w32/zotob.j

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/zotob.j

w32.zotob.j@mm, worm_zotob.h, w32.mytob@mm, net-worm.win32.mytob.gen, w32/mydoom.gen@mm
tipo: gusano
tama?o: 114,384 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 24/08/2005.
w32/zotob.j@mm, es un gusano que se difunde explotando una vulnerabilidad de microsoft plug and play buffer overflow, descrita en el bolet?n de seguridad ms05-039
el gusano utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en la libreta de direcciones de windows y en archivos con las siguientes extensiones, .adb, .asp, .cgi, .dbx, .htm, .html, .jsp, .php, .pl, .sht, .tbb, .txt, .wab y .xml.
caracter?sticas del mensaje de e-mail:
asunto: [alguno de los siguientes]
*detected* online user violation important notification security measures warning: your services near to be closed you have successfully updated your password your account is suspended your account is suspended for security reasons your password has been updated cuerpo: [alguno de los siguientes]
dear user [nombre de usuario],
you have successfully updated the password of your [dominio] account.
if you did not authorize this change or if you need assistance with your account, please contact [dominio] customer service at:[dominio]
please also visit our irc server irc.unixirc.net 6667 #ccpower
thank you for using [dominio]!
the [dominio] support team
+++ attachment: no virus (clean)
+++ [dominio]antivirus - www. [dominio]
---------------------------
dear user [nombre de usuario],
it has come to our attention that your [dominio] user profile ( x )
records are out of date. for further details see the attached document.
please also visit our irc server irc.unixirc.net 6667 #ccpower
thank you for using [dominio]!
the [dominio] support team
+++ attachment: no virus (clean)
+++ [dominio] antivirus - www.[dominio]
-----------------------------
dear [nombre de usuario] member,
we have temporarily suspended your email account [direccion de email].
this might be due to either of the following reasons:
1. a recent change in your personal information (i.e. change of address).
2. submiting invalid information during the initial sign up process.
3. an innability to accurately verify your selected option of
subscription due to an internal error within our processors.
see the details to reactivate your [direccion de email] account.
please also visit our irc server irc.unixirc.net 6667 #ccpower
sincerely,the [dominio] support team
+++ attachment: no virus (clean)
+++ [dominio] antivirus - www.[dominio]
----------------------------
dear [dominio] member,
your e-mail account was used to send a huge amount of unsolicited spam
messages during the recent week. if you could please take 5-10 minutes
out of your online experience and confirm the attached document so you
will not run into any future problems with the online service.
if you choose to ignore our request, you leave us no choice but to cancel
your membership.
please also visit our irc server irc.unixirc.net 6667 #ccpower
virtually yours,
the [dominio] support team
+++ attachment: no virus found
+++ [dominio] antivirus - www.[dominio]
------------------------------
archivo adjunto: [alguno de los siguientes, con la extensi?n .pif, .exe, .htm, .zip .scr, .doc y .txt]
accepted-password account-details account-password account-report document.zip email-details email-password important-details new-password password updated-password cuando el gusano se ejecuta crea un mutex de nombre b-o-t-z-o-r, el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo dentro de:
system \fuck.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
windows fuck by clasic= system \fuck.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
windows fuck by clasic= system \fuck.exe
tambi?n modifica la siguiente entrada en el registro para deshabilitar el servicio shared access en windows 2000/xp
hkey_local_machine\system\currentcontrolset\services\sharedaccess
start=4
seguidamente el gusano intentar? establecer comunicaci?n con un determinado servidor irc en el dominio [irc.unixirc.net]. si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones.
descargar y ejecutar un archivo. robar informaci?n del sistema. buscar computadores vulnerables. transferir archivos del computador atacado a trav?s del ftp. intentar? explotar la vulnerabilidad de microsoft windows plug and play buffer overflow , descrita en el bolet?n de seguridad ms05-039 , si lo logra, abre una puerta trasera en el computador atacado. seguidamente env?a el archivo 2pac.txt al computador destino, dicho archivo contiene un script ftp que descarga una copia del gusano, el archivo es guardado como haha.exe y posteriormente ejecutado.
finalmente el gusano sobrescribe el archivo hosts que se encuentra en system \drivers\etc\ , para redireccionar direcciones urls al localhost (127.0.0.1) y agregar el siguiente texto:
127.0.0.1 securityresponse.symantec.com 127.0.0.1 www.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 127.0.0.1 www.amazon.com 127.0.0.1 www.amazon.co.uk 127.0.0.1 www.amazon.ca 127.0.0.1 www.amazon.fr 127.0.0.1 www.paypal.com 127.0.0.1 paypal.com 127.0.0.1 moneybookers.com 127.0.0.1 www.moneybookers.com 127.0.0.1 www.ebay.com 127.0.0.1 ebay.com
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo