Worm/Zotob.A - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Zotob.A
Entdeckt am:	16/08/2005
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	22.528 Bytes
MD5 Prüfsumme:	5C223D76A89AF8303777CD4C434F8707
VDF Version:	6.31.1.108

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Symantec: W32.Zotob.A
   • Mcafee: W32/Zotob.worm.gen
   • Kaspersky: Net-Worm.Win32.Mytob.cd
   • TrendMicro: WORM_ZOTOB.A
   • F-Secure: Zotob.A
   • Sophos: W32/Zotob-A
   • Panda: W32/Zotob.A.worm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\botzor.exe

Eine Datei wird überschreiben.
– %SYSDIR%\drivers\etc\hosts

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDOWS SYSTEM"="botzor.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDOWS SYSTEM"="botzor.exe"

Folgender Registryschlüssel wird geändert:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

Infektion über das Netzwerk Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS05-039 (Vulnerability in Plug and Play)

IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten beiden Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

Ablauf der Infektion:
Auf dem übernommenen Computer wird ein FTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.
Die heruntergeladene Datei wird auf dem enternten computer wie folgt gespeichert: %SYSDIR%\haha.exe

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: diabl0.tu**********ders.net
Port: 8080
Channel: #botzor elite
Nickname: [BOT]%sechsstellige zufällige Buchstabenkombination%

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      www.virustotal.com; virustotal.com; www.amazon.com; www.amazon.co.uk;
      www.amazon.ca; www.amazon.fr; www.paypal.com; paypal.com;
      moneybookers.com; www.moneybookers.com; www.ebay.com; ebay.com

Hintertür Die folgenden Ports werden geöffnet:

– %ausgeführte Datei% am TCP Port 33333 um einen FTP Server zur Verfügung zu stellen.
– %ausgeführte Datei% an einem zufälligen TCP port
– %ausgeführte Datei% am TCP Port 8888 um eine Shell zur Verfügung zu stellen.

Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • B-O-T-Z-O-R

String:
Des Weiteren enthält es folgende Zeichenketten:
   • Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
   • MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

Kurzfassung hier.

Beschreibung erstellt von Dragos Tomescu am Tue, 16 Aug 2005 15:29 (GMT+1)
Beschreibung geändert von Dragos Tomescu am Tue, 30 Aug 2005 11:24 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück