Worm/Zotob.F - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Zotob.F
Descubierto:	17/08/2005
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	10.878 Bytes
Suma de control MD5:	96AB4033143AD95744AA208C4DE7A053
Versión del VDF:	6.31.1.130

General Método de propagación:
   • Red local

Alias:
   • Symantec: W32.Zotob.F
   • Mcafee: W32/Bozori.worm.b
   • Kaspersky: Net-Worm.Win32.Bozori.b
   • TrendMicro: WORM_ZOTOB.F
   • F-Secure: Bozori.B
   • Sophos: W32/Zotob-F
   • Panda: W32/IRCbot.KL.worm

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Emplea vulnerabilidades de software

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\Sysdir32\wintbx.exe

Elimina la copia inicial del virus.

Crea el siguiente fichero:

– %TEMPDIR%\%serie de caracteres aleatorios de tres dígitos%.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "wintbpx.exe"="wintbpx.exe"

Infección en la red Exploit:
Emplea la siguiente brecha de seguridad:
– MS05-039 (Vulnerability in Plug and Play)

Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.

Proceso de infección:
Crea un script TFTP en el sistema afectado, para descargar el programa viral en la ubicación remota.
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: %WINDIR%\%serie de caracteres aleatorios%.exe

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 72.20.41.**********
Puerto: 6667
Canal: #tbp
Apodo: %serie de caracteres aleatorios% 4 %serie de caracteres aleatorios%

Finalización de los procesos Listado de los procesos finalizados:
   • botzor.exe; csm.exe; llsrv.exe; mousebm.exe; pnpsrv.exe;
      service32.exe; svnlitup32.exe; system32.exe; upnp.exe; winpnp.exe;
      wintbp.exe

Backdoor (Puerta trasera) Abre los siguientes puertos:

– %ficheros ejecutados% en el puerto UDP 69 para funcionar como servidor TFTP.
– %ficheros ejecutados% en el puerto TCP 8563 para crear un comando remote shell.

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• wintbx.exe

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
• UPX
• Yoda's Cryptor

Para una breve descripción vea el resumen aquí.

Descripción insertada por Dragos Tomescu el Wed, 17 Aug 2005 14:35 (GMT+1)
Descripción actualizada por Dragos Tomescu el Tue, 30 Aug 2005 17:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver