Worm.Win32_Zotob-F

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 10878 Octet(s)

Détails techniques:

Quand il est exécuté, Zotob-F se copie sous le nom %System%\wintbpx.exe et crée l'entrée de registre suivante, afin d'être lancé à chaque démarrage de Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wintbpx.exe = "wintbpx.exe"


N.B. : Zotob-F détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Pour se propager à travers le réseau, Zotob-F tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.

Une fois sur un nouveau système faillible, il essaie d'ouvrir un serveur FTP afin de télécharger une copie du ver.


Zotob-F dispose d'une porte dérobée. Le ver se connecte au serveur IRC 72.20.41.139 et joint le canal #tbp où il est en attente de commandes.
Un utilisateur malveillant pourra ainsi :

- Télécharger des fichiers
- Créer des fichiers batchs
- Exécuter des fichiers

Zotob-F est églement capable de terminer des process tels que :

botzor.exe
csm.exe
llsrv.exe
mousebm.exe
pnpsrv.exe
service32.exe
svnlitup32.exe
system32.exe
upnp.exe
winpnp.exe
wintbp.exe





http://www.pourriel.ca/