Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Encyclopedia
GetVirusCard
True
0
Efectos
Zotob.B realiza las siguientes acciones:
- Se conecta a un servidor IRC y espera órdenes de control remoto que llevar a cabo en el ordenador afectado.
- Evita que el usuario pueda acceder a los siguientes sitios, que mayoritariamente pertenecen a compañías antivirus:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
ebay.com
f-secure.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
moneybookers.com
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
paypal.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.com
virustotal.com
www.amazon.ca
www.amazon.co.uk
www.amazon.com
www.amazon.fr
www.avp.com
www.ca.com
www.ebay.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.moneybookers.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.paypal.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.virustotal.com
Metodo de Infección
Zotob.B crea el archivo CSM.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Zotob.B modifica el archivo HOSTS. Mediante dicha modificación, Zotob.B evita que el usuario pueda acceder a páginas web, que en su mayoría pertenecen a determinadas empresas antivirus.
Zotob.B crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
csm Win Updates = csm.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
csm Win Updates = csm.exe
Mediante esta entrada, Zotob.B consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
Zotob.B se propaga de Internet. Para ello, realiza el siguiente proceso:
- Genera direcciones IP.
- Intenta acceder a dichas direcciones IP a través del puerto TCP 445.
- Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad Plug and Play. Esta vulnerabilidad es crítica en los sistemas operativos Windows 2003/XP/2000 que no han sido convenientemente actualizados.
- En caso afirmativo, Zotob.B descargará y ejecutará una copia de sí mismo en el ordenador remoto. Para ello, instala un servidor FTP en el ordenador afectado y se transfiere al sistema remoto a través del puerto TCP 33333.
Otros Detalles
Zotob.B está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 15386 Bytes, y está comprimido mediante Pe_Patch.
Zotob.B crea un mutex llamado B-O-T-Z-O-R, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.
>