Worm.Win32_Zotob-E

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 10366 Octet(s)

Détails techniques:

Quand il est exécuté, Zotob-E se copie sous le nom (i]%System%\wintbp.exe. Il crée ensuite le mutex nommé "wintbp.exe" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

N.B. : Zotob-E détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Afin d'être lancé à chaque démarrage de Windows, Zotob-E crée l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wintbp.exe = "wintbp.exe


Pour se propager à travers le réseau, Zotob-E tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.

Zotob-E crée plusieurs threads qui génèrent une adresse IP aléatoirement afin de voir si le port 445, de ces cibles potentielles, est ouvert. Dans ce cas, le ver exploite le système faillible.

Si l'exploit ne réussi pas ou si le port n'est pas ouvert, il génère une autre adresse IP. Sinon, il met en place un serveur FTP sur le système ciblé. Un shell est ouvert sur le port 7778 et un script FTP est créé à travers ce shell. Ce script permet de récupérer le ver sur la machine infectée.

La propagation de ce ver n'est possible que sur les systèmes basés sur Windows NT, parce que la vulnérabilité "Plug and Play" ne touchent que ces derniers.

Zotob-E possède des fonctionnalités de porte dérobée. Le ver se connecte au serveur IRC 72.20.27.115, il joint ensuite le canal #tbp et attend des commandes spécifiques provenant d'un utilisateur malveillant. Ce dernier pourra contrôler le système infecté de la manière suivante :

- Exécuter un fichier spécifique
- Supprimer un fichier en créant un fichier batch ({numéros_aléatoires}.bat)
- Télécharger et exécuter une copie du ver




http://www.spamliste.org/