSDIR%\mapi32.exe ??? TCP ??? ???? FTP ????
%SYSDIR%\mapi32.exe ? UDP ??? 69 ???? TFTP ????

 ??      ??

??? URL ??????????????????????????:
   • bank
   • e-bay
   • ebay
   • paypal

 ?? Mutex:
?????? Mutex:
   • xMAPIMailClientx

 ?????? ???????:
????????????????????????????????:
   • MEW

Açıklamayı yerleştiren Irina Boldea tarihinde 14 Mart 2006 Salı
Açıklamayı güncelleyen: Irina Boldea tarihinde 15 Mart 2006 Çarşamba

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.