Worm/Zotob.F - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Zotob.F
Data em que surgiu:	17/08/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Médio
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	10.878 Bytes
MD5 checksum:	96AB4033143AD95744AA208C4DE7A053
Versão VDF:	6.31.1.130

Vulgarmente Meio de transmissão:
   • Rede local

Alias:
   • Symantec: W32.Zotob.F
   • Mcafee: W32/Bozori.worm.b
   • Kaspersky: Net-Worm.Win32.Bozori.b
   • TrendMicro: WORM_ZOTOB.F
   • F-Secure: Bozori.B
   • Sophos: W32/Zotob-F
   • Panda: W32/IRCbot.KL.worm

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Aproveita-se de vulnerabilidades do software

Ficheiros Autocopia-se para a seguinte localização:
• %WINDIR%\Sysdir32\wintbx.exe

Apaga a cópia executada inicialmente.

É criado o seguinte ficheiro:

– %TEMPDIR%\%três caracteres aleatórios%.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "wintbpx.exe"="wintbpx.exe"

Infecção da rede Exploit:
Faz uso do seguinte Exploit:
– MS05-039 (Vulnerability in Plug and Play)

Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

Processo de infecção:
Cria um script TFTP na máquina a atacada para permitir o download do malware da máquina atacante.
O ficheiro descarregado é armazenado na máquina a atacar: %WINDIR%\%uma série de caracteres aleatórios%.exe

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: 72.20.41.**********
Porta: 6667
Canal #tbp
Nickname: %uma série de caracteres aleatórios% 4 %uma série de caracteres aleatórios%

Terminar o processo A seguinte lista de processos são terminados:
   • botzor.exe; csm.exe; llsrv.exe; mousebm.exe; pnpsrv.exe;
      service32.exe; svnlitup32.exe; system32.exe; upnp.exe; winpnp.exe;
      wintbp.exe

Backdoor São abertas as seguintes portas:

– %ficheiro executado% numa porta UDP 69 para fornecer um servidor de TFTP.
– %ficheiro executado% numa porta TCP 8563 Para fornecer acesso Shell remoto.

Informações diversas Mutex:
Cria o seguinte Mutex:
• wintbx.exe

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
• UPX
• Yoda's Cryptor

Veja aqui uma breve descrição.

Descrição adicionada por Dragos Tomescu em Wed, 17 Aug 2005 14:35 (GMT+1)
Descrição adicionada por Dragos Tomescu em Tue, 30 Aug 2005 17:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back