Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: 51326 Octet(s)
Détails techniques: Quand il est exécuté, Zotob-D vérifie l'existence de cette valeur de registre :
HKEY_LOCAL_MACHINE\Software\Drudgebot
Halt
Si cette valeur est à "TRUE" (par exemple :
Halt = "TRUE") alors le ver affiche un fenêtre avec le message "
27" (voir capture d'écran).
Zotob-D vérifie si le mutex "
windrg322" existe. Dans ce cas, il termine le fichier exécuté et le supprime. Autrement, il crée les mutex suivants :
windrg322
windrg322-TI
Afin d'être lancé à chaque démarrage de Windows, le ver crée l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinDrg32 = "%System%\wbev\windrg32.exe
N.B. : Zotob-D détermine l'emplacement du répertoire
%System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de
C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de
C:\Windows\System et sous XP :
C:\Windows\System32.
Il dépose une copie du ver dans le dossier
%System%\wbev sous le nom
windrg32.exe.
Pour se propager à travers le réseau, Zotob-D tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le
Microsoft Security Bulletin MS05-039.
Zotob-D génère une adresse IP aléatoirement afin de voir si le port 445, de ces cibles potentielles, est ouvert. Dans ce cas, le ver exploite le système faillible.
Si l'exploit ne réussi pas ou si le port n'est pas ouvert, il génère une autre adresse IP. Sinon, il met en place un serveur FTP sur le système ciblé. Un shell est ouvert sur le port 7778 et un script FTP est créé à travers ce shell. Ce script permet de récupérer le ver sur la machine infectée.
La propagation de ce ver n'est possible que sur les systèmes basés sur Windows NT, parce que la vulnérabilité "Plug and Play" ne touchent que ces derniers.
Zotob-D possède des fonctionnalités de porte dérobée. Mais avant de la lancer, il vérifie l'état de la connexion réseau en utilisant l'API
InternetGetConnectedState() et en tentant de résoudre les adresses suivantes :
www.ebay.com
www.google.com
www.yahoo.com
Il se connecte ensuite à l'un de ces serveurs IRC :
db23.hack-syndicate.org
db23a.hack-syndicate.org
spookystreet.m00p.org
spookystreet.udp-flood.com
xaeti.m00p.org
Une fois la connexion établie, le ver joint un canal spécifique et attend les commandes d'un utilisateur malveillant.
Ce dernier peut :
- Connecter la machine infectée à un serveur IRC
- Télécharger un fichier sur Internet
- Mettre à jour le ver
- Faire une recherche sur Google
- "Flooder" une cible distante
- Exécuter des commandes IRC basiques
- Terminer des process
- Désinstaller le ver
- Visiter des sites Internet
Cependant, le ver refuse de se connecter à un serveur IRC si l'adresse IP de ce dernier est comprise entre :
- 0.0.0.0 et 0.255.255.255
- 10.0.0.0 et 10.255.255.255
- 127.0.0.0 et 127.255.255.255
- 169.254.0.0 et 169.254.255.255
- 192.168.0.0 et 192.168.255.255
Le ver peut aussi obtenir des informations sur la machine infectée en consultant l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0
Il récolte aussi les informations suivantes :
- L'utilisateur en cours de session
- Le nom de l'ordinateur
- La version du système d'exploitation
- L'état de la mémoire
Le ver tente aussi de "cracker" le mot de passe de l'utilisateur en utilisant les mots de passe suivants :
123
12345
123456
12345678
54321
654321
88888888
abc
abc123
account
admin
administrateur
administrator
amministratore
asd
asdf
asdfgh
austin
azer
azert
azerty
barbara
black
casa
charles
computer
criminaljustice
david
desktop
dorothy
elizabeth
famiglia
family
god
green
guess
Haupt
hello
home
hotchilli
house
inhaber
James
Jennifer
john
Joseph
lavoro
letmein
lighttanks
linda
livingdead
London
maison
margaret
maria
mary
michael
nearmiss
oldnews
owner
paris
pass
passe
password
passwort
Patricia
peaceforce
pink
propri
proprietaire
proprietario
purple
qsd
qsdfgh
qwert
qwerty
qwertyui
qwertz
richard
Robert
school
secret
secure
susan
taire
test
testing
Thomas
universita
white
William
work
Zotob-D lance un thread destiné à enlever certaines malwares et spywares du système infecté.
Pour cela, le ver termine les process suivants :
botzor.exe
CMESys.exe
csm.exe
CxtPls.exe
NHUpdater.exe
pnpsrv.exe
qttask.exe
realsched.exe
ViewMgr.exe
winpnp.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\Program Files\CommonFiles\GMT\GMT.exe
C:\Program Files\eZula\mmod.exe
Il termine également les process ayant les caractéristiques suivantes :
EbatesMoeMoneyMaker*.exe
Il termine aussi tous les fichiers
.exe exécutés dans les sous-répertoires suivants de
Program Files :
180Solutions
Common Files\WinTools
HotBar
MyWebSearch
MyWay
Toolbar
Il supprime les fichiers suivants du dossier
%System% :
botzor.exe
csm.exe
pnpsrv.exe
winpnp.exe
Et supprime les sous-répertoires suivants du dossier
Program Files :
180Solutions
AutoUpdate
Common Files\CMEII
Common Files\GMT
Common Files\WinTools
CxtPls
EbatesMoeMoneyMaker
eZula
Hotbar
MyWay
MyWebSearch
NavExcel
Toolbar
Enfin, il supprime toutes les entrées de registre quand leur valeur est l'une d'elles :
180
180ax
Apropos
AutoUpdater
CMESys
csm Win Updates
Ebates
EbatesMoeMoneyMaker
eZmmod
eZula
Gator
GatorDownloader
Hotbar
IBIS TB
msbb
MyWay
MyWebSearch
NavExcel
QuickTime
QuickTime Task
Real
saie
sais
TBPS
TkBellExe
Toolbar
tov
Trickler
ViewMgr
Viewpoint
WINDOWS SYSTEM
WeatherOnTray
WinTools
Windows PNP
Windows PNP Server
Zotob
Ces entrées de registre peuvent se trouver ici :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Zotob-D a été écrit avec Visual C++ v6.
Capture(s) d'écran: