Zotob.I

ZOTOB.I gusano/backdoor de IRC aprovecha vulnerabilidad Plug and Play ejecuta BOT abre servidor FTP.

W32/Zotob.I, I.worm.Zotob.I

Zotob.I es un gusano/backdoor reportado el 22 de Agosto del 2005, que se propaga a través de mensajes de cualquier servicio de Internet aprovechando la vulnerabilidad del Servicio Plug and Play descrita en el Boletín MS05-039 de Microsoft Corporation.

Como Backdoor se conecta al servidor IRC (Internet Chat Relay) sezen.aydankaya.org vía el puerto TCP 5544 desde el cual activará un BOT que ejecutará una diversidad de comandos y acciones remotas.

Abre un servidor FTP a través del puerto TCP 19907.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/2000/XP incluyendo servidores NT/2000/Server 2003, está desarrollado en MS Visual C++, con una extensión de 18 KB y comprimido con con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse se copia a la carpeta %Windir% con el nombre de HPSV.exe y para ejecutarse la próxima vez que se re-inicie el sistema agrega el valor:

"SyBot v2.1 By Sky-Dancer" = "%Windir%\HPSV.exe" a las siguientes llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio crea el Mutex "S-Y-B-O-T-By-Sky-Dancer" para evitar infectar los sistemas más de una vez.

luego rastrea en forma aleatoria los sistemas vulnerables al Servicio Plug and Play, a través del puerto TCP 445, cuya información y parche puede ser descargado desde:

Microsoft Security Bulletin MS05-039

Actuando como Backdoor se conecta al servidor IRC sezen.aydankaya.org vía el puerto TCP 5544 desde el cual activará un BOT de comandos pudiendo ejecutar acciones remotas tales como:

Permite que el atacante ejecute comandos IRC para descargar y ejecutar archivos con códigos malignos.

Abre un servidor FTP a través del puerto 19907.

Captura información del sistema, redes, estaciones y unidades de disco.

Envía paquetes a una lista aleatoria de direcciones IP basadas en las extraídas del sistema infectado.

Si logre acceder a esos sistemas abrirá un Backdoor en los mismos en forma remota.

Envía el archivo 2pac.txt a los sistemas vulnerados a través del backdoor, el cual contiene un Script que descargará el archivo "haha.exe" que es una copia del gusano.
En forma remota ordenará ejecutar este archivo.
Conecta los sistemas vulnerados al servidor IRC sezen.aydankaya.org.

PER ANTIVIRUS® versión 9.4 con registro de virus al 22 de Agosto del 2005 detecta y elimina eficientemente este gusano/backdoor.