English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Zotob.A
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Zotob.A - Worm
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
Worm/Zotob.A
Data em que surgiu:
16/08/2005
Tipo:
Worm
Incluído na lista "In The Wild"
Sim
Nível de danos:
Baixo
Nível de distribuição:
Médio
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
22.528 Bytes
MD5 checksum:
5C223D76A89AF8303777CD4C434F8707
Versão VDF:
6.31.1.108
Vulgarmente
Meio de transmissão:
• Rede local
Alias:
• Symantec: W32.Zotob.A
• Mcafee: W32/Zotob.worm.gen
• Kaspersky: Net-Worm.Win32.Mytob.cd
• TrendMicro: WORM_ZOTOB.A
• F-Secure: Zotob.A
• Sophos: W32/Zotob-A
• Panda: W32/Zotob.A.worm
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Bloqueia o acesso a determinados Web sites
• Bloqueia o acesso a Web sites de segurança
• Altera o registo do Windows
• Aproveita-se de vulnerabilidades do software
Ficheiros
Autocopia-se para a seguinte localização:
•
%SYSDIR%
\botzor.exe
Altera o conteúdo de um ficheiro.
–
%SYSDIR%
\drivers\etc\hosts
Registry (Registo do Windows)
São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINDOWS SYSTEM"="botzor.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "WINDOWS SYSTEM"="botzor.exe"
O seguinte valor do registo é alterado:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Valor anterior:
• "Start"=
%definições do utilizador %
Valor recente:
• "Start"=dword:00000004
Infecção da rede
Exploit:
Faz uso do seguinte Exploit:
–
MS05-039
(Vulnerability in Plug and Play)
Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.
Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.
O ficheiro descarregado é armazenado na máquina a atacar:
%SYSDIR%
\haha.exe
IRC
Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:
Servidor: diabl0.tu**********ders.net
Porta: 8080
Canal #botzor elite
Nickname: [BOT]
%seis caracteres aleatórios%
Hospedeiros
O ficheiro hospedeiro sofre as seguintes alterações:
– Neste caso valores existentes serão alterados.
– O acesso aos seguintes domínios é bloqueado:
• www.symantec.com; securityresponse.symantec.com; symantec.com;
www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
mast.mcafee.com; my-etrust.com; www.my-etrust.com;
download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
trendmicro.com; pandasoftware.com; www.pandasoftware.com;
www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
www.virustotal.com; virustotal.com; www.amazon.com; www.amazon.co.uk;
www.amazon.ca; www.amazon.fr; www.paypal.com; paypal.com;
moneybookers.com; www.moneybookers.com; www.ebay.com; ebay.com
Backdoor
São abertas as seguintes portas:
–
%ficheiro executado%
numa porta TCP 33333 Por forma a fornecer um servidor FTP.
–
%ficheiro executado%
numa porta TCP aleatória
–
%ficheiro executado%
numa porta TCP 8888 Para fornecer acesso Shell remoto.
Informações diversas
Mutex:
Cria o seguinte Mutex:
• B-O-T-Z-O-R
Texto:
Além disso contém os seguintes blocos de texto:
• Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
• MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
Veja
aqui
uma breve descrição.
Descrição adicionada por Dragos Tomescu em Tue, 16 Aug 2005 15:29 (GMT+1)
Descrição adicionada por Dragos Tomescu em Tue, 30 Aug 2005 11:24 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Zotob.A
Print this page
.gif)
