• Lunes 18 de Noviembre de 2024, 10:29

Autor Tema:  Zotob.c Nuevo Bebé  (Leído 2578 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Zotob.c Nuevo Bebé
« en: Martes 16 de Agosto de 2005, 20:01 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   
Fecha de Alta:16-08-2005
Última Actualización:16-08-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Zotob.C@MM    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 33792
Tamaño comprimido (bytes): 31744
Alias:W32.Zotob.C@mm (Symantec), WORM_ZOTOB.C (Trend Micro), Zotob.C (F-Secure), W32/Zotob-C (Sophos), Win32.Zotob.C (Computer Associates)
Detalles
La descripción de esta nueva variante, es muy similar a la de sus predecesores, diferenciándose en algunos valores que se señalan a continuación.

Por tanto, es similar a Worm-Backdoor.W32/Zotob@VULN con las siguientes diferencias:

    * Tamaño del gusano: 33.792 bytes. (comprimido ocupa 31.744 bytes).
    * En punto 2: El fichero creado tiene el nombre %System%\per.exe.
    * En punto 3: El valor añadido a las claves del registro es "WINDOWS SYSTEM" = "per.exe".
    * En punto 5: El dominio al que se conecta es 'diabl0.turkcoders.net' (igual que el de la versión .A).

La diferencia más destacable con las versiones anteriores, es la capacidad que tiene de propagarse mediante el envío masivo de correo electrónico, además de por la vulnerabilidad en el 'Plug and Play' señalada de los equipos con Windows NT/2000/XP y Server 2003.

Worm-Backdoor.W32/Zotob@MM+VULN captura las direcciones electrónicas a las que va a enviarse como anexo por varios métodos:

   1. De la libreta de contactos de Windows (WAB), chequeando la siguiente clave del registro de Windows:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WAB\WAB4\Wab File Name

   2. De los siguientes directorios:
          * %Windir%\Temporary Internet Files
          * %Userprofile%\Local Settings\Temporary Internet Files
          * %System%

      Notas:
          * %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
            Por defecto es C:\Documents and Settings\[- usuario actual -] (Windows NT/2000/XP).
          * %Windir% es una variable que hace referencia al directorio de instalación de Windows.
            Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
          * %System% es una variable que hace referencia al directorio del sistema de Windows.
            Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

   3. De ficheros con alguna de las siguientes extensiones:
          * adbh
          * aspd
          * cgil
          * dbxn
          * htmb
          * html
          * jspl
          * phpq
          * pl
          * shtl
          * tbbg
          * txt
          * wab
          * xmls

Utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviar los mensajes, lo cual le hace independiente del servidor de correo que utilice la máquina infectada.

Para generar las direcciones de los receptores del mensaje infeccioso, añade los nombres de los dominios obtenidos anteriormente, los siguientes nombres de usuario:

    * josh
    * alex
    * michael
    * james
    * mike
    * kevin
    * david
    * george
    * sam
    * andrew
    * jose
    * leo
    * maria
    * jim
    * brian
    * serg
    * mary
    * ray
    * tom
    * peter
    * robert
    * bob
    * jane
    * joe
    * dan
    * dave
    * matt
    * steve
    * smith
    * stan
    * bill
    * bob
    * jack
    * fred
    * ted
    * paul
    * brent
    * sales
    * anna
    * brenda
    * claudia
    * debby
    * helen
    * jerry
    * jimmy
    * julie
    * linda
    * michael
    * frank
    * adam
    * barbara
    * erik
    * contact
    * sandra

Evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:

    * abuse
    * security
    * admin
    * support
    * contact
    * webmaster
    * info
    * samples
    * postmaster
    * webmaster
    * noone
    * nobody
    * nothing
    * anyone
    * someone
    * your
    * you
    * me
    * bugs
    * rating
    * site
    * contact
    * soft
    * no
    * somebody
    * privacy
    * service
    * help
    * not
    * submit
    * feste
    * ca
    * gold-certs
    * the.bat
    * page

También intenta evitar enviarse a aquellas direcciones que tengan alguna de las siguientes cadenas de texto formando parte del dominio de la dirección:

    * syma
    * icrosof
    * msn.
    * hotmail
    * panda
    * sopho
    * borlan
    * inpris
    * example
    * mydomai
    * nodomai
    * ruslis
    * .gov
    * gov.
    * .mil
    * foo.
    * unix
    * math
    * bsd
    * mit.e
    * gnu
    * fsf.
    * ibm.com
    * google
    * kernel
    * linux
    * fido
    * usenet
    * iana
    * ietf
    * rfc-ed
    * sendmail
    * arin.
    * ripe.
    * isi.e
    * isc.o
    * secur
    * acketst
    * pgp
    * tanford.e
    * utgers.ed
    * mozilla
    * icrosoft
    * support
    * ntivi
    * unix
    * bsd
    * linux
    * listserv
    * certific
    * google
    * accoun

El mensaje enviado tiene las siguientes características:

Asunto: alguno de los siguientes

    * Warning!!
    * **Warning**
    * Hello
    * Confirmed...
    * Important!

Cuerpo del mensaje: alguno de los siguientes

    * looooool
    * We found a photo of you in ...
    * That's your photo!!?
    * hey!!
    * 0K here is it!

Fichero Anexo: alguno de los siguientes

    * photo
    * your_photo
    * image
    * picture
    * sample
    * loool
    * webcam_photo

seguido de alguna de las siguientes extensiones

    * pif
    * scr
    * exe
    * cmd
    * bat

Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * webcam_photo
    * loool
    * sample
    * picture
    * image
    * photo
    * your_photo

Asunto del mensaje (virus que llegan por correo)

    * Important!
    * Confirmed...
    * Hello
    * **Warning**
    * Warning!!
El pasado son solo recuerdos, el futuro son solo sueños

The Black Boy

  • Miembro de PLATA
  • *****
  • Mensajes: 1043
  • Nacionalidad: co
    • Ver Perfil
    • http://www.mslatam.com/latam/technet/mva2/Microsite.aspx?alias=JairoDiaz
Re: Zotob.c Nuevo Bebé
« Respuesta #1 en: Martes 16 de Agosto de 2005, 20:33 »
0
Muchas Gracias por el Aviso..

la verdad los Virus son algo que he detestado desde el momento que adquirí conocimiento sobre los PC's pero tambien es cierto que admiro bastante a los creadores.. ya que pienso que deberia usar todo ese ingenio y creatividad para hacer el Bien..


Bueno una ves mas Gracias :good:

Saludos  :hola:
El inteligente no es aquel que lo sabe todo
sino aquel que   sabe utilizar lo poco que sabe.


Espacio Personal

si necesitas algo de programacion click aqui, si no esta aqui no existe

Programacion]

Eternal Idol

  • Moderador
  • ******
  • Mensajes: 4696
  • Nacionalidad: ar
    • Ver Perfil
Re: Zotob.c Nuevo Bebé
« Respuesta #2 en: Martes 16 de Agosto de 2005, 20:43 »
0
Los creadores de virus son los que no pueden crear software real, es mucho mas facil destruir que crear.  :devil:

Nacional y Popular En mi país la bandera de Eva es inmortal.


Queremos una Argentina socialmente justa, económicamente libre y  políticamente soberana.
¡Perón cumple, Evita dignifica!


La mano invisible del mercado me robo la billetera.

Hao

  • Moderador
  • ******
  • Mensajes: 376
  • Nacionalidad: gt
    • Ver Perfil
Re: Zotob.c Nuevo Bebé
« Respuesta #3 en: Martes 16 de Agosto de 2005, 20:44 »
0
:o  :o Es el nuevo.... :o  :(

El virus on line hizo su aparición inmediatamente después del anuncio de la empresa informática de Redmond del descubrimiento de tres fallas en los sistemas de seguridad de la gama de los software en cartera: Windows 95, 98, ME, NE, 2000 y XP, que en conjunto representan 90 por ciento de los sistemas operativos en el mundo.

En Estados Unidos y en Alemania se informó de centenares de computadoras infectadas porque la mayor parte de los usuarios podría no estar al corriente de la amenaza, con el riesgo de que en ausencia de antivirus, Zotob podría atacar otros sistemas comentó la Trend Micro., una sociedad nipona especializada en software de defensa de los sistemas operativos.

El funcionamiento de Zotob es muy simple: reproduce una copia en el interior de Windows modificando los files de la computadoras, hasta bloquearlo. De este modo impide incluso la posibilidad de recibir asistencia.

Por esto se plantea nuevamente el asunto de la confiabilidad de los programas Microsoft, a menudo acusados de no ser lo suficientemente seguros.

Tanto que incluso el ultimo producto Vista, que se encuentra actualmente en fase experimental y que estará disponible recién en 2006, encontró su primer virus ya en los primeros días de pruebas.

Según los especialistas, el único sistema para derrotar a Zotob es jugar anticipadamente, actualizando los sistemas antivirus con los nuevos software creados por el grupo presidido por Bill Gates.

HAO :lightsabre:


[/size]

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: Zotob.c Nuevo Bebé
« Respuesta #4 en: Martes 16 de Agosto de 2005, 23:33 »
0
Cita de: "The Black Boy"
Muchas Gracias por el Aviso..

la verdad los Virus son algo que he detestado desde el momento que adquirí conocimiento sobre los PC's pero tambien es cierto que admiro bastante a los creadores.. ya que pienso que deberia usar todo ese ingenio y creatividad para hacer el Bien..


Bueno una ves mas Gracias :good:

Saludos  :hola:
A mi me fascinan y los creadores son unos dioses para mi, jejeje va con todo lo contrario a lo que quiero hacer pero realmente admiro a los desocupados que los hacen.

Ya veo quien me va a ver mal, ¿sierto EI?
El pasado son solo recuerdos, el futuro son solo sueños

Eternal Idol

  • Moderador
  • ******
  • Mensajes: 4696
  • Nacionalidad: ar
    • Ver Perfil
Re: Zotob.c Nuevo Bebé
« Respuesta #5 en: Martes 16 de Agosto de 2005, 23:40 »
0
Cita de: "RadicalEd"
A mi me fascinan y los creadores son unos dioses para mi, jejeje va con todo lo contrario a lo que quiero hacer pero realmente admiro a los desocupados que los hacen.

Ya veo quien me va a ver mal, ¿sierto EI?
En general son unos payasos pero bueno ... si queres verlos asi adelante. Pero tene muy presente que la complejidad de un virus es minima comparada con la de un Sistema Operativo o un compilador por ejemplo.

Nacional y Popular En mi país la bandera de Eva es inmortal.


Queremos una Argentina socialmente justa, económicamente libre y  políticamente soberana.
¡Perón cumple, Evita dignifica!


La mano invisible del mercado me robo la billetera.

Hao

  • Moderador
  • ******
  • Mensajes: 376
  • Nacionalidad: gt
    • Ver Perfil
Re: Zotob.c Nuevo Bebé
« Respuesta #6 en: Martes 16 de Agosto de 2005, 23:45 »
0
Cita de: "Eternal Idol"
En general son unos payasos pero bueno ... si queres verlos asi adelante. Pero tene muy presente que la complejidad de un virus es minima comparada con la de un Sistema Operativo o un compilador por ejemplo.
Muy cierto... te doy todo el credito Eternal Idol.. es mas facil destruir q crear...

HAO :lightsabre:


[/size]