Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Zotob.D realiza las siguientes acciones:
- Se conecta a los siguientes servidores IRC y espera órdenes de control remoto que llevar a cabo en el ordenador afectado:
spookystreet.udp-flood.com
spookystreet.m00p.org
db23a.hack-syndicate.org
db23.hack-syndicate.org
xaeti.m00p.org - Busca programas de tipo adware y spyware, así como variantes anteriores de sí mismo en el ordenador afectado, y los elimina.
Metodo de Infección
Zotob.D crea el archivo WINDRG32.EXE en la subcarpeta WBEV del directorio de sistema de Windows. Este archivo es una copia del gusano.
Zotob.D borra los siguientes archivos, pertenecientes a programas adware, spyware y variantes anteriores de sí mismo:
- BOTZOR.EXE, CSM.EXE, PNPSRV.EXE y WINPNP.EXE, que se encuentran en el directorio de sistema de Windows.
- Todo el contenido de las subcarpetas 180SOLUTIONS, AUTOUPDATE, CXTPLS, EBATESMOEMONEYMAKER, EZULA, HOTBAR, MYWAY, MYWEBSEARCH, NAVEXCEL, TOOLBAR y WINTOOLS del directorio Archivos de Programa.
- Todo el contenido de las subcarpetas COMMON FILES\GMT y COMMON FILES\CMEII del directorio Archivos de Programa.
Zotob.D crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
windrg32 = %sysdir%\ wbev\ windrg32.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Zotob.D consigue ejecutarse cada vez que Windows se inicia.
>Zotob.D borra de las siguientes rutas del Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ Run
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ RunOnce
todas las entradas que tengan alguno de los siguientes nombres:
180
180ax
180Solutions
Apropos
AutoUpdater
CMESys
csm Win Updates
Ebates
EbatesMoeMoneyMaker
EZmmod
EZula
Gator
GatorDownloader
Hotbar
IBIS TB
lgbibsn
Msbb
MyWay
MyWebSearch
NavExcel
QuickTime
QuickTime Task
Real
Saie
Sais
TBPS
TkBellExe
Toolbar
tov
Trickler
ViewMgr
WeatherOnTray
Windows PNP
Windows PNP Server
WINDOWS SYSTEM
WinTools
Zotob
De existir, dichas entradas habrían sido creadas por diversos programas spyware, adware y variantes previas de Zotob.
Método de Propagación
Zotob.D se propaga de Internet. Para ello, realiza el siguiente proceso:
- Comprueba que haya una conexión a Internet disponible, intentando conectarse a los siguientes sitios web:
www.google.com
www.ebay.com
www.yahoo.com - Genera direcciones IP.
- Intenta acceder a dichas direcciones IP a través del puerto TCP 445.
- Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad Plug and Play. Esta vulnerabilidad es crítica en los sistemas operativos Windows 2003/XP/2000 que no han sido convenientemente actualizados.
- En caso afirmativo, Zotob.D descargará y ejecutará una copia de sí mismo en el ordenador remoto. Para ello, instala un servidor FTP en el ordenador afectado y se transfiere al sistema remoto.
Otros Detalles
Zotob.D está escrito en el lenguaje de programación Visual C++ v6. Este gusano tiene un tamaño de 51326 Bytes cuando está comprimido mediante UPX y Yoda, y de 137205 Bytes una vez descomprimido.
>