w32.zotob. l
tipo: gusano
tama?o: 178,176 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 25/08/2005.
w32/zobot.l, es un gusano que se difunde explotando la vulnerabilidad de microsoft windows plug and play buffer overflow, descrito en el bolet?n de seguridad de microsoft ms05-039 .
cuando el gusano se ejecuta crea un mutex de nombre beegees, el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo dentro de:
system \windbg32.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
windows debugger= system \windbg32.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
windows debugger= system \windbg32.exe
seguidamente el gusano intentar? establecer comunicaci?n con un servidor irc [p.wallload.com] a trav?s del puerto tcp 8080. si logra conectarse satisfactoriamente queda a la espera de recibir ordenes remotas del atacante.
el gusano tambi?n explota las siguientes vulnerabilidades:
vulnerabilidad de microsoft windows asn.1 library bit string processing, descrito en el bolet?n de seguridad ms04-007 . vulnerabilidad de microsoft windows message queuing remote buffer overflow, descrito en el bolet?n de seguridad ms05-017 . vulnerabilidad de microsoft windows plug and play buffer overflow, descrito en el bolet?n de seguridad ms05-039 . vulnerabilidad buffer overrun in the workstation service could allow code execution , descrito en el bolet?n de seguridad ms03-049 de microsoft.
1992/2005
|
