Para aprovecharse de la vulnerabilidad de ejecución remota de código en Plug and Play (PnP),
los distintos virus detectados en las últimas horas generan direcciones IP
aleatorias a las que tratan de conectarse a través del puerto 445, en busca de
sistemas vulnerables.
En caso de encontrar alguno, enviará instrucciones para
descargar una copia suya por TFTP (una versión simplificada del tradicional
protocolo FTP). Se instalan en el equipo, modificando una clave del registro
para asegurarse su ejecución en cada reinicio del sistema, e inicializan un
componente backdoor que está accesible a través de IRC, y quedan a la espera de
órdenes en un determinado canal, que pueden permitir a un atacante remoto
controlar el equipo. Sólo se propaga a máquinas con los sistemas operativos
Windows 2000, XP, y Server 2003.
Zotob.D, además, busca en el equipo algunos de los programas más conocidos de
adware, y a continuación procede a borrar los ficheros y los directorios de los
mismos. El efecto más visible que provocan estos gusanos en los equipos
infectados es el constante reinicio de los mismos, lo que inutiliza los equipos,
por lo que sus efectos pueden ser muy dañinos, especialmente en entornos
corporativos.
|