English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Zotob.A
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Zotob.A - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Zotob.A
Обнаружен:
16/08/2005
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
22.528 байт.
Контрольная сумма MD5:
5C223D76A89AF8303777CD4C434F8707
Версия VDF:
6.31.1.108
Общее
Метод распространения:
• Локальная сеть
Псевдонимы (аliases):
• Symantec: W32.Zotob.A
• Mcafee: W32/Zotob.worm.gen
• Kaspersky: Net-Worm.Win32.Mytob.cd
• TrendMicro: WORM_ZOTOB.A
• F-Secure: Zotob.A
• Sophos: W32/Zotob-A
• Panda: W32/Zotob.A.worm
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Блокирует доступ к различным веб-сайтам
• Блокирует доступ к веб-страницам IT-security компаний
• Изменение реестра
• Использует уязвимость ПО
Файлы
Создается собственная копия:
•
%SYSDIR%
\botzor.exe
Файл будет переписан.
–
%SYSDIR%
\drivers\etc\hosts
Реестр
Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINDOWS SYSTEM"="botzor.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "WINDOWS SYSTEM"="botzor.exe"
Изменяется следующий ключ реестра:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Прежнее значение:
• "Start"=
%Настройки пользователя%
Новое значение:
• "Start"=dword:00000004
Сетевое инфицирование
Эксплойт:
Используется следующая брешь в безопасности:
–
MS05-039
(уязвимость в Plug and Play)
Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.
Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.
Загруженный файл сохраняется на удаленном компьютере в следующем виде:
%SYSDIR%
\haha.exe
IRC
Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:
Сервер: diabl0.tu**********ders.net
Порт: 8080
Канал: #botzor elite
Имя: [BOT]
%случайная комбинация из шести букв%
Хосты
Хост файл изменяется следующим образом:
– В этом случае удаляются существующие строки.
– Успешно блокирован доступ к следующим доменам:
• www.symantec.com; securityresponse.symantec.com; symantec.com;
www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
kaspersky-labs.com; www.avp.com; www.kaspersky.com; avp.com;
www.networkassociates.com; networkassociates.com; www.ca.com; ca.com;
mast.mcafee.com; my-etrust.com; www.my-etrust.com;
download.mcafee.com; dispatch.mcafee.com; secure.nai.com; nai.com;
www.nai.com; update.symantec.com; updates.symantec.com; us.mcafee.com;
liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
trendmicro.com; pandasoftware.com; www.pandasoftware.com;
www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
www.virustotal.com; virustotal.com; www.amazon.com; www.amazon.co.uk;
www.amazon.ca; www.amazon.fr; www.paypal.com; paypal.com;
moneybookers.com; www.moneybookers.com; www.ebay.com; ebay.com
Backdoor
Открываются следующие порты:
–
%выполненный файл%
по TCP порту 33333 для обеспечения FTP сервера.
–
%выполненный файл%
к произвольному TCP порту
–
%выполненный файл%
по TCP порту 8888 для обеспечения удаленной оболочки
Разное
Мьютекс:
Создается мьютекс:
• B-O-T-Z-O-R
Строка:
Здесь содержатся следующие последовательности:
• Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
• MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
Краткое описание см.
здесь
.
Описание добавлено: Dragos Tomescu Tue, 16 Aug 2005 15:29 (GMT+1)
Описание обновлено: Dragos Tomescu Tue, 30 Aug 2005 11:24 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Zotob.A
Print this page
.gif)
