Autor Tema: Zotob.e Y Siguen Asotando (Leído 1008 veces)

RadicalEd · « **en:** Miércoles 17 de Agosto de 2005, 17:20 »

Peligrosidad: 4 - Alta
Difusión: Alta Fecha de Alta:17-08-2005
Última Actualización:17-08-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Medio
Nombre completo: Worm-Backdoor.W32/Zotob.E@VULN
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [VULN] - Se difunde aprovechando alguna vulnerabilidad, tipicamente de servicios de red.
Tamaño (bytes): 10366
Alias:W32.Zotob.E (Symantec), WORM_RBOT.CBQ (Trend Micro), W32/IRCbot.worm!MS05-039 (McAfee), W32/Tpbot-A (Sophos), Win32.Tpbot.A (Computer Associates), Net-Worm.Win32.Small.d (Kaspersky (viruslist.com))
Detalles
Cuando Worm-Backdoor.W32/Zotob.E@VULN es ejecutado, realiza las siguientes acciones:
Crea un mutex llamado "wintbp.exe", para no ejecutarse más de una vez en memoria.

Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.

Se copia a sí mismo como %System%\wintbp.exe.

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "Wintbp" = "wintbp.exe"

Intenta abrir una puerta trasera a través del puerto 8080, conectándose a un servidor IRC en la dirección IP 72.20.27.115 si esta se encuentra activa, y se conecta al canal #tbp.

Seguidamente envía al citado canal los siguientes mensajes:
{- aleatorio -} :ER DL FH
{- aleatorio -} :ER DL IF

Abre múltples puertos TCP del equipo afectado.

Envía paquetes a direcciones IP generadas aleatoriamente con base en la IP de la máquina infectada.
La dirección IP generada utiliza los dos primeros octetos de la de la máquina afectada y genera aleatoriamente los valores del tercer y cuarto octeto.
El método cambiará a otro totalmente arbitrario en caso de que se produzcan 32 fallos, o de 512 fallos si se hubiera acertado al menos una vez.

Intenta propagarse a otros equipos aprovechando una vulnerabilidad en el servicio 'Plug and Play' de Windows por el puerto TCP 445, que podría permitir la ejecución remota de código y un aumento local de privilegios.

Más información y acceso al parche que repara la vulnerabilidad en el Boletín de Seguridad de Microsoft MS05-039.

Si consigue llegar a otro equipo, abre un intérprete de comandos remoto en el puerto 7778 y crea en él un fichero de nombre %Temp%\[- número -].bat.
Este fichero contiene una rutina TFTP (Trivial File Transfer Protocol) que descarga una copia del gusano desde el equipo infectado originalmente.
Este fichero es guardado como %Windir%\a[- número -].exe y a continuación ejecutado.
El gusano registra en el canal IRC al que se conecta todas las direcciones IP a las que ha podido acceder con éxito.

Notas:
- número - representa varios dígitos, entre 0 y 9.
%Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
%Temp% es una variable que hace referencia al directorio temporal de Windows.
Por defecto es C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\WINNT\Temp (Windows NT/2000).

SoloCodigo

Autor Tema: Zotob.e Y Siguen Asotando (Leído 1008 veces)

RadicalEd

Zotob.e Y Siguen Asotando