Si tratta di un trojan che sfrutta la vulnerabilita "Plug and Play buffer overflow" (MS05-039).

Viene riconosciuto anche come: Zotob.E, I-Worm.Bozori.a, I-Worm.Zotob.C, I-Worm/Mytob.WM, Net-Worm.Win32.Bozori.a, Net-Worm.Win32.Small.d, Trojan/Exploit.MS05-039, W32.Zotob.E, W32/Bozori.A, W32/Bozori.worm.a!CME-540, W32/IRCbot.KC.worm, W32/IRCbot.worm!MS05-039, W32/Malware, W32/Tpbot-A, W32/Zotob.E-net, Win32.HLLW.Stamin, Win32.MS05-039!exploit, Win32.Worm.Zotob.D, Win32/Bozori.A, Win32/MS05-039!exploit!Worm, Win32/Zotob.E!Worm, Win32:Zotob-E, Worm.Bozori.A, Worm.Rbot.CBQ, Worm.Zotob.E, Worm/Zotob.E, WORM_RBOT.CBQ

Dimensione: 10,366 Byte

Dettagli tecnici

Quando si esegue il worm crea la seguente copia di se stesso nel sistema infettato:

c:\windows\system32\wintbp.exe

A seconda della versione del sistema operativo, le cartelle "c:\windows" e "c:\windows\system32" possono variare ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Modifica la seguente chiave all’interno del Registro di sistema, in modo tale da essere eseguito in automatico ad ogni avvio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wintbp.exe = c:\windows\system32\wintbp.exe

Cerca di rilevare le connessioni di rete attive e gli indirizzi IP a cui potersi inviare. Se dovesse fallire la sua ricerca, il worm non verra eseguito correttamente.
Apre una backdoor sulla porta TCP 8080, e si connette ad uno specifico indirizzo IP.

Per diffondersi il worm tenta di sfruttare anche la vulnerabilita del servizio Plug and Play di Windows. Per questo motivo cerca i sistemi vulnerabili inviando pacchetti SYN attraverso la porta TCP 445.
Questa vulnerabilita puo essere sfruttata soltanto nei sistemi Windows 2000 in cui non e installata la patch MS05-039.

http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx

Alcune funzionalita si attivano soltanto quando riesce a connettersi a un server IRC e riceve i comandi corrispondenti da un utente remoto, operando di fatto come un BOT di IRC.
Se questo tipo di attacco avra successo, verra eseguita una shell sul computer remoto, e verra scaricata ed eseguita una copia dello stesso worm attraverso FTP. Per tale funzione il worm tentera di sfruttare la porta TCP 8594.

Istruzioni per l'eliminazione

Future Time ha rilasciato un programma dedicato per la rimozione del worm Bozori.A. Il programma puo essere prelevato al seguente indirizzo:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Bozori

Istruzioni per l'eliminazione manuale

1. Disattivare il ripristino automatico di configurazione in Windows XP/ME.
2. Scaricare ed eseguire la seguente patch prima di proseguire la disinfezione

http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx

3. Riavviare il sistema in modalita provvisoria
4. Eseguire una scansione del disco utilizzando l’antivirus aggiornato e cancellare tutti i file infetti.
5. Da Start, Esegui, scrivere REGEDIT e premere Invio per accedere al Registro di sistema.
6. Eliminare sotto la colonna “Nome” il valore " wintbp.exe" , dalla seguente chiave di Registro

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

7. Chiudere l’editor del Registro di sistema.
8. Riavviare il computer ed eseguire una scansione del disco utilizzando l’antivirus aggiornato per cancellare qualsiasi presenza residua del worm.