Worm/Zotob.E - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Zotob.E
Descubierto:	16/08/2005
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	10.366 Bytes
Suma de control MD5:	7a67f7a8c844820c1bae3ebf720c1cd9
Versión del VDF:	6.31.1.128

General Método de propagación:
   • Red local

Alias:
   • Symantec: W32.Zotob.E
   • Mcafee: W32/Bozori.worm.a!CME-540
   • Kaspersky: Net-Worm.Win32.Bozori.a
   • TrendMicro: WORM_RBOT.CBQ
   • Sophos: W32/Tpbot-A
   • Panda: W32/IRCbot.KC.worm
   • VirusBuster: I-Worm.Zotob.C
   • Eset: Win32/Bozori.A worm
   • Bitdefender: Win32.Worm.Zotob.D

Plataforma / Sistema operativo:
   • Windows 2000

Efectos secundarios:
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\wintbp.exe

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wintbp" = "%SYSDIR%\wintbp.exe"

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Exploit:
Emplea la siguiente brecha de seguridad:
– MS05-039 (Vulnerability in Plug and Play)

Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.

Proceso de infección:
Crea un script TFTP en el sistema afectado, para descargar el programa viral en la ubicación remota.

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 72.20.27.**********
Puerto: 8080
Canal: #tbp
Apodo: %serie de caracteres aleatorios%

Backdoor (Puerta trasera) Abre el siguiente puerto:

– %SYSDIR%\wintbp.exe en el puerto UDP 69 para funcionar como servidor TFTP.

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• wintbp.exe

Para una breve descripción vea el resumen aquí.

Descripción insertada por Oliver Auerbach el Wed, 17 Aug 2005 02:17 (GMT+1)
Descripción actualizada por Oliver Auerbach el Fri, 19 Aug 2005 15:49 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver