Un nou virme de internet ameninta sistemele de operare Windows. Mai multe surse susþin cã Win32.Worm.Zotob.A se rãspândeºte rapid. Pentru a nu vã alarma inutil atunci când presa non IT va prelua aceastã ºtire vã spunem noi despre el ce am aflat de pe site-ul www.bitdefender.ro. (ºi nu uitaþi sã vã actualizaþi zilnic antivirusul pe care îl folosiþi).
Nume: Win32.Worm.Zotob.A
Alias: WORM_ZOTOB.A (Trend)
Tip: Executable Backdoor Worm
Marime: 22528
Descoperit: 13.08.2005
Detectat: 18.08.2005
Raspandire: Mica
Risc: Mic
ITW: Necunoscut
Simptome:
– Prezenta fisierului „haha.exe” si/sau “botzor.exe” in
directorul Windows System
– urmatoarele intrari vor fi rulate la pornirea sistemului in registrul ({HKLM|HKCU}SoftwareMicrosoftWindowsCurrentVersion{Run|Runservices})
numit „botzor.exe”.
– dezactivarea firewall-ului Windows XP SP2
Descriere tehnica:
Virusul ajunge la destinatar arhivat cu UPack si are aproximativ 22KB. Virusul
foloseste pentru a se raspandi un exploit PNP pe portul 445.
La start, virusul dezactiveaza (daca exista) firewall-ul Windows XP SP2, se
inregistreaza impreuna cu Windows pentru a fi rulat la fiecare pornire a sistemului
si se copiaza in directorul %SYSDIR%. De asemenea, virusul va suprascrie fisierul
DRIVERSETCHOSTS, dezactivand actualizarea mai multor antivirusi.
Virusul are doua componente majore: un server FTP si un fir de executie “cauta
si exploateaza”. Prima data virusul deschide serverul FTP. Ia IP-ul computerului
pe care se afla si isi separa primele doua componente (spre exemplu 192.168.0.1
este impartit in 192.168 si 0.1: primele doua grupuri vor ramane constante,
insa ultimele doua vor fi generate la intamplare pentru a cauta computere in
reteaua locala). Virusul va da “ping” la IP-urile generate pentru
a vedea daca acestea sunt de la computere active, si va incerca sa le exploateze.
Daca reuseste, un fisier Microsoft Batch (.bat) va fi lansat, va descarca, prin
FTP, virusul de la IP-ul computerului initial si il va rula pe computerul victima.
Virusul va trimite rapoarte referitoare la starea sa prin IRC la canalul creatorului
sau (spre exemplu, dupa realizarea cu succes a unei exploatari sau a unei infectii)
si va accepta comenzi de la acesta prin aceeasi metoda. Actualizarea versiunii
virusului poate fi realizata prin IRC/HTTP.