• Sábado 16 de Noviembre de 2024, 08:30

Autor Tema:  Codbot.ab  (Leído 1060 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Codbot.ab
« en: Martes 27 de Septiembre de 2005, 18:10 »
0
Peligrosidad: 3 - Media     
Difusión:  Baja   Fecha de Alta:26-09-2005
Última Actualización:26-09-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Codbot.AB@LSASS    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Codbot-AB (Sophos), Backdoor.Win32.SdBot.afu (Kaspersky (viruslist.com))
Detalles

Al ejecutarse por primera vez, Codbot.AB se copia oculto en la carpeta del sistema de Windows con el nombre dfrgfat32.exe y se registra como un servicio con las siguientes propiedades:

    * "Description"="Monitoring the defragmentating process."
    * "DisplayName"="Defragmentation Management Handler"
    * "ImagePath"=[Carpeta de Sistema]\dfrgfat32.exe

Para ello crea la siguiente clave en el registro:

HKLM\SYSTEM\CurrentControlSet\Services\FAT Defragmentation

También crea entradas en el registro para activarse en el modo a prueba de fallos:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
Minimal\FAT Defragmentation

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
Network\FAT Defragmentation

Conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá:

    * descargar, instalar y ejecutar programas
    * iniciar un servidor FTP
    * obtener información del sistema
    * buscar otros equipos que infectar
    * grabar las teclas pulsadas
El pasado son solo recuerdos, el futuro son solo sueños