Nome del virus:Worm/Zotob.A
Scoperto:16/08/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:22.528 Byte
Somma di controllo MD5:5C223D76A89AF8303777CD4C434F8707
Versione VDF:6.31.1.108

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Zotob.A
   •  Mcafee: W32/Zotob.worm.gen
   •  Kaspersky: Net-Worm.Win32.Mytob.cd
   •  TrendMicro: WORM_ZOTOB.A
   •  F-Secure: Zotob.A
   •  Sophos: W32/Zotob-A
   •  Panda: W32/Zotob.A.worm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Blocca l'accesso a siti web di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software

 File Si copia alla seguente posizione:
   • %SYSDIR%\botzor.exe



Sovrascrive un file.
%SYSDIR%\drivers\etc\hosts

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WINDOWS SYSTEM"="botzor.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "WINDOWS SYSTEM"="botzor.exe"



Viene cambiata la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

 “Infezione” della rete Exploit:
Sfrutta la seguente vulnerabilità:
– MS05-039 (Vulnerability in Plug and Play)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.
Il file scaricato viene allocato nella macchina compromessa come: %SYSDIR%\haha.exe

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: diabl0.tu**********ders.net
Porta: 8080
Canale: #botzor elite
Nickname: [BOT]%stringa casuale di sei caratteri%

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
      www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
      mast.mcafee.com; my-etrust.com; www.my-etrust.com;
      download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
      www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      www.virustotal.com; virustotal.com; www.amazon.com; www.amazon.co.uk;
      www.amazon.ca; www.amazon.fr; www.paypal.com; paypal.com;
      moneybookers.com; www.moneybookers.com; www.ebay.com; ebay.com


 Backdoor Le seguenti porte sono aperte:

%file eseguiti% sulla porta TCP 33333 con lo scopo di procurarsi un server FTP.
%file eseguiti% su una porta TCP casuale
%file eseguiti% sulla porta TCP 8888 con lo scopo di procurarsi una condivisione remota.

 Varie Mutex:
Crea il seguente Mutex:
   • B-O-T-Z-O-R


Stringa:
In più contiene le seguenti stringhe:
   • Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
   • MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

Descrizione inserita da Dragos Tomescu su martedì 16 agosto 2005
Descrizione aggiornata da Dragos Tomescu su martedì 30 agosto 2005

Indietro . . . .