Se conecta a servidores IRC para recibir órdenes de control remoto. Se propaga a través de Internet explotando las vulnerabilidades LSASS y RPC DCOM, vulnerabilidades en SQL Server e intentando acceder a cuentas de SQL Server que tengan nombres de usuario y contraseñas fáciles de adivinar.

Windows XP/2000/NT/ME/98/95

Descripción Breve 

Codbot.AL es un gusano con características de backdoor que se conecta a varios servidores IRC para recibir órdenes de control remoto que llevar a cabo en el ordenador afectado, como por ejemplo: descargar archivos a través de HTTP y ejecutarlos, verificar si el ordenador presenta vulnerabilidades conocidas, registrar las pulsaciones de teclado para capturar las contraseñas que introduzca el usuario, obtener las contraseñas almacenadas en el servicio Protected Storage (Internet Explorer, Outlook Express, MSN Messenger), etc.

Codbot.AL se propaga a través de Internet, intentando explotar las vulnerabilidades LSASS y RPC DCOM en ordenadores remotos con Windows 2003/XP/2000/NT. El gusano no se ejecuta correctamente en ordenadores con Windows Me/98/95.

Además, intenta explotar vulnerabilidades en ordenadores con SQL Server instalado, y también intenta conseguir acceso a ellos mediante nombres de usuario y contraseñas típicas o fáciles de adivinar.

Si tiene un ordenador con Windows 2003/XP/2000/NT, descargue e instale los parches para las vulnerabilidades LSASS y RPC DCOM desde la página oficial de Microsoft.

Síntomas Visibles

Codbot.AL es difícil de reconocer a simple vista, ya que no muestra mensajes ni avisos que alerten sobre su presencia.

Sin embargo, tenga en cuenta que, dado que este gusano no funciona correctamente en ordenadores con Windows Me/98/95, mostrará un mensaje de error cuando sea ejecutado en dichos sistemas operativos.