Noticias relacionadas La CNN, ABC y The New York Times infectados por Zotob   ¿Como saber si Zotob esta instalado en mi ordenador? Nuevo virus informático Zotob ataca a los usuarios de Windows

Gusano que se propaga utilizando la vulnerabilidad descripta en el boletín MS05-039 de Microsoft:

MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htm


Cuando el gusano se ejecuta, crea el siguiente archivo:
c:\windows\system32\botzor.exe

Agrega las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM = "botzor.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = "botzor.exe"

Existe una segunda versión del gusano que utiliza el siguiente nombre:

c:\windows\system32\csm.exe

Y crea las siguientes entradas:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
csm Win Updates = "csm.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
csm Win Updates = "csm.exe"

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Ambas versiones, modifican la siguiente entrada para deshabilitar el servicio de "Conexión de seguridad a Internet" (ICF):

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4"

También intenta eludir las restricciones de seguridad del cortafuegos, cambiando la siguiente entrada en el registro (esto no funciona en Windows 2000, que es actualmente el único sistema que puede ser atacado por la vulnerabilidad aprovechada por este gusano):

HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy
\DomainProfile\AuthorizedApplications\List
C:\WINDOWS\system32\botzor.exe =
"C:\WINDOWS\system32\botzor.exe:*:Enabled:botzor"

Se conecta a un servidor IRC en el siguiente dominio a través del puerto TCP 8080:

diabl0.turkcoders.net

La segunda versión, intenta conectarse al siguiente dominio:

wait.atillaekici.net

La conexión al servidor IRC, permite que un usuario remoto pueda acceder al sistema infectado y realizar acciones como las siguientes:

- Actualizar el gusano via FTP
- Atacar determinados hosts (flood atack)
- Borrar archivos
- Descargar y ejecutar archivos vía HTTP
- Enviar información del sistema infectado
- Finalizar la ejecución del gusano
- Finalizar procesos
- Solicitar fecha de infección
- Solicitar versión del gusano
- Visitar determinadas direcciones

También abre un servidor FTP en el puerto TCP 33333 por el que otros equipos descargarán una copia del gusano.

El gusano intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descripta en el boletín de seguridad MS05-039. Para ello puede crear hasta 300 threads (hilos de ejecución) para buscar sistemas vulnerables enviando paquetes SYN por el puerto TCP 445.

Si el ataque tiene éxito (equipos con Windows 2000 sin el parche MS05-039), ejecuta un shell (cmd.exe) en el puerto TCP 8888. Por este puerto, envía al equipo remoto los comandos para descargarse y ejecutarse a si mismo. Primero, copia el siguiente archivo en los sistemas vulnerables:

2pac.txt

Este archivo contiene un script FTP, que el gusano intentará usar al ejecutar el comando FTP.EXE por el shell abierto antes, con el resultado que el equipo accedido descargue una copia del malware usando el servidor FTP en el puerto TCP 33333 creado antes en el equipo infectado.

El archivo descargado es guardado con el siguiente nombre y luego ejecutado:

haha.exe

El gusano agrega las siguientes entradas al archivo HOSTS de Windows, impidiendo además el acceso a muchos sitios de antivirus y otras firmas de seguridad:

.... Made By .... Greetz to good friend ..... Based On ....
MSG to avs: the first av who detect this worm will be the
first killed in the next 24hours!!!

127 .0 .0 .1 www .symantec .com
127 .0 .0 .1 securityresponse .symantec .com
127 .0 .0 .1 symantec .com
127 .0 .0 .1 www .sophos .com
127 .0 .0 .1 sophos .com
127 .0 .0 .1 www .mcafee .com
127 .0 .0 .1 mcafee .com
127 .0 .0 .1 liveupdate .symantecliveupdate .com
127 .0 .0 .1 www .viruslist .com
127 .0 .0 .1 viruslist .com
127 .0 .0 .1 viruslist .com
127 .0 .0 .1 f-secure .com
127 .0 .0 .1 www .f-secure .com
127 .0 .0 .1 kaspersky .com
127 .0 .0 .1 kaspersky-labs .com
127 .0 .0 .1 www .avp .com
127 .0 .0 .1 www .kaspersky .com
127 .0 .0 .1 avp .com
127 .0 .0 .1 www .networkassociates .com
127 .0 .0 .1 networkassociates .com
127 .0 .0 .1 www .ca .com
127 .0 .0 .1 ca .com
127 .0 .0 .1 mast .mcafee .com
127 .0 .0 .1 my-etrust .com
127 .0 .0 .1 www .my-etrust .com
127 .0 .0 .1 download .mcafee .com
127 .0 .0 .1 dispatch .mcafee .com
127 .0 .0 .1 secure .nai .com
127 .0 .0 .1 nai .com
127 .0 .0 .1 www .nai .com
127 .0 .0 .1 update .symantec .com
127 .0 .0 .1 updates .symantec .com
127 .0 .0 .1 us .mcafee .com
127 .0 .0 .1 liveupdate .symantec .com
127 .0 .0 .1 customer .symantec .com
127 .0 .0 .1 rads .mcafee .com
127 .0 .0 .1 trendmicro .com
127 .0 .0 .1 pandasoftware .com
127 .0 .0 .1 www .pandasoftware .com
127 .0 .0 .1 www .trendmicro .com
127 .0 .0 .1 www .grisoft .com
127 .0 .0 .1 www .microsoft .com
127 .0 .0 .1 microsoft .com
127 .0 .0 .1 www .virustotal .com
127 .0 .0 .1 virustotal .com
127 .0 .0 .1 www .amazon .com
127 .0 .0 .1 www .amazon .co .uk
127 .0 .0 .1 www .amazon .ca
127 .0 .0 .1 www .amazon .fr
127 .0 .0 .1 www .paypal .com
127 .0 .0 .1 paypal .com
127 .0 .0 .1 moneybookers .com
127 .0 .0 .1 www .moneybookers .com
127 .0 .0 .1 www .ebay .com
127 .0 .0 .1 ebay .com

También crea el siguiente mutex para no ejecutarse más de una vez en memoria:

B-O-T-Z-O-R