CAJINCHEN - 2005-8-21 23:56:00
其它名称:Net-Worm.Win32.Mytob.ch (Kaspersky), W32/Zotob.C (F-Secure), Win32/Zotob.C!Worm, W32/Zotob.worm (McAfee)
病毒属性:蠕虫病毒 危害性:高危害 流行程度:中
具体介绍:
病毒特性:
Win32.Zotob.C是一种蠕虫,它通过邮件进行传播,并利用微软即插即用中的漏洞可能允许远程执行代码和特权提升 (MS05-039)进行传播。蠕虫作为一个IRC控制后门,允许未经授权的进入被感染的机器。蠕虫是大小为35,840字节,以Upack格式加壳的Win32 可运行程序。
感染方式:
蠕虫运行时生成一个名为"B-O-T-Z-O-R"的互斥体,如果这个互斥体已经存在蠕虫就会退出。
蠕虫复制per.exe 到%System%目录,并修改以下注册表,使得这个副本可以在每次系统启动时运行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WINDOWS SYSTEM = "per.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\WINDOWS SYSTEM = "per.exe"
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
传播方式 :
通过漏洞传播
蠕虫尝试攻击微软即插即用中的漏洞进行传播。蠕虫为潜在目标搜索任意IP地址,通过445端口查找存在漏洞的系统。
如果攻击漏洞成功,蠕虫在目标机器上打开一个远程shell,监听8888端口。随后通过shell命令指示目标机器连接源机器,并使用Windows FTP客户端下载蠕虫。下载的蠕虫文件为"%System%\haha.exe",并会运行它。它还会在进程中生成一个名为"2pac.txt"的无害的文件。
为了能够通过FTP传输,蠕虫在源系统上作为一个FTP服务器,监听33333端口。
可以通过以下站点下载相关的微软的系统补丁:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
通过邮件传播
Zotob.C尝试通过邮件进行传播。
蠕虫通过以下注册表键值查找目标地址,这个键值指向Windows Address Book:
HKCU\Software\Microsoft\WAB\WAB4\Wab File Name
下一步,它查找Internet临时文件夹,system drive,从C:\ 到Y:\ 的硬盘或者RAM。将以下扩展名的文件处理成邮件地址:
adb
asp
cgi
dbx
htm
html
jsp
php
pl
sht
tbb
txt
wab
xml
以下列字符开头的地址,Zotob.C不发送:
anyone
bugs
ca
contact
feste
gold-certs
help
info
me
no
nobody
noone
not
nothing
page
postmaster
privacy
rating
root
samples
service
site
soft
somebody
someone
submit
the.bat
webmaster
www
you
your
包含以下字符的地址,蠕虫也不发送:
.edu
.gov
.mil
abuse
accoun
acketst
admin
arin.
avp
berkeley
borlan
bsd
certific
example
spam
fido
foo.
fsf.
gnu
google
gov.
iana
ibm.com
icrosof
icrosoft
ietf
inpris
isc.o
isi.e
kernel
linux
listserv
math
mit.e
mozilla
mydomai
nodomai
ntivi
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
spm
support
syma
tanford.e
unix
usenet
utgers.ed
蠕虫连接任意邮件服务器,尝试使用以下键值列出的任一SMTP服务器:
HKCU\Software\Microsoft\Internet Account Manager\Accounts
蠕虫执行DNS MX (mail exchanger)查询,为每个域找到适合的邮件服务器发送病毒。蠕虫执行这些查询为本地系统配置默认的DNS。如果蠕虫不能找到邮件服务器,会为以下列字符开头的邮件地址域名猜测适合的服务器:
mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.
gate
如果成功,发送邮件时,蠕虫会使用从域获得的相同的邮件地址作为用户名。
发件地址可能使用蠕虫自带的名称列表来配置。
蠕虫发送邮件的主题可能是以下中的一个:
Subject:
Warning!!
**Warning**
Hello
Confirmed...
Important!
<random characters>
邮件内容可能是以下中的一个:
looooool
We found a photo of you in ...
That's your photo!!?
hey!!
0K here is it!
蠕虫自身不会附加,因此邮件内容是无害的。但是,蠕虫会显示以下附件名称:
photo
your_photo
image
picture
sample
loool
webcam_photo
带有以下扩展名:
.pif
.scr
.exe
.cmd
.bat
.zip (蠕虫在ZIP中)
请参见以下病毒邮件样本示例:
危害
修改Hosts文件
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts文件位于%Windows%\hosts。
蠕虫修改%System%\drivers\etc\hosts文件,限制访问以下站点:
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
pandasoftware.com
www.pandasoftware.com
www.trendmicro.com
www.grisoft.com
www.microsoft.com
microsoft.com
www.virustotal.com
virustotal.com
www.amazon.com
www.amazon.co.uk
www.amazon.ca
www.amazon.fr
www.paypal.com
paypal.com
moneybookers.com
www.moneybookers.com
www.ebay.com
ebay.com
如果host文件包含以下字符:
www.symantec.com
将不修改host文件。
后门功能
蠕虫可以利用IRC控制后门,允许远程用户未经允许的进入被感染的机器。
蠕虫连接IRC服务器,并加入特定的信道,等到指令。蠕虫接受指令在被感染机器上执行以下操作:
§ 下载文件
§ 为远程控制者提供系统运行时间信息
§ 提供被感染机器的Windows 版本,RAM 和 CPU 信息
§ 降低 IE 安全设置并加载网页
§ 移动蠕虫
清除:
KILL安全胄甲InoculateIT v23.70.10;Vet 11.x/9339 版本可检测/清除此病毒。
kill版本:
© 2000 - 2025 Rising Corp. Ltd.