• Lunes 23 de Diciembre de 2024, 13:14

Autor Tema:  Codbot.al  (Leído 989 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Codbot.al
« en: Miércoles 22 de Junio de 2005, 03:02 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   
Fecha de Alta:21-06-2005
Última Actualización:21-06-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.WNT/Codbot.AL@LSASS    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [WNT] - Ejecutable PE (Portable Executable) que corre en Windows NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Codbot.AL.worm (Panda Software)
Detalles

Efectos

Este virus no funciona correctamente en ordenadores con Windows Me/98/95, y muestra un mensaje de error cuando es ejecutado en alguno de dichos ordenadores.

Permite controlar remotamente el ordenador afectado, ya que se conecta a diversos servidores IRC para recibir las siguientes órdenes:

    * Averiguar la versión del gusano.
    * Obtener la versión del sistema operativo y el modelo de microprocesador instalado en el ordenador afectado.
    * Obtener la dirección IP.
    * Descargar archivos a través de HTTP y ejecutarlos.
    * Cambiar el servidor IRC al que se conecta, o el canal IRC al que se une, o finalizar dicha conexión.
    * Calcular las estadísticas de intentos de explotación de vulnerabilidades que ha realizado.
    * Comprobar si el ordenador presenta vulnerabilidades conocidas.
    * Registrar pulsaciones de teclado, con intención de capturar las contraseñas tecleadas por el usuario.
    * Obtener las contraseñas almacenadas en el servicio Protected Storage, como contraseñas para Internet Explorer, Outlook Express y MSN Messenger.
    * Activar o desactivar los siguientes módulos: keylogger, servidor FTP o TFTP, escaneo de direcciones IP, módulo de explotación de vulnerabilidades y módulo de control del gusano.
    * Borrarse a sí mismo.

Además de registrar pulsaciones de teclado y el nombre de la ventana donde han sido introducidas, también realiza búsquedas de determinados patrones: bank, e-bay, ebay, login y paypal. De este modo, puede recoger tanto contraseñas para servicios de dichas compañías y otras contraseñas de servicios más genéricos.

Metodo de Infección

Codbot.AL crea los siguientes archivos:

    * NETDDECLNT.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
    * DEL.BAT generalmente en la subcarpeta LOCAL SETTINGS\ TEMP del directorio del usuario. Este archivo sirve para borrar el archivo correspondiente al gusano si recibe la orden apropiada.

Se registra como un servicio de Windows con las siguientes características:

    * Nombre: Network DDE Client
    * Descripción: Provides network transport and security for Dynamic Data Exchange (DDE) for programs running on the same computer or on different computers

Emplea dicho nombre y descripción para intentar ser confundido con un servicio legítimo de Windows.

Para registrarse, crea varias entradas en el Registro de Windows.

Además, el servicio se ejecutará automáticamente cada vez que Windows se inicie, y en caso de que fallara, se reiniciará por sí mismo.

Método de Propagación

Codbot.AL se propaga a través de Internet, atacando ordenadores remotos:

1.- Propagación a través de vulnerabilidades en Windows.

Para explotar las vulnerabilidades LSASS y RPC DCOM realiza el siguiente proceso:

    * Codbot.AL genera direcciones IP aleatorias e intenta acceder a las mismas.
    * Si lo consigue, comprueba si el ordenador remoto presenta alguna de las siguientes vulnerabilidades:
          o RPC DCOM: en ordenadores con Windows 2003/XP/2000/NT.
          o LSASS: en ordenadores con Windows XP/2000.
    * En caso afirmativo, envía instrucciones a través del puerto 135 (RPC DCOM) o 445 (LSASS), para que el ordenador descargue una copia del gusano mediante un servidor HTTP.
    * La copia de sí mismo descargada es ejecutada, con lo que el ordenador quedará afectado.

Cuando aprovecha la vulnerabilidad LSASS, Codbot.AL sólo afecta y se propaga de manera automática a ordenadores con Windows XP/2000 y que tengan el puerto 5000 abierto (por defecto, abierto en Windows XP y cerrado en Windows 2000). Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Codbot.AL convertiría dicho ordenador en un nuevo foco de propagación.

Sin embargo, cuando la vulnerabilidad empleada es RPC DCOM, Codbot.AL afecta a ordenadores con Windows 2003/XP/2000/NT.

2.- Propagación a ordenadores con SQL Server.

Además de explotar varias vulnerabilidades conocidas de SQL Server, también realiza el siguiente proceso:

    * Comprueba si el ordenador tiene instalado SQL Server.
    * En caso afirmativo, el gusano intenta conectarse a alguna de las cuentas de SQL Server, empleando para ello nombres de usuario y contraseñas típicas o fáciles de adivinar.
    * Entonces, Codbot.AL ejecuta un procedimiento almacenado llamado xp_cmdshell, que ejecuta un script que descarga el gusano al ordenador remoto a través de FTP.

Otros Detalles

Codbot.AL está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 47104 Bytes, y está comprimido mediante Pe-Crypt.AntiDeb.

Codbot.AL emplea técnicas antidepuración, y termina procesos pertenecientes a programas de emulación de PC, como por ejemplo VMWare, en un intento de dificultar el análisis de su código.

El gusano contiene la siguiente cadena de texto en su código, aunque no es mostrada en ningún momento:

dETOX/0x20 (win32)
El pasado son solo recuerdos, el futuro son solo sueños