Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: 49152 Octet(s)
Détails techniques: Quand il est exécuté, Zotob-P dépose un fichier sous le nom
%System%\winwsl.exe et un autre fichier batch au nom aléatoire. Il exécute ce fichier batch, puis le supprime en même temps que le fichier initial.
Afin d'être lancé à chaque démarrage de Windows, le ver ajoute l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winwsl.exe = "winwsl.exe"
Pour se propager à travers le réseau, Zotob-P tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le
Microsoft Security Bulletin MS05-039.
La propagation de ce ver n'est possible que sur les systèmes basés sur Windows NT, parce que la vulnérabilité "Plug and Play" ne touchent que ces derniers.
Zotob-P crée plusieurs threads qui génèrent une adresse IP en utilisant le réseau d'adresse de classe B du système infecté. Il remplace les 2 octets de poids faible par des valeurs aléatoires. Par exemple, si l'adresse IP du système infecté est 192.168.231.128, l'adresse IP générée sera de la forme 192.168.x.x, avec x étant une valeur aléatoire comprise entre 0 et 255.
Si l'exploit fonctionne correctement, il injecte un code qui ouvriera une porte dérobée. Une copie du ver pourra ensuite être téléchargée grâce à un fichier batch créé.
Le ver se connecte au serveur IRC
66.252.12.254 sur le port
6664 et joint un canal spécifique, pour attendre des commandes provenant d'un attaquant.
Ce dernier pourra :
- Télécharger et exécuter des fichiers
- Supprimer le ver
- Lancer des attaques par déni de service (DoS) par SYN flooding.
Zotob-P est aussi capable de terminer des processus relatifs à d'anciennes versions du ver :
botzor.exe
csm.exe
HPSV.exe
llsrv.exe
mousebm.exe
per.exe
pnpsrv.exe
service32.exe
ssl.exe
svnlitup32.exe
system32.exe
upnp.exe
winbnl.exe
winpnp.exe
winrvl.exe
wintbp.exe
wintbpx.exe
wintnl.exe
wintnpx.exe
wpa.exe
Le ver crée également un mutex nommé "
winwsl.exe" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.