狙击波补丁,透过Zotob.A详细了解狙击波病毒

透过Zotob.A详细了解狙击波病毒 - 网络安全 - 电脑教程网

透过Zotob.A详细了解狙击波病毒

日期:2007-11-03   荐:

提醒:windows 2000(SP0-4)用户必看

病毒名称:Zotob.A

别名:Net-Worm.Win32.Mytob.cd

文件大小:22528

概要:

Zotob.A是Mytob的一个复制变种,通过Windows即插即用服务(MS05-039)漏洞进行传播.

详细描述:

该病毒是一个封装的PE可执行文件,22528字节长。

当执行之后,该病毒将自行拷贝到%SYSTEM%目录下,文件名为“botzor.exe”并且建立一个名为“B-O-T-Z-O-R”的互斥体,确保在同一时间只有一个病毒复制体被执行。

紧接着将会在注册表中加入以下信息,以确保自己当用户登陆或者系统启动的时候被执行:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]

"WINDOWS SYSTEM" = "botzor.exe"

并且会加入以下的注册键值阻止共享访问服务:

[HKLMSYSTEMCurrentControlSetServicesSharedAccess]

"Start" = "4"

透过即插即用服务弱点进行传播:

该病毒将通过TCP/445端口扫描探测Microsoft Windows系统中即插即用服务(MS05-039)弱点

其将建立300个线程关联到被感染系统的B类网络(255.255.0.0)随机IP地址中,首先其将测试445端口的连接,如果成功,将会尝试去利用次弱点。一旦袭击成功将会占用(cmd.exe)8888端口,透过该端口,该病毒将会发送一个FTP脚本,将会引导该远程计算机通过FTP下载并执行已经感染病毒的计算机上的病毒文件。FTP服务器将监听所有受感染计算机上的33333端口,目的是将病毒派发到其他的主机上,使其他计算机受到感染。下载的文件将以“haha.exe”文件存储在本地磁盘上。

以下是袭击所利用到的端口的详细情况:

Port 445 - 病毒将通过此端口利用PnP弱点扫描容易受感染的计算机

Port 33333 - 受感染系统的FTP服务端口

Port 8888 - 恶意代码开发的命令行(cmd.exe)端口

这主要和Windows 2000版本的umpnpmgr.dll有关,这也就意味着只有Windows 2000(SP0-4)会被感染。


[1] [2] [3]  

弱点方面的细节信息请参考:http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

Bot功能:

该病毒通过预先确定的地址设法连接到IRC通道。如果攻击者知道该通道的密码,能够很容易的命令Bot执行以下的行为:

IRC通道断开/连接

请求系统信息

下载、执行文件

从系统中移除病毒

操作系统安全设置

其他细节:

Zotob.A将修改系统主机文件,使其不能访问几个特定的站点。主机将被重新定向为本地的IP地址(127.0.0.1):

avp.com

ca.com

customer.symantec.com

dispatch.mcafee.com

download.mcafee.com

ebay.com

f-secure.com

kASPersky.com

kaspersky-labs.com

liveupdate.symantec.com

liveupdate.symantecliveupdate.com

mast.mcafee.com

mcafee.com

microsoft.com

moneybookers.com

my-etrust.com

nai.com

networkassociates.com

pandasoftware.com

paypal.com

rads.mcafee.com

secure.nai.com

securityresponse.symantec.com

sophos.com

symantec.com

trendmicro.com

updates.symantec.com

update.symantec.com

us.mcafee.com

viruslist.com

virustotal.com

www.amazon.com

www.avp.com

www.ca.com

www.ebay.com

www.f-secure.com

www.grisoft.com

www.kaspersky.com

www.mcafee.com

www.microsoft.com


 [1] [2] [3]  

www.moneybookers.com

www.my-etrust.com

www.nai.com

www.networkassociates.com

www.pandasoftware.com

www.paypal.com

www.sophos.com

www.symantec.com

www.trendmicro.com

www.virustotal.com

该病毒还将向主机文件中写入如下的内容:

Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3

MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! 更多内容请看QQ病毒  病毒/木马/蠕虫专题,或

(出处:http://www.sheup.com)


 [1] [2] [3] 

!! 更多内容请看QQ病毒  病毒/木马/蠕虫专题,或

(出处:http://www.sheup.com/)


 [1] [2] [3] [4] 

标签: