Worm.Win32_Zotob-H

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 95232 Octet(s)

Détails techniques:

A son exécution, Zotob-H dépose une copie du ver sous le nom %System%\fuck.exe.
Il ajoute ensuite les entrées nécessaires au registre pour être lancé à chaque démarrage :

- Soit :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS FUCK BY CLASIC = "fuck.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS FUCK BY CLASIC = "fuck.exe"


- Soit :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS FUCK BY CLASIC = "\fuck.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS FUCK BY CLASIC = "\fuck.exe"


Pour se propager à travers le réseau, Zotob-H tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.

Une fois l'exploit exécuté, il met en place un serveur FTP sur le système ciblé. Ce serveur FTP servira à déposer une version du ver sur le système infecté.

La propagation de ce ver n'est possible que sur les systèmes basés sur Windows NT, parce que la vulnérabilité "Plug and Play" ne touchent que ces derniers.

Ce ver peut également se répandre par e-mail (en pièce-jointe) en utilisant son propre moteur SMTP.

Il consulte les adresses du carnet d'adresses via cette clé de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WAB\WAB4\Wab File Name

Il peut aussi récupérer les adresses dans les fichiers, du dossier Temporary Internet Files, avec les extensions :

adbh
aspd
cgil
dbxn
htmb
html
jspl
phpq
pl
shtl
tbbg
txt
wab
xmls


Il peut aussi générer des adresses e-mails en combinant des prénoms avec les noms de domaines des adresses déjà récoltées.
Voici les prénoms :

andrew
brenda
brent
brian
claudia
david
debby
frank
george
helen
james
jerry
jimmy
julie
kevin
linda
maria
michael
peter
robert
sales
sandra
smith
steve


Zotob-H évite d'envoyer son courrier aux adresses contenant les mots suivants :

abuse
admin
administrator
register
secur
service
support
webmaster
accoun
acketst
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
ruslis
samples
sendmail
somebody
someone
sopho
submit
tanford.e
the.bat
usenet
utgers.ed



Le message contient les caractéristiques suivantes :

Sujet

L'un d'eux :

*DETECTED* Online User Violation
Important notification
Security Measures
WARNING: Your Services Near to be Closed
You have successfully updated your password
Your Account is Suspended
Your Account is suspended for Security Reasons
Your Password has been updated


Corps du message

L'un d'eux :


- Premier message

Dear user {destinataire},

You have successfully updated the password of your
{compte e-mail} account.

If you did not authorize this change or if you need assistance with your account, please contact
{aléatoire} customer service at:{aléatoire}

Please also visit our irc server irc.unixirc.net 6667 #ccpower

Thank you for using
{aléatoire}!
The
{aléatoire} Support Team

+++ Attachment: No Virus (Clean)
+++
{aléatoire}Antivirus - www.{aléatoire}


- Deuxième message

Dear user{aléatoire},

It has come to our attention that your
{domaine} User Profile ( x ) records are out of date. For further details see the attached document.

Please also visit our irc server irc.unixirc.net 6667 #ccpower

Thank you for using
{aléatoire}!
The
{aléatoire}Support Team

+++ Attachment: No Virus (Clean)
{aléatoire}Antivirus - www.{aléatoire}


- Troisième message

Dear domaine} Member,

We have temporarily suspended your email account
{compte e-mail}.

This might be due to either of the following reasons:
1. A recent change in your personal information (i.e. change of address).
2. Submiting invalid information during the initial sign up process.
3. An innability to accurately verify your selected option of subscription due to an internal error within our processors.

See the details to reactivate your
{compte e-mail} account.

Please also visit our irc server irc.unixirc.net 6667 #ccpower

Sincerely,
The
{aléatoire} Support Team

+++ Attachment: No Virus (Clean)
+++
{aléatoire} Antivirus – www.{aléatoire}


- Quatrième message

Dear {domaine} Member,

Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.

If you choose to ignore our request, you leave us no choice but to cancel your membership.

Please also visit our irc server irc.unixirc.net 6667 #ccpower

Virtually yours,
The
{aléatoire} Support Team

+++ Attachment: No Virus found
+++
{aléatoire}Antivirus - www.{aléatoire}

Pièce-jointe

Son nom est une combinaison entre des mots et des extensions :

- Mots

Accepted-password
Account-details
Account-password
Account-report
Document.zip
Email-details
Email-password
Important-details
New-password
Password
U[pdated-password


- Extensions

doc
exe
htm
pif
scr
txt
zip



Zotob-H modifie le fichier HOSTS dans le but d'empêcher l'utilisateur de la machine infecté d'accéder à certains sites. L'utilisateur souhaitant accéder aux adresses suivantes sera rediriger vers le localhost (127.0.0.1) :

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
ebay.com
f-secure.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
moneybookers.com
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
paypal.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.com
virustotal.com
www.amazon.ca
www.amazon.co.uk
www.amazon.com
www.amazon.fr
www.avp.com
www.ca.com
www.ebay.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.moneybookers.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.paypal.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.virustotal.com



Zotob-H contient des fonctionnalités de porte dérobée. Le ver se connecte via un port aléatoire au serveur IRC irc.unixirc.net sur le canal #ccpower, en attente de commandes.
Un utilisateur malveillant pourra ainsi compromettre le système infecté.
Il pourra :

- Télécharger et exécuter des fichiers
- Obtenir des informations sur le système
- Rechercher d'autres systèmes vulnérables
- Echanger des fichiers par FTP

Le ver crée également un mutex nommé "B-O-T-Z-O-R" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.




http://www.spamliste.org/