¿Como saber si Zotob esta instalado en mi ordenador? Este gusano se propaga usando una vulnerabilidad recientemente detectada por Microsoft. El uso del parche de seguridad incluido en el boletín de Agosto de la multinacional informática protege a nuestro equipo de verse infectado por este código malicioso
--------------------------------------------------------------------------------
¿Como saber si Zotob esta instalado en mi ordenador?
Nuevo virus informático Zotob ataca a los usuarios de Windows
Nombre Zotob
Nombre NOD32 Win32/Mytob
Tipo Gusano de Internet y caballo de Troya
Alias Zotob, Zotob.A, Zotob.B, Mytob, I-Worm/Mytob.LY, Malware.n, Net-Worm.Win32.Mytob.cd, W32.IRCBot, W32.Zotob.A, W32.Zotob.B , W32/Bozor.A.worm, W32/Zotob.A, W32/Zotob.A.worm, W32/Zotob.A-net, W32/Zotob.worm, W32/Zotob.worm.b, W32/Zotob-A, Win32.HLLM.MyDoom, Win32.Worm.Zotob.A, Win32.Zotob.A, Win32/Mytob, Win32/Zotob.A, Win32/Zotob.A!Worm, Worm.IRCBot.DL, Worm.Zotob.A, WORM_MYTOB.JS, WORM_ZOTOB.A, WORM_ZOTOB.B
Fecha 14/ago/05
Plataforma Windows 32-bit
Tamaño 22,528; 15,489; 27,648; 15,386 bytes
Puertos TCP 445, 8080, 8888, 33333
Fuente:
http://www.vsantivirus.com/zotob.htm Gusano que se propaga utilizando la vulnerabilidad descripta en el boletín MS05-039 de Microsoft:
MS05-039 Vulnerabilidad en Plug and Play (899588)
http://www.vsantivirus.com/vulms05-039.htmCuando el gusano se ejecuta, crea el siguiente archivo:
c:\windows\system32\botzor.exe
Agrega las siguientes entradas en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM = "botzor.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = "botzor.exe"
Existe una segunda versión del gusano que utiliza el siguiente nombre:
c:\windows\system32\csm.exe
Y crea las siguientes entradas:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
csm Win Updates = "csm.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
csm Win Updates = "csm.exe"
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Ambas versiones, modifican la siguiente entrada para deshabilitar el servicio de "Conexión de seguridad a Internet" (ICF):
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "4"
También intenta eludir las restricciones de seguridad del cortafuegos, cambiando la siguiente entrada en el registro (esto no funciona en Windows 2000, que es actualmente el único sistema que puede ser atacado por la vulnerabilidad aprovechada por este gusano):
HKLM\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters\FirewallPolicy
\DomainProfile\AuthorizedApplications\List
C:\WINDOWS\system32\botzor.exe =
"C:\WINDOWS\system32\botzor.exe:*:Enabled:botzor"
Se conecta a un servidor IRC en el siguiente dominio a través del puerto TCP 8080:
diabl0.turkcoders.net
La segunda versión, intenta conectarse al siguiente dominio:
wait.atillaekici.net
La conexión al servidor IRC, permite que un usuario remoto pueda acceder al sistema infectado y realizar acciones como las siguientes:
- Actualizar el gusano via FTP
- Atacar determinados hosts (flood atack)
- Borrar archivos
- Descargar y ejecutar archivos vía HTTP
- Enviar información del sistema infectado
- Finalizar la ejecución del gusano
- Finalizar procesos
- Solicitar fecha de infección
- Solicitar versión del gusano
- Visitar determinadas direcciones
También abre un servidor FTP en el puerto TCP 33333 por el que otros equipos descargarán una copia del gusano.
El gusano intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descripta en el boletín de seguridad MS05-039. Para ello puede crear hasta 300 threads (hilos de ejecución) para buscar sistemas vulnerables enviando paquetes SYN por el puerto TCP 445.
Si el ataque tiene éxito (equipos con Windows 2000 sin el parche MS05-039), ejecuta un shell (cmd.exe) en el puerto TCP 8888. Por este puerto, envía al equipo remoto los comandos para descargarse y ejecutarse a si mismo. Primero, copia el siguiente archivo en los sistemas vulnerables:
2pac.txt
Este archivo contiene un script FTP, que el gusano intentará usar al ejecutar el comando FTP.EXE por el shell abierto antes, con el resultado que el equipo accedido descargue una copia del malware usando el servidor FTP en el puerto TCP 33333 creado antes en el equipo infectado.
El archivo descargado es guardado con el siguiente nombre y luego ejecutado:
haha.exe
El gusano agrega las siguientes entradas al archivo HOSTS de Windows, impidiendo además el acceso a muchos sitios de antivirus y otras firmas de seguridad:
.... Made By .... Greetz to good friend ..... Based On ....
MSG to avs: the first av who detect this worm will be the
first killed in the next 24hours!!!
127 .0 .0 .1 www .symantec .com
127 .0 .0 .1 securityresponse .symantec .com
127 .0 .0 .1 symantec .com
127 .0 .0 .1 www .sophos .com
127 .0 .0 .1 sophos .com
127 .0 .0 .1 www .mcafee .com
127 .0 .0 .1 mcafee .com
127 .0 .0 .1 liveupdate .symantecliveupdate .com
127 .0 .0 .1 www .viruslist .com
127 .0 .0 .1 viruslist .com
127 .0 .0 .1 viruslist .com
127 .0 .0 .1 f-secure .com
127 .0 .0 .1 www .f-secure .com
127 .0 .0 .1 kaspersky .com
127 .0 .0 .1 kaspersky-labs .com
127 .0 .0 .1 www .avp .com
127 .0 .0 .1 www .kaspersky .com
127 .0 .0 .1 avp .com
127 .0 .0 .1 www .networkassociates .com
127 .0 .0 .1 networkassociates .com
127 .0 .0 .1 www .ca .com
127 .0 .0 .1 ca .com
127 .0 .0 .1 mast .mcafee .com
127 .0 .0 .1 my-etrust .com
127 .0 .0 .1 www .my-etrust .com
127 .0 .0 .1 download .mcafee .com
127 .0 .0 .1 dispatch .mcafee .com
127 .0 .0 .1 secure .nai .com
127 .0 .0 .1 nai .com
127 .0 .0 .1 www .nai .com
127 .0 .0 .1 update .symantec .com
127 .0 .0 .1 updates .symantec .com
127 .0 .0 .1 us .mcafee .com
127 .0 .0 .1 liveupdate .symantec .com
127 .0 .0 .1 customer .symantec .com
127 .0 .0 .1 rads .mcafee .com
127 .0 .0 .1 trendmicro .com
127 .0 .0 .1 pandasoftware .com
127 .0 .0 .1 www .pandasoftware .com
127 .0 .0 .1 www .trendmicro .com
127 .0 .0 .1 www .grisoft .com
127 .0 .0 .1 www .microsoft .com
127 .0 .0 .1 microsoft .com
127 .0 .0 .1 www .virustotal .com
127 .0 .0 .1 virustotal .com
127 .0 .0 .1 www .amazon .com
127 .0 .0 .1 www .amazon .co .uk
127 .0 .0 .1 www .amazon .ca
127 .0 .0 .1 www .amazon .fr
127 .0 .0 .1 www .paypal .com
127 .0 .0 .1 paypal .com
127 .0 .0 .1 moneybookers .com
127 .0 .0 .1 www .moneybookers .com
127 .0 .0 .1 www .ebay .com
127 .0 .0 .1 ebay .com
También crea el siguiente mutex para no ejecutarse más de una vez en memoria:
B-O-T-Z-O-R
