Viernes 15 de Noviembre de 2024, 07:03
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Zotob.e Y Siguen Asotando
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Zotob.e Y Siguen Asotando (Leído 1037 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Zotob.e Y Siguen Asotando
«
en:
Miércoles 17 de Agosto de 2005, 17:20 »
0
Peligrosidad: 4 - Alta
Difusión: Alta Fecha de Alta:17-08-2005
Última Actualización:17-08-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Medio
Nombre completo: Worm-Backdoor.W32/Zotob.E@VULN
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [VULN] - Se difunde aprovechando alguna vulnerabilidad, tipicamente de servicios de red.
Tamaño (bytes): 10366
Alias:W32.Zotob.E (Symantec), WORM_RBOT.CBQ (Trend Micro), W32/IRCbot.worm!MS05-039 (McAfee), W32/Tpbot-A (Sophos), Win32.Tpbot.A (Computer Associates), Net-Worm.Win32.Small.d (Kaspersky (viruslist.com))
Detalles
Cuando Worm-Backdoor.W32/Zotob.E@VULN es ejecutado, realiza las siguientes acciones:
Crea un mutex llamado "wintbp.exe", para no ejecutarse más de una vez en memoria.
Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.
Se copia a sí mismo como %System%\wintbp.exe.
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "Wintbp" = "wintbp.exe"
Intenta abrir una puerta trasera a través del puerto 8080, conectándose a un servidor IRC en la dirección IP 72.20.27.115 si esta se encuentra activa, y se conecta al canal #tbp.
Seguidamente envía al citado canal los siguientes mensajes:
{- aleatorio -} :ER DL FH
{- aleatorio -} :ER DL IF
Abre múltples puertos TCP del equipo afectado.
Envía paquetes a direcciones IP generadas aleatoriamente con base en la IP de la máquina infectada.
La dirección IP generada utiliza los dos primeros octetos de la de la máquina afectada y genera aleatoriamente los valores del tercer y cuarto octeto.
El método cambiará a otro totalmente arbitrario en caso de que se produzcan 32 fallos, o de 512 fallos si se hubiera acertado al menos una vez.
Intenta propagarse a otros equipos aprovechando una vulnerabilidad en el servicio 'Plug and Play' de Windows por el puerto TCP 445, que podría permitir la ejecución remota de código y un aumento local de privilegios.
Más información y acceso al parche que repara la vulnerabilidad en el Boletín de Seguridad de Microsoft MS05-039.
Si consigue llegar a otro equipo, abre un intérprete de comandos remoto en el puerto 7778 y crea en él un fichero de nombre %Temp%\[- número -].bat.
Este fichero contiene una rutina TFTP (Trivial File Transfer Protocol) que descarga una copia del gusano desde el equipo infectado originalmente.
Este fichero es guardado como %Windir%\a[- número -].exe y a continuación ejecutado.
El gusano registra en el canal IRC al que se conecta todas las direcciones IP a las que ha podido acceder con éxito.
Notas:
- número - representa varios dígitos, entre 0 y 9.
%Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
%Temp% es una variable que hace referencia al directorio temporal de Windows.
Por defecto es C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\WINNT\Temp (Windows NT/2000).
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Zotob.e Y Siguen Asotando