ZOTOB.A gusano/backdoor de IRC y FTP aprovecha vulnerabilidades ejecuta un BOT impide acceso a webs.  

© Jorge Machado  Lima-Perú

W32/Zotob.A, I.worm.Zotob.A

Zotob.A es un gusano/backdoor reportado el 14 de Agosto del 2005, que se propaga a través del IRC (Internet Chat Relay) y aprovecha las vulnerabilidades LSASS y del Servicio Plug and Play descritas en los Boletines MS04-011 y MS05-039 de Microsoft Corporation.

Deshabilita el Acceso Compartido en Windows 2000/XP, se conecta a un servidor FTP y actúa como un Bot que ejecutará comandos y acciones en forma remota.

Modifica el archivo HOSTS para impedir el acceso a sitios en la web relacionados a sistemas de seguridad.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/2000/XP incluyendo servidores NT/2000/Server 2003, desarrollado en MS Visual C++, con 22 KB de extensión y comprimido con con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse se copia a la carpeta %System% con el nombre de botzor.exe y para ejecutarse la próxima vez que se re-inicie el equipo modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = "%System%\botzor.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = "%System%\botzor.exe"

para deshabilitar el Acceso Compartido en Windows 2000/XP agrega la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = "4"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio crea el Mutex "B-O-T-Z-O-R" para evitar infectar los sistemas más de una vez:

luego rastrea en forma aleatoria los sistemas vulnerables al desbordamiento del buffer LSASS y al Servicio Plug and Play, cuya información y parches puedes ser descargados desde:

Actuando como Backdoor se conecta a través del puerto TCP 80 (HTTP) al servidor IRC diabl0.turkcoders.net desde el cual activará un BOT de comandos y acciones remotas entre otras, las siguientes:

Del mismo modo abre un servidor FTP vía el puerto TCP 33333 intentando conectarse a los sistemas vulnerables y desde donde ejecutará el archivo 2pac.txt, el cual contiene un Script que descargará el archivo "haha.exe" que es una copia del gusano.

El gusano manipula el archivo HOSTS para impedir el acceso a los siguientes sitios web:

El código del gusano tiene el siguiente texto:

.... Made By .... Greetz to good friend ..... Based On ....
MSG to avs: the first av who detect this worm will be the first
killed in the next 24hours!!!

PER ANTIVIRUS® versión 9.4 con registro de virus al 14 de Agosto del 2005 detecta y elimina eficientemente este gusano/backdoor. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS