SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Martes 27 de Septiembre de 2005, 18:10
-
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:26-09-2005
Última Actualización:26-09-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Codbot.AB@LSASS
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Codbot-AB (Sophos), Backdoor.Win32.SdBot.afu (Kaspersky (viruslist.com))
Detalles
Al ejecutarse por primera vez, Codbot.AB se copia oculto en la carpeta del sistema de Windows con el nombre dfrgfat32.exe y se registra como un servicio con las siguientes propiedades:
* "Description"="Monitoring the defragmentating process."
* "DisplayName"="Defragmentation Management Handler"
* "ImagePath"=[Carpeta de Sistema]\dfrgfat32.exe
Para ello crea la siguiente clave en el registro:
HKLM\SYSTEM\CurrentControlSet\Services\FAT Defragmentation
También crea entradas en el registro para activarse en el modo a prueba de fallos:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
Minimal\FAT Defragmentation
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
Network\FAT Defragmentation
Conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá:
* descargar, instalar y ejecutar programas
* iniciar un servidor FTP
* obtener información del sistema
* buscar otros equipos que infectar
* grabar las teclas pulsadas