Worm.Win32_Zotob-B

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 15386 Octet(s)

Détails techniques:

Quand il est exécuté, Zotob-B dépose une copie du ver sous le nom %System%\csm.exe.

Afin d'être exécuté à chaque démarrage de Windows, le ver modifie la base de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
csm Win Updates = "csm.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
csm Win Updates = "csm.exe"


Sur les systèmes basés sur Windows NT, le ver désactive le firewall (ICF) et le partage de connexion (ICS) :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000004"


Pour se propager à travers le réseau, Zotob-B tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.

Le bout de code exécuté, grâce à cette faille, ouvre un serveur FTP sur le port 33333 du système infecté, pour télécharger une copie du ver.

Le ver scanne les IP sur le port 445 à la recherche de cibles potentielles. S'il découvre une machine vulnérable, il ouvre un shell à distance pour y déposer le fichier 2pac.txt, un script qui télécharge automatiquement une copie du ver sur le serveur FTP. Le fichier ainsi téléchargé est sauvegardé sous le nom %System%\haha.exe et exécuté automatiquement.

N.B. : Zotob-B détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Zotob-B modifie également le fichier HOSTS de la machine infectée. Il redirige l'accès aux sites suivants, vers la machine locale :

www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
pandasoftware.com
www.pandasoftware.com
www.trendmicro.com
www.grisoft.com
www.microsoft.com
microsoft.com
www.virustotal.com
virustotal.com
www.amazon.com
www.amazon.co.uk
www.amazon.ca
www.amazon.fr
www.paypal.com
paypal.com
moneybookers.com
www.moneybookers.com
www.ebay.com
ebay.com


Le code du ver contient les messages suivants :

- Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3

- MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

Zotob-B possède aussi des fonctionnalités de porte dérobée : il ouvre un port aléatoire sur la machine infectée et se connecte au serveur IRC wait.atillaekici.net sur le port 8080. Une fois connecté, il joint un canal IRC et attend des commandes bien spécifiques permettant à un utilisateur malveillant de :

- Connecter la machine infectée à un serveur IRC
- Télécharger un fichier sur Internet
- Mettre à jour le ver
- "Flooder" une cible distante
- Obtenir des informations sur le système infecté
- Terminer des process
- Désinstaller le ver
- Visiter des sites Internet

Le ver crée également un mutex nommé "B-O-T-Z-O-R" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

Zotob-B a été écrit avec Visual C++.




NEWSNOW