Antivirus and Security Software from Sophos

W32/Codbot-AG

Alias
  • WORM_SDBOT.BLH
  • Backdoor.Win32.Codbot.ag
  • W32.Toxbot
Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Verbreitungsmethode
  • Netzwerkfreigaben
  • Internet-Downloads
Betroffene Betriebssysteme Windows
Schutz erhältlich seit 28 Juni 2005 22:33:34 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

W32/Codbot-AG ist ein Netzwerkwurm mit Backdoorfunktionalität für die Windows-Plattform. W32/Codbot-AG kann sich auf remote Netzwerkfreigaben verbreiten, die durch einfache Kennwörter geschützt sind, sowie auf Computer, die für häufige Schwachstellen anfällig sind, darunter die Schwachstellen RPC-DCOM, LSASS und MSSQL. W32/Codbot-AG kann über das IRC-Netzwerk von einem remoten Angreifer gesteuert werden. Der Angreifer kann Befehle zum Herunterladen und Starten von weiterem schädlichen Code, zum Stehlen von Kennwörtern und Systemdaten sowie zum Schnüffeln in Paketen des lokalen Netzwerks senden. W32/Codbot-AG ist ein Netzwerkwurm mit Backdoorfunktionalität für die Windows-Plattform. W32/Codbot-AG kann sich auf remote Netzwerkfreigaben verbreiten, die durch einfache Kennwörter geschützt sind, sowie auf Computer, die für häufige Schwachstellen anfällig sind, darunter die Schwachstellen RPC-DCOM, LSASS und MSSQL. Die folgenden Patches für die Betriebssystemschwachstellen, die von W32/Codbot-AG ausgenutzt werden, stehen auf der Microsoft Website zur Verfügung: MS02-039
MS04-011
MS04-012 W32/Codbot-AG kann über das IRC-Netzwerk von einem remoten Angreifer gesteuert werden. Der Angreifer kann Befehle zum Herunterladen und Starten von weiterem schädlichen Code, zum Stehlen von Kennwörtern und Systemdaten sowie zum Schnüffeln in Paketen des lokalen Netzwerks senden. W32/Codbot-AG kopiert sich mit dem Dateinamen dhcpclient.exe in den Windows-Systemordner. Auf NT-basierten Windows-Versionen (NT, 2000, XP) registriert sich der Wurm als Dienstprozess namens "Ulead Service" mit dem Anzeigenamen "DHCP Client" und dem Starttyp "Automatisch", so dass der Wurm bei der Computeranmeldung gestartet wird. An folgenden Stellen werden Registrierungseinträge erstellt: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHCP_CLIENT
<mehrere Einträge> HKLM\SYSTEM\CurrentControlSet\Services\DHCP Client
<mehrere Einträge> W32/Codbot-AG erstellt außerdem die folgenden Registrierungseinträge, um als Dienstprozess im abgesicherten Modus zu starten: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DHCP Client
(default)
Service HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DHCP Client
(default)
Service

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer