• Tweet

El UNAM-CERT ha estado recibiendo reportes de una nueva variante del gusano Zotob conocida como W32.Zotob.E [Symantec] y WORM_RBOT.CBQ [Trend Micro] que afecta los sistemas Windows 2000. Este gusano toma ventaja de una vulnerabilidad de buffer overflow en el Plug and Play de Microsoft Windows y que está descrita en el Boletín de Seguridad de Microsoft MS05-039.

Tomando ventaja de la vulnerabilidad antes mencionada el gusano intenta propagarse a través de las redes. El gusano crea múltiples procesos, cada uno capaz de generar un conjunto de direcciones aleatorias a las que trata de infectar. Cada uno de los procesos verifica si el puerto 445 TCP está abierto en la IP escaneada. En el caso de que así sea, el gusano intenta explotar el sistema.

Dentro de las características de éste gusano y sus antecesores es que puede ejecutarse en sistemas Windows 95/98/Me/NT4 pero no puede infectarlos, es decir, estos sistemas son utilizados como una plataforma de ataque para tratar de infectar otros sistemas vulnerables.

Si el gusano falla al tratar de infectar las direcciones IP generadas aleatoriamente, o si el puerto 445 está cerrado, genera otras direcciones IP para tratar de infectarlas.

El gusano abre un shell remoto en el puerto 7778 e intenta abrir un servicio TFTP y después descarga y ejecuta un archivo en el sistema vulnerable. Después de ejecutar el archivo descargado y realizar su rutina maliciosas, el gusano crea un script para eliminar el archivo descargado.

La variante E de zotob crea un mutex wintbp.exe para asegurar que solo una copia del mismo se ejecute en la memoria del sistema. Se copia como un ejecutable en el directorio de sistema como %System%wintbp.exe, el cual varia dependiendo del sistema operativo [C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), or C:WindowsSystem32 (Windows XP)].

El gusano agrega el valor de "Wintbp" = "wintbp.exe" a la llave del registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun para permitir que el gusano se ejecute cuando el sistema inicie.

El gusano también intenta conectarse al servidor de IRC con dirección 72.20.27.115, si esta activo, se une al canal #tbp y envía los mensajes {Random} :ER DL FH y {Random} :ER DL IF al canal.