Zotob.C

ZOTOB.C gusano/backdoor de Correo e IRC aprovecha vulnerabilidad ejecuta BOT impide acceso a webs.

W32/Zotob.C, I.worm.Zotob.C

Zotob.C es un gusano/backdoor reportado el 16 de Agosto del 2005, que se propaga a través de mensajes de Correo y el IRC (Internet Chat Relay) aprovecha la vulnerabilidad del Servicio Plug and Play descrita en el Boletín MS05-039 de Microsoft Corporation.

Deshabilita el Acceso Compartido y Firewall en Windows 2000/XP, se conecta a un servidor IRC y actúa como un Bot que ejecutará comandos y acciones en forma remota.

Modifica el archivo HOSTS para impedir el acceso a sitios en la web relacionados a sistemas de seguridad.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/2000/XP incluyendo servidores NT/2000/Server 2003, desarrollado en MS Visual C++, con extensión variable y comprimido con con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) captura y se envía a los buzones de correo de la Libreta de Direcciones de Windows o las contenidas en archivos con las siguientes extensiones:

adbh
aspd
cgil
dbxn
htmb
html
jspl
phpq
pl
shtl
tbbg
txt
wab
xmls

o usando cualquiera de los nombres:

adam
alex
andrew
anna
barbara
bill
bob
brenda
brent
brian
claudia
contact
dan
dave
david
debby
erik
frank
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
jose
josh
julie
kevin
leo
linda
maria
mary
matt
michael
michael
mike
paul
peter
ray
robert
sales
sam
Sandra
serg
smith
stan
steve
ted
tom

evitando enviarse a aquellas direcciones que tengan las siguientes cadenas:

abuse
security
admin
support
contact
webmaster

o a los dominios con las siguientes cadenas:

.gov
.mil
acketst
arin.
borlan
bsd
example
fido
foo.
fsf.
gnu
google
gov.
hotmail
iana
ibm.com
icrosof
ietf
inpris
isc.o
isi.e
kernel
linux
math
mit.e
mozilla
msn.
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
unix
usenet
utgers.ed

El mensaje tiene las siguientes características:

Remitente: una de las direcciones extraídas del sistema o direcciones falsas usando la técnica Spoofing.

Asunto, elegido aleatoriamente de uno de los siguientes:

**Warning**
Confirmed...
Hello
Important!
Warning!!

Contenido, uno de los siguientes:

0K here is it!
hey!!
Looooool
That's your photo!!?
We found a photo of you in ...

Anexado, uno de los siguientes nombres:

image
loool
Photo
picture
sample
webcam_photo
your_photo

Seguido de una de las extensiones:

Al activarse se copia a la carpeta %System% con el nombre de per.exe y para ejecutarse la próxima vez que se re-inicie el equipo modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = "%System%\per.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = "%System%\per.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio crea el Mutex "B-O-T-Z-O-R" para evitar infectar los sistemas más de una vez:

luego rastrea en forma aleatoria los sistemas vulnerables al Servicio Plug and Play, cuya información y parche puede ser descargado desde:

Microsoft Security Bulletin MS05-039

Actuando como Backdoor se conecta al servidor IRC diabl0.turkcoders.net vía el puerto TCP 8080 desde el cual activará un BOT de comandos y acciones remotas entre otras, las siguientes:

Capturar información del sistema, redes, estaciones y unidades de disco.
Descargar y ejecutar archivos con códigos malignos.
Descargar una copia de sí mismo.
Terminar procesos en ejecución.
Conectarse a un IRC cifrado y unirse a un canal de Chat.
Actualizar el gusano desde la web.
Desinstalarse por sí mismo.
Saturar determinados servidores con ataques DoS.
Crear el comando oculto CMD en los sistemas vulnerables vía el puerto TCP 8888.

El gusano manipula el archivo HOSTS para impedir el acceso a los siguientes sitios web:

n127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

El código del gusano tiene el siguiente texto:

Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

PER ANTIVIRUS® versión 9.4 con registro de virus al 16 de Agosto del 2005 detecta y elimina eficientemente este gusano/backdoor.