Worm.Win32_Zotob-P

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 49152 Octet(s)

Détails techniques:

Quand il est exécuté, Zotob-P dépose un fichier sous le nom %System%\winwsl.exe et un autre fichier batch au nom aléatoire. Il exécute ce fichier batch, puis le supprime en même temps que le fichier initial.

Afin d'être lancé à chaque démarrage de Windows, le ver ajoute l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winwsl.exe = "winwsl.exe"


Pour se propager à travers le réseau, Zotob-P tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.

La propagation de ce ver n'est possible que sur les systèmes basés sur Windows NT, parce que la vulnérabilité "Plug and Play" ne touchent que ces derniers.

Zotob-P crée plusieurs threads qui génèrent une adresse IP en utilisant le réseau d'adresse de classe B du système infecté. Il remplace les 2 octets de poids faible par des valeurs aléatoires. Par exemple, si l'adresse IP du système infecté est 192.168.231.128, l'adresse IP générée sera de la forme 192.168.x.x, avec x étant une valeur aléatoire comprise entre 0 et 255.

Si l'exploit fonctionne correctement, il injecte un code qui ouvriera une porte dérobée. Une copie du ver pourra ensuite être téléchargée grâce à un fichier batch créé.

Le ver se connecte au serveur IRC 66.252.12.254 sur le port 6664 et joint un canal spécifique, pour attendre des commandes provenant d'un attaquant.
Ce dernier pourra :

- Télécharger et exécuter des fichiers
- Supprimer le ver
- Lancer des attaques par déni de service (DoS) par SYN flooding.

Zotob-P est aussi capable de terminer des processus relatifs à d'anciennes versions du ver :

botzor.exe
csm.exe
HPSV.exe
llsrv.exe
mousebm.exe
per.exe
pnpsrv.exe
service32.exe
ssl.exe
svnlitup32.exe
system32.exe
upnp.exe
winbnl.exe
winpnp.exe
winrvl.exe
wintbp.exe
wintbpx.exe
wintnl.exe
wintnpx.exe
wpa.exe


Le ver crée également un mutex nommé "winwsl.exe" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.




http://www.hackers-news.com/