w32.zotob. h,
tipo: gusano
tama?o: 10,878 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 17/08/2005.
w32/zobot.h, es un gusano que se difunde explotando la vulnerabilidad de microsoft windows plug and play buffer overflow, descrito en el bolet?n de seguridad de microsoft ms05-039
cuando el gusano se ejecuta crea un mutex de nombre wintnpx.exe, el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo dentro de:
system \wintnpx.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
wintnpx.exe= system \wintnpx.exe
el gusano se difunde a trav?s de la red generando un rango aleatorio de direcciones ip, utilizando los dos primeros octetos de la direcci?n ip del computador atacado y genera valores aleatorios para los dos ?ltimos octetos.
seguidamente el gusano intentar? establecer comunicaci?n con un servidor irc [24.128.76.161] a trav?s del puerto tcp 6667. si logra conectarse satisfactoriamente queda a la espera de recibir ordenes remotas del atacante.
tambi?n abre un servidor tftp, luego descarga y ejecuta una copia del gusano a trav?s del servidor tftp creado anteriormente, dicho archivo tiene de nombre a[x].exe y es guardado dentro de la carpeta windows en el computador atacado.
nota.- [x] representa a un n?mero aleatorio entre 0 - 9
finalmente intenta terminar los siguientes procesos:
wintbpx.exe wintbp.exe svnlitup32.exe service32.exe mousebm.exe llsrv.exe pnpsrv.exe winpnp.exe csm.exe system32.exe botzor.exe upnp.exe
1992/2005
|
