w32/zotob.i

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/zotob.i

w32.zotob. i, worm_zotob.i, w32/zotob.worm.d
tipo: gusano
tama?o: variable
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 21/08/2005.
w32/zobot.i, es un gusano que se difunde explotando la vulnerabilidad de microsoft windows plug and play buffer overflow , descrito en el bolet?n de seguridad de microsoft ms05-039
cuando el gusano se ejecuta crea un mutex de nombre s-y-b-o-t-by-sky-dancer , el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo dentro de:
windows \hpsv.exe
nota:
windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
sybot v2.1 by sky-dancer= windows \hpsv.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
sybot v2.1 by sky-dancer= windows \hpsv.exe
hkey_local_machine\software\microsoft\ole
sybot v2.1 by sky-dancer= windows \hpsv.exe
hkey_local_machine\system\currentcontrolset\control\lsa
sybot v2.1 by sky-dancer= windows \hpsv.exe
hkey_current_user\software\microsoft\windows\currentversion\run
sybot v2.1 by sky-dancer= windows \hpsv.exe
hkey_current_user\software\microsoft\ole
sybot v2.1 by sky-dancer= windows \hpsv.exe
hkey_current_user\system\currentcontrolset\control\lsa
sybot v2.1 by sky-dancer= windows \hpsv.exe
el gusano se difunde a trav?s de la red generando un rango aleatorio de direcciones ip, utilizando los dos primeros octetos de la direcci?n ip del computador atacado y genera valores aleatorios para los dos ?ltimos octetos.
seguidamente el gusano intentar? establecer comunicaci?n con un servidor irc [sezen.aydankaya.org] a trav?s del puerto tcp 5544. si logra conectarse satisfactoriamente queda a la espera de recibir ordenes remotas del atacante.
tambi?n abre un servidor ftp en el puerto tcp 19907.
finalmente intentar? explotar la vulnerabilidad de microsoft windows plug and play buffer overflow , descrita en el bolet?n de seguridad ms05-039 , si lo logra, abre una puerta trasera en el computador atacado. seguidamente env?a el archivo 2pac.txt al computador destino, dicho archivo contiene un script ftp que descarga una copia del gusano, el archivo es guardado como haha.exe y posteriormente ejecutado.
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo