w32.zotob.f, w32/zotob-f, net-worm.win32.bozori.b, worm_zotob.f
tipo: gusano
tama?o: 10,878 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 17/08/2005.
w32/zobot.f, es un gusano que se difunde explotando la vulnerabilidad de microsoft windows plug and play buffer overflow, descrito en el bolet?n de seguridad de microsoft ms05-039
el gusano no infecta sistemas con windows 95/98/me/nt4/xp, pero si puede ejecutarse en dichos sistemas para tratar de infectar computadores vulnerables (windows 2000) cuando estos se conecten a dichos sistemas operativos.
cuando el gusano se ejecuta se copia a si mismo dentro de:
system \wintbpx.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
wintbpx= system \wintbpx.exe
el gusano se difunde a trav?s de la red generando un rango aleatorio de direcciones ip, utilizando los dos primeros octetos de la direcci?n ip del computador atacado y genera valores aleatorios para los dos ?ltimos octetos.
seguidamente el gusano intentar? establecer comunicaci?n con un servidor irc [72.20.41.139] si logra conectarse satisfactoriamente queda a la espera de recibir ordenes remotas del atacante.
tambi?n abre un servidor tftp, luego descarga y ejecuta una copia del gusano a trav?s del servidor tftp creado anteriormente, dicho archivo tiene de nombre a[x].exe y es guardado dentro de la carpeta windows en el computador atacado.
nota.- [x] representa a un n?mero aleatorio entre 0 - 9
finalmente intenta terminar los siguientes procesos:
wintbp.exe svnlitup32.exe service32.exe mousebm.exe llsrv.exe pnpsrv.exe winpnp.exe csm.exe system32.exe botzor.exe upnp.exe
1992/2005
|
