w32.zotob.b, w32/zotob.worm.b, w32/zotob-b, worm_zotob.b, zotob.b
tipo: gusano
tama?o: 27,648 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 14/08/2005.
w32/zotob.b, es un gusano que se difunde explotando una vulnerabilidad de microsoft plug and play buffer overflow, descrita en el bolet?n de seguridad ms05-039
el gusano no infecta sistemas con windows 95/98/me/nt4, pero si puede ejecutarse en dichos sistemas para tratar de infectar computadores vulnerables (windows 2000/xp) cuando estos se conecten a dichos sistemas operativos.
cuando el gusano se ejecuta crea un mutex de nombre b-o-t-z-o-r, el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo dentro de:
system \csm.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
csm win updates= system \csm.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
csm win updates= system \csm.exe
tambi?n modifica la siguiente entrada en el registro para deshabilitar el servicio shared access en windows 2000/xp
hkey_local_machine\system\currentcontrolset\services\sharedaccess
start=4
el gusano se difunde a trav?s de la red generando un rango aleatorio de direcciones ip, utilizando los dos primeros octetos de la direcci?n ip del computador atacado.
seguidamente el gusano intentar? establecer comunicaci?n con un determinado servidor irc en el dominio [wait.atillaekici.net/[xxxxx]] a trav?s del puerto tcp 8080. si logra conectarse queda a la espera de recibir ordenes remotas del atacante.
tambi?n abre un servidor ftp en el puerto tcp 33333, luego descarga y ejecuta una copia del gusano a trav?s del servidor ftp creado anteriormente, dicho archivo tiene como nombre haha.exe y es guardado dentro de la carpeta system .
finalmente el gusano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1) y agregar el siguiente texto:
botzor2005 made by .... greetz to good friend coder. based on hellbot3
msg to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
127.0.0.1 securityresponse.symantec.com 127.0.0.1 www.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 127.0.0.1 www.amazon.com 127.0.0.1 www.amazon.co.uk 127.0.0.1 www.amazon.ca 127.0.0.1 www.amazon.fr 127.0.0.1 www.paypal.com 127.0.0.1 paypal.com 127.0.0.1 moneybookers.com 127.0.0.1 www.moneybookers.com 127.0.0.1 www.ebay.com 127.0.0.1 ebay.com
1992/2005
|
