Worm.Win32_Zotob-I

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 18432 Octet(s)

Détails techniques:

Quand il est exécuté, Zotob-I se copie sous le nom %Windir%\HPSV.exe. Puis il vérifie l'existence du mutex "S-Y-B-O-T-By-Sky-Dancer" sur le système infecté. S'il est présent, le ver supprime son fichier d'origine et termine son process. Sinon, Zotob-I crée le mutex mentionné pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Afin d'être lancé à chaque démarrage, Zotob-I crée les entrées de registre suivantes :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SyBot v2.1 By Sky-Dancer = "HPSV.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
SyBot v2.1 By Sky-Dancer = "HPSV.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SyBot v2.1 By Sky-Dancer = "HPSV.exe"


Pour une partie de son installation, Zotob-I ajoute les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
SyBot v2.1 By Sky-Dancer = "HPSV.exe"

HKEY_CURRENT_USER\Software\Microsoft\OLE
SyBot v2.1 By Sky-Dancer = "HPSV.exe"

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\LSA
SyBot v2.1 By Sky-Dancer = "HPSV.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
SyBot v2.1 By Sky-Dancer = "HPSV.exe"


Sur les ordinateurs fonctionnant sous Windows XP SP2, Zotob-I ajoute l'entrée suivante :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
C:\WINDOWS\HPSV.exe = "C:\WINDOWS\HPSV.exe:*:Enabled:HPSV"


Pour se propager à travers le réseau, Zotob-I tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.

Une fois l'exploit exécuté, il met en place un serveur FTP sur le système ciblé. Ce serveur FTP servira à déposer une version du ver sur le système infecté.

La propagation de ce ver n'est possible que sur les systèmes basés sur Windows NT, parce que la vulnérabilité "Plug and Play" ne touchent que ces derniers.

Zotob-I dispose de fonctionnalités de porte dérobée contrôlable par IRC sur le serveur sezen.aydankaya.org. Un utilisateur malveillant peut ainsi :

- Exécuter des fichiers
- Obtenir les numéros de série de Microsoft Office 2000, XP, et Server 2003
- Connaître des informations sur le réseau et le système de la machine infectée
- Exécuter des commandes IRC
- Télécharger et télédécharger des fichiers




http://www.securiteinfo.com/