提醒:Windows 2000(SP0-4)用户必看
病毒名称:Zotob.A
别名:Net-Worm.Win32.Mytob.cd
文件大小:22528
概要:
Zotob.A是Mytob的一个复制变种,通过Windows即插即用服务(MS05-039)漏洞进行传播.
详细描述:
该病毒是一个封装的PE可执行文件,22528字节长。
当执行之后,该病毒将自行拷贝到%SYSTEM%目录下,文件名为“botzor.exe”并且建立一个名为“B-O-T-Z-O-R”的互斥体,确保在同一时间只有一个病毒复制体被执行。
紧接着将会在注册表中加入以下信息,以确保自己当用户登陆或者系统启动的时候被执行:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"WINDOWS SYSTEM" = "botzor.exe"
并且会加入以下的注册键值阻止共享访问服务:
[HKLMSYSTEMCurrentControlSetServicesSharedAccess]
"Start" = "4"
透过即插即用服务弱点进行传播:
该病毒将通过TCP/445端口扫描探测Microsoft Windows系统中即插即用服务(MS05-039)弱点
其将建立300个线程关联到被感染系统的B类网络(255.255.0.0)随机IP地址中,首先其将测试445端口的连接,如果成功,将会尝试去利用次弱点。一旦袭击成功将会占用(cmd.exe)8888端口,透过该端口,该病毒将会发送一个ftp脚本,将会引导该远程计算机通过FTP下载并执行已经感染病毒的计算机上的病毒文件。FTP服务器将监听所有受感染计算机上的33333端口,目的是将病毒派发到其他的主机上,使其他计算机受到感染。下载的文件将以“haha.exe”文件存储在本地磁盘上。
以下是袭击所利用到的端口的详细情况:
Port 445 - 病毒将通过此端口利用PnP弱点扫描容易受感染的计算机
Port 33333 - 受感染系统的FTP服务端口
Port 8888 - 恶意代码开发的命令行(cmd.exe)端口
这主要和Windows 2000版本的umpnpmgr.dll有关,这也就意味着只有Windows 2000(SP0-4)会被感染。
弱点方面的细节信息请参考:http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
Bot功能:
该病毒通过预先确定的地址设法连接到IRC通道。如果攻击者知道该通道的密码,能够很容易的命令Bot执行以下的行为:
IRC通道断开/连接
请求系统信息
下载、执行文件
从系统中移除病毒
操作系统安全设置
其他细节:
Zotob.A将修改系统主机文件,使其不能访问几个特定的站点。主机将被重新定向为本地的IP地址(127.0.0.1):
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
ebay.com
f-secure.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
moneybookers.com
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
paypal.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
updates.symantec.com
update.symantec.com
us.mcafee.com
viruslist.com
virustotal.com
www.amazon.com
www.avp.com
www.ca.com
www.ebay.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.moneybookers.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.paypal.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.virustotal.com
该病毒还将向主机文件中写入如下的内容:
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!