Nombre |
Zotob |
Nombre NOD32 |
Win32/Mytob |
Tipo |
Gusano de Internet y caballo de Troya |
Alias |
Zotob, Zotob.A, Zotob.B, Mytob, I-Worm/Mytob.LY, Malware.n,
Net-Worm.Win32.Mytob.cd, W32.IRCBot, W32.Zotob.A, W32.Zotob.B , W32/Bozor.A.worm,
W32/Zotob.A, W32/Zotob.A.worm, W32/Zotob.A-net, W32/Zotob.worm, W32/Zotob.worm.b,
W32/Zotob-A, Win32.HLLM.MyDoom, Win32.Worm.Zotob.A, Win32.Zotob.A,
Win32/Mytob, Win32/Zotob.A, Win32/Zotob.A!Worm, Worm.IRCBot.DL,
Worm.Zotob.A, WORM_MYTOB.JS, WORM_ZOTOB.A, WORM_ZOTOB.B |
Fecha |
14/ago/05 |
Plataforma |
Windows 32-bit |
Tamaño |
22,528; 15,489; 27,648; 15,386 bytes |
Puertos |
TCP 445, 8080, 8888, 33333 |
Fuente:
http://www.vsantivirus.com/zotob.htm |
Gusano que se propaga utilizando la vulnerabilidad descripta en el boletín
MS05-039 de Microsoft:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htm
Cuando el gusano se ejecuta, crea el siguiente archivo:
c:\windows\system32\botzor.exe
Agrega las siguientes entradas en el registro, para autoejecutarse en cada
reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM = "botzor.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = "botzor.exe"
Existe una segunda versión del gusano que utiliza el siguiente nombre:
c:\windows\system32\csm.exe
Y crea las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
csm Win Updates = "csm.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
csm Win Updates = "csm.exe"
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo
instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como
"c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y
ME).
Ambas versiones, modifican la siguiente entrada para deshabilitar el servicio de
"Conexión de seguridad a Internet" (ICF):
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4"
También intenta eludir las restricciones de seguridad del cortafuegos, cambiando
la siguiente entrada en el registro (esto no funciona en Windows 2000, que es
actualmente el único sistema que puede ser atacado por la vulnerabilidad
aprovechada por este gusano):
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy
\DomainProfile\AuthorizedApplications\List
C:\WINDOWS\system32\botzor.exe =
"C:\WINDOWS\system32\botzor.exe:*:Enabled:botzor"
Se conecta a un servidor IRC en el siguiente dominio a través del puerto TCP
8080:
diabl0.turkcoders.net
La segunda versión, intenta conectarse al siguiente dominio:
wait.atillaekici.net
La conexión al servidor IRC, permite que un usuario remoto pueda acceder al
sistema infectado y realizar acciones como las siguientes:
- Actualizar el gusano via FTP
- Atacar determinados hosts (flood atack)
- Borrar archivos
- Descargar y ejecutar archivos vía HTTP
- Enviar información del sistema infectado
- Finalizar la ejecución del gusano
- Finalizar procesos
- Solicitar fecha de infección
- Solicitar versión del gusano
- Visitar determinadas direcciones
También abre un servidor FTP en el puerto TCP 33333 por el que otros equipos
descargarán una copia del gusano.
El gusano intenta propagarse utilizando la vulnerabilidad en el servicio Plug
and Play de Windows, descripta en el boletín de seguridad MS05-039. Para ello
puede crear hasta 300 threads (hilos de ejecución) para buscar sistemas
vulnerables enviando paquetes SYN por el puerto TCP 445.
Si el ataque tiene éxito (equipos con Windows 2000 sin el parche MS05-039),
ejecuta un shell (cmd.exe) en el puerto TCP 8888. Por este puerto, envía al
equipo remoto los comandos para descargarse y ejecutarse a si mismo. Primero,
copia el siguiente archivo en los sistemas vulnerables:
2pac.txt
Este archivo contiene un script FTP, que el gusano intentará usar al ejecutar el
comando FTP.EXE por el shell abierto antes, con el resultado que el equipo
accedido descargue una copia del malware usando el servidor FTP en el puerto TCP
33333 creado antes en el equipo infectado.
El archivo descargado es guardado con el siguiente nombre y luego ejecutado:
haha.exe
El gusano agrega las siguientes entradas al archivo HOSTS de Windows, impidiendo
además el acceso a muchos sitios de antivirus y otras firmas de seguridad:
.... Made By .... Greetz to good friend ..... Based On ....
MSG to avs: the first av who detect this worm will be the
first killed in the next 24hours!!!
127 .0 .0 .1 www .symantec .com
127 .0 .0 .1 securityresponse .symantec .com
127 .0 .0 .1 symantec .com
127 .0 .0 .1 www .sophos .com
127 .0 .0 .1 sophos .com
127 .0 .0 .1 www .mcafee .com
127 .0 .0 .1 mcafee .com
127 .0 .0 .1 liveupdate .symantecliveupdate .com
127 .0 .0 .1 www .viruslist .com
127 .0 .0 .1 viruslist .com
127 .0 .0 .1 viruslist .com
127 .0 .0 .1 f-secure .com
127 .0 .0 .1 www .f-secure .com
127 .0 .0 .1 kaspersky .com
127 .0 .0 .1 kaspersky-labs .com
127 .0 .0 .1 www .avp .com
127 .0 .0 .1 www .kaspersky .com
127 .0 .0 .1 avp .com
127 .0 .0 .1 www .networkassociates .com
127 .0 .0 .1 networkassociates .com
127 .0 .0 .1 www .ca .com
127 .0 .0 .1 ca .com
127 .0 .0 .1 mast .mcafee .com
127 .0 .0 .1 my-etrust .com
127 .0 .0 .1 www .my-etrust .com
127 .0 .0 .1 download .mcafee .com
127 .0 .0 .1 dispatch .mcafee .com
127 .0 .0 .1 secure .nai .com
127 .0 .0 .1 nai .com
127 .0 .0 .1 www .nai .com
127 .0 .0 .1 update .symantec .com
127 .0 .0 .1 updates .symantec .com
127 .0 .0 .1 us .mcafee .com
127 .0 .0 .1 liveupdate .symantec .com
127 .0 .0 .1 customer .symantec .com
127 .0 .0 .1 rads .mcafee .com
127 .0 .0 .1 trendmicro .com
127 .0 .0 .1 pandasoftware .com
127 .0 .0 .1 www .pandasoftware .com
127 .0 .0 .1 www .trendmicro .com
127 .0 .0 .1 www .grisoft .com
127 .0 .0 .1 www .microsoft .com
127 .0 .0 .1 microsoft .com
127 .0 .0 .1 www .virustotal .com
127 .0 .0 .1 virustotal .com
127 .0 .0 .1 www .amazon .com
127 .0 .0 .1 www .amazon .co .uk
127 .0 .0 .1 www .amazon .ca
127 .0 .0 .1 www .amazon .fr
127 .0 .0 .1 www .paypal .com
127 .0 .0 .1 paypal .com
127 .0 .0 .1 moneybookers .com
127 .0 .0 .1 www .moneybookers .com
127 .0 .0 .1 www .ebay .com
127 .0 .0 .1 ebay .com
También crea el siguiente mutex para no ejecutarse más de una vez en memoria:
B-O-T-Z-O-R
|