23-08-05 12:23
Analiza Zotob crva
piše ACO DMITROVIĆ
Dugo je vremena proteklo od kada su se svjetski mediji bavili Internetskim crvima. No posljednjih nekoliko dana mediji poput CNN-a upozoravaju na pošast koja je u stanju preuzeti naša računala.
Istraživači u međuvremenu neprestano otkrivaju nove inačice crva Zotoba, tako da ih zasada ima sedam, pa se spominju verzije od Zotob.A do Zotob.G. Kako to već biva, različiti proizvođači protuvirusnog softvera dodjeljuju im i različita imena.
Evo trenutno dostupnih informacija o dosad otkrivenim inačicama:
Zotob.A
Izvršni program: botzor.exe, veličine 22.528 bajtova.
Koristi portove: 445, 8080, 33333
Aliasi: Zotob.A [F-Secure], W32/Zotob.worm [McAfee], W32/Zotob-A [Sophos], WORM_ZOTOB.A [Trend]
Podiže FTP server na portu 33333, snimi datoteke 2pac.txt i haha.exe u sistemsku mapu, upiše se u run i run services stavke u registru. Izmijeni hosts datoteku kako bi spriječio dogradnju antivirusnog i drugog softvera.
Zotob.B
Izvršni program csm.exe, veličine 27.648 bajtova
Koristi portove: TCP 445, 8080, 33333
Aliasi: Zotob.B [F-Secure],W32/Zotob.worm.b [McAfee],W32/Zotob-B[Sophos], WORM_ZOTOB.B [Trend Micro]
Pokreće FTP server na portu 33333, snimi datoteke 2pac.txt i haha.exe u sistemsku mapu, upiše se u run i run services stavke u registru. Izmijeni hosts datoteku kako bi spriječio dogradnju protuvirusnog i drugog sigurnosnog softvera.
Zotob.C
Izvršni program per.exe, dužine 41.984 bajtova
Koristi portove: 445, 8080, 33333
Koristi zadanu listu primatelja, dodajući imena domena koje prikupi na zaraženom računalu. Koristi vlastiti SMTP kako bi slao e-mail poruke u ogromnim količinama. Podiže FTP servera na portu 33333, upiše se u run i run services stavke u registru. Izmijeni hosts datoteku kako bi spriječio dogradnju antivirusnog i drugog softvera.
Zotob.D
Izvršni program windrg32.exe, dužine 51.326 bajtova
Koristi portove: TCP 6667, 1117, 445
Pokreće FTP server na portu 11173, zaustavlja procese, unosi izmjene u registry, gdje briše razne stavke, briše datoteke iz sistemske i programske mape, upiše se u run i run services stavke u registru. Izmijeni hosts datoteku kako bi spriječio dogradnju antivirusnog i drugog sigurnosnog softvera.
Zotob.E
Izvršni program wintbp.exe, dužine 10.366 bajtova.
Koristi portove: TCP 8594, 8080, 445, UDP - 69
Aliasi: WORM_RBOT.CBQ [Trend Micro]
Pokreće TFTP server na portu UDP 69, spaja se na IRC server na adresi 72.20.27.115 na TCP portu 8080 odakle dobiva upute za dogradnju, zatim se upiše u run stavku registra.
Zotob.F
Izvršni program wintbpx.exe, dužine 10.878 bajtova.
Koristi port: TCP 445
Otvara više TCP portova. Spaja se na IRC server na adresi 72.20.41.139 i čeka upute za dogradnju, upiše se u run stavku registra, napravi datoteku %Temp%\[NUMBER] koja sadrži TFTP skriptu za download dodatnih datoteka.
Zotob.G
Izvršni program windrg32.exe, dužine 73.728 bajtova.
Koristi portove: TCP 445, 6667, 1171
Aliasi: W32.Drudebot.A
Pokušava se spojiti na IRC server na portu 6667, pokreće TFTP server na portu 1171, nastoji zaustaviti određene procese. Unosi izmjene u registar, gdje briše određene stavke. Briše datoteke iz sistemske i programske mape, upiše se u run i run services stavke u registru. Izmijeni hosts datoteku kako bi spriječio dogradnju antivirusnog i drugog sigurnosnog softvera. Napravi datoteku %Temp%\[NUMBER] koja sadrži TFTP skriptu za download dodatnih datoteka.
Symantec je objavio alat koji uklanja sve verzije Zotoba: http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.removal.tool.html
|