w32/zotob.k

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/zotob.k

w32.zotob. k
tipo: gusano
tama?o: 113,710 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.8 al 24/08/2005.
w32/zobot.k, es un gusano que se difunde explotando la vulnerabilidad de microsoft windows plug and play buffer overflow, descrito en el bolet?n de seguridad de microsoft ms05-039 .
cuando el gusano se ejecuta crea un mutex de nombre wintnl.exe, el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo dentro de:
system \wintnl.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
wintnl.exe= system \wintnl.exe
el gusano se difunde a trav?s de la red generando un rango aleatorio de direcciones ip, utilizando los dos primeros octetos de la direcci?n ip del computador atacado y genera valores aleatorios para los dos ?ltimos octetos.
seguidamente el gusano intentar? establecer comunicaci?n con un servidor irc [66.252.12.254] a trav?s del puerto tcp 6664. si logra conectarse satisfactoriamente queda a la espera de recibir ordenes remotas del atacante.
tambi?n abre un servidor tftp, luego descarga y ejecuta una copia del gusano a trav?s del servidor tftp creado anteriormente, dicho archivo tiene de nombre a[x].exe y es guardado dentro de la carpeta windows en el computador atacado.
nota.- [x] representa a un n?mero aleatorio entre 0 - 9
explota la vulnerabilidad de microsoft windows plug and play buffer overflow, descrito en el bolet?n de seguridad de microsoft ms05-039 . si logra explotar la vulnerabilidad satisfactoriamente, abre una puerta trasera (backdoor) en el puerto tcp 8172 del computador atacado.
finalmente intenta terminar los siguientes procesos:
botzor.exe csm.exe per.exe wpa.exe winpnp.exe pnpsrv.exe llsrv.exe mousebm.exe service32.exe system32.exe svnlitup32.exe hpsv.exe ssl.exe upnp.exe wintbp.exe wintbpx.exe wintnpx.exe winrvl.exe winbnl.exe
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo