worm_zotob. p
tipo: gusano
tama?o: 19,968 bytes [comprimido], 49,152 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 01/10/2005
w32/zobot.p, es un gusano que se difunde explotando la vulnerabilidad de microsoft windows plug and play buffer overflow, descrito en el bolet?n de seguridad de microsoft ms05-039 .
cuando el gusano se ejecuta crea un mutex de nombre winwsl.exe, el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo dentro de:
system \winwsl.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
winwsl.exe= system \winwsl.exe
seguidamente el gusano intentar? establecer comunicaci?n con un servidor irc [66.252.12.254] a trav?s del puerto tcp 6664. si logra conectarse satisfactoriamente queda a la espera de recibir ordenes remotas del atacante.
finalmente intentara terminar los siguientes procesos relacionados a variantes de w32/zotob
botzor.exe csm.exe hpsv.exe llsrv.exe mousebm.exe per.exe pnpsrv.exe service32.exe ssl.exe svnlitup32.exe system32.exe upnp.exe winbnl.exe winpnp.exe winrvl.exe wintbp.exe wintbpx.exe wintnl.exe wintnpx.exe wpa.exe
1992/2005
|
