W32.Zotob.A

W32.Zotob.A - червь, эксплуатирующий уязвимость в Microsoft Windows Plug and Play сервисе, описанную в бюллетене безопасности MS05-039.

W32.Zotob.A - червь, эксплуатирующий уязвимость в Microsoft Windows Plug and Play сервисе, описанную в бюллетене безопасности MS05-039. MS05-039.

W32.Zotob.A не заражает компьютеры под управлением Windows 95/98/Me/NT4. Несмотря на это, они могут использоваться для заражения других уязвимых компьютеров.

При запуске W32.Zotob.A выполняет следующие действия:

1. Создает следующий флаг для того, чтобы только одна копия червя выполнялась на скомпрометированном компьютере: B-O-T-Z-O-R

2. Копирует себя как %System%\botzor.exe.

3. Добавляет значение:


      "WINDOWS SYSTEM" = "botzor.exe"

в подключи реестра:


      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices

4. Изменяет значение:


      "Start" = "4"

в ключе реестра:


      HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess

чтобы отключить Shared Access сервис в Windows 2000/XP.

5. Соединяется с IRC сервером на домене [http://]diabl0.turkcoders.net/[REMOVED] по 8080 TCP порту. Что дает удаленный неавторизованный доступ.

6. Открывает FTP сервер по 33333 TCP порту .

7. Генерирует случайный IP адрес из текущего IP адреса. Червь оставляет первые два октета IP адреса системы и изменяет случайным образом последние два октета. Например, если IP адрес системы 192.168.0.1, червь попытается заразить IP адреса, начиная с 192.168.x.x.

8. Пытается распространиться на компьютеры со случайными IP адресами, открывая бекдор на 8888 TCP порту на удаленном компьютере. Червь пытается эксплуатировать уязвимость в Microsoft Windows Plug and Play сервисе, описанную в Microsoft Security Bulletin MS05-039.

9. Копирует следующий файл в скомпрометированный компьютер и выполняет FTP скрипт, содержащийся в нем:

      %System%\2pac.txt

10. Загружает и выполняет копию червя с предварительно созданного FTP сервера на зараженном компьютере:


      %System%\haha.exe

11. Добавляет следующие записи в хост файл:

      .... Made By .... Greetz to good friend  [REMOVED]  in the next 24hours!!!

      127.0.0.1 www.symantec.com
      127.0.0.1 securityresponse.symantec.com
      127.0.0.1 symantec.com
      127.0.0.1 www.sophos.com
      127.0.0.1 sophos.com
      127.0.0.1 www.mcafee.com
      127.0.0.1 mcafee.com
      127.0.0.1 liveupdate.symantecliveupdate.com
      127.0.0.1 www.viruslist.com
      127.0.0.1 viruslist.com
      127.0.0.1 viruslist.com
      127.0.0.1 f-secure.com
      127.0.0.1 www.f-secure.com
      127.0.0.1 kaspersky.com
      127.0.0.1 kaspersky-labs.com
      127.0.0.1 www.avp.com
      127.0.0.1 www.kaspersky.com
      127.0.0.1 avp.com
      127.0.0.1 www.networkassociates.com
      127.0.0.1 networkassociates.com
      127.0.0.1 www.ca.com
      127.0.0.1 ca.com
      127.0.0.1 mast.mcafee.com
      127.0.0.1 my-etrust.com
      127.0.0.1 www.my-etrust.com
      127.0.0.1 download.mcafee.com
      127.0.0.1 dispatch.mcafee.com
      127.0.0.1 secure.nai.com
      127.0.0.1 nai.com
      127.0.0.1 www.nai.com
      127.0.0.1 update.symantec.com
      127.0.0.1 updates.symantec.com
      127.0.0.1 us.mcafee.com
      127.0.0.1 liveupdate.symantec.com
      127.0.0.1 customer.symantec.com
      127.0.0.1 rads.mcafee.com
      127.0.0.1 trendmicro.com
      127.0.0.1 pandasoftware.com
      127.0.0.1 www.pandasoftware.com
      127.0.0.1 www.trendmicro.com
      127.0.0.1 www.grisoft.com
      127.0.0.1 www.microsoft.com
      127.0.0.1 microsoft.com
      127.0.0.1 www.virustotal.com
      127.0.0.1 virustotal.com
      127.0.0.1 www.amazon.com
      127.0.0.1 www.amazon.co.uk
      127.0.0.1 www.amazon.ca
      127.0.0.1 www.amazon.fr
      127.0.0.1 www.paypal.com
      127.0.0.1 paypal.com
      127.0.0.1 moneybookers.com
      127.0.0.1 www.moneybookers.com
      127.0.0.1 www.ebay.com
      127.0.0.1 ebay.com