Worm.Win32_Zotob-C

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 33792 Octet(s)

Détails techniques:

Quand il est exécuté, Zotob-C dépose une copie du ver sous le nom %System%\per.exe.

Afin d'être exécuté à chaque démarrage de Windows, le ver modifie la base de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM = "PER.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = "PER.EXE"


Pour se propager à travers le réseau, Zotob-C tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.

Zotob-C crée jusqu'à 300 threads. Chaque thread génère une adresse IP aléatoire à cibler. Pour cela, Zotob-C se base sur le réseau de classe B du système infecté et remplace les 2 derniers octets par des valeurs aléatoires.
Par exemple, un thread fonctionnant sur un système infecté d'adresse IP 192.168.231.128 générera des adresses IP du style 192.168.x.x ('x' étant un nombre aléatoire codé sur 8 bits).

Le ver vérifie ensuite si le port 445 de l'adresse IP générée est ouvert. Si tel est le cas, il essaie d'exploiter la faille Windows décrite plus haut.

Si l'exploit fonctionne, un serveur FTP (port 33333) est ouvert sur le nouveau système infecté. Un shell est alors ouvert sur le port 8888 et servira à créer un script FTP pour télécharger une copie du ver.

Cette copie du ver est sauvegardée dans le dossier %System% sous le nom haha.exe. Ce fichier est exécuté automatiquement.

N.B. : Zotob-C détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

La propagation de ce ver n'est possible que sur les systèmes basés sur Windows NT, parce que la vulnérabilité "Plug and Play" ne touchent que ces derniers.

Zotob-C peut également se répandre par courrier électronique (mais sa méthode ne fonctionne pas très bien).

Zotob-C récolte les adresses e-mails en consultant la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WAB\WAB4\Wab File Name

Zotob-C prend aussi les adresses contenues dans les fichiers aux extensions suivantes :

adbh
aspd
cgil
dbxn
htmb
html
jspl
phpq
pl
shtl
tbbg
txt
wab
xmls


Le ver recherche les serveurs de mails par défaut. Si il n'en trouve pas, il interroge les serveurs mails des adresses récoltées en leur ajoutant les chaînes suivantes au début :

gate.
mail.
mail1
mx.
mx1.
mxs.
ns.
relay
smtp.


Le ver peut aussi générer des adresses e-mails en combinant les noms suivants avec les noms de domaines des adresses récoltées :

adam
alex
andrew
anna
barbara
bill
bob
bob
brenda
brent
brian
claudia
contact
dan
dave
david
debby
erik
frank
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
jose
josh
julie
kevin
leo
linda
maria
mary
matt
michael
michael
mike
paul
peter
ray
robert
sales
sam
Sandra
serg
smith
stan
steve
ted
tom


Le ver évite d'envoyer le courrier aux adresses contenant les mots suivants :

abuse
security
admin
support
contact
webmaster

.gov
.mil
acketst
arin.
borlan
bsd
example
fido
foo.
fsf.
gnu
google
gov.
hotmail
iana
ibm.com
icrosof
ietf
inpris
isc.o
isi.e
kernel
linux
math
mit.e
mozilla
msn.
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
unix
usenet
utgers.ed


Voici les caractéritiques du courrier électronique envoyé par Zotob-C :

Objet

L'un d'eux :

**Warning**
Confirmed...
Hello
Important!
Warning!!


Corps du message

L'un d'eux :

- 0K here is it!
- hey!!
- Looooool
- That's your photo!!?
- We found a photo of you in ...

Pièce-jointe

Une combinaison de nom de fichier et d'extensions :

image
loool
Photo
picture
sample
webcam_photo
your_photo

.bat
.cmd
.exe
.pif
.scr
.zip


Zotob-C modifie également le fichier HOSTS de la machine infectée. Il redirige l'accès aux sites suivants, vers la machine locale :

www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
pandasoftware.com
www.pandasoftware.com
www.trendmicro.com
www.grisoft.com
www.microsoft.com
microsoft.com
www.virustotal.com
virustotal.com
www.amazon.com
www.amazon.co.uk
www.amazon.ca
www.amazon.fr
www.paypal.com
paypal.com
moneybookers.com
www.moneybookers.com
www.ebay.com
ebay.com


Les lignes suivantes ont été découvertes dans le "corps" du ver :

- Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3

- MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

Zotob-C possède aussi des fonctionnalités de porte dérobée : il ouvre un port aléatoire sur la machine infectée et se connecte au serveur IRC diabl0.turkcoders.net sur le port 8080. Une fois connecté, il joint un canal IRC et attend des commandes bien spécifiques permettant à un utilisateur malveillant de :

- Terminer des process
- "Flooder" une cible distante
- Connecter la machine infectée à un serveur IRC
- Télécharger un fichier sur Internet
- Visiter des sites Internet
- Désinstaller le ver
- Obtenir des informations sur le système infecté
- Mettre à jour le ver
- Créer un shell accessible à distante sur le port 8888 afin d'exécuter des commandes DOS

Le ver crée également un mutex nommé "B-O-T-Z-O-R" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.




http://www.spamliste.org/