Worm.Win32_Zotob-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 22528 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Zotob-A se copie dans le répertoire %SYSTEM% sous le nom de fichier "botzor.exe" et crée un mutex nommé "B-O-T-Z-O-R"

Il modifie ensuite la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = "botzor.exe"


Zotob-A scanne les systèmes vulnérables au bulletin de sécurité de Microsoft MS05-039 via le port TCP/445. Si un système vulnérable est trouvé, le ver tente de se copier sur le système distant et continue à se propager de la même manière.

Zotob-A tente de se connecter à un canal IRC sur une adresse prédéfinie. Un attaquant qui connaît le nom du canal ainsi que le mot de passe de celui-ci peut envoyer des instructions à Zotob-A afin qu'il les exécute.

Zotob-A contient le message suivant en son code :

MSG to avs: the first av who detect this worm will be the first
killed in the next 24hours!!!





http://www.smtechnologie.com