Worm-Backdoor.W32/Zotob.C@MM

Alias:
W32.Zotob.C@mm (Symantec), WORM_ZOTOB.C (Trend Micro), Zotob.C (F-Secure), W32/Zotob-C (Sophos), Win32.Zotob.C (Computer Associates)

Descripción:
Nueva versión de la saga de los 'Zotob', que añade a las características de sus predecesores, la capacidad para propagarse a través del envío masivo de correo electrónico.

Por tanto, se propaga aprovechando una vulnerabilidad en el servicio Plug and Play de Windows y por correo electrónico.

Permite además el acceso no autorizado al sistema afectado a través de IRC por el puerto TCP 8080.

Impide el acceso a numerosos sitios de seguridad, modificando el fichero HOSTS del equipo.

Puede ejecutarse en equipos con Windows 95/98/Me/NT4, pero no puede infectarlos. A pesar de ello, puede utilizarlos para propagarse a otras máquinas a las que esten conectadas. 

Detalles:

La descripción de esta nueva variante, es muy similar a la de sus predecesores, diferenciándose en algunos valores que se señalan a continuación.

Por tanto, es similar a Worm-Backdoor.W32/Zotob@VULN con las siguientes diferencias:

• Tamaño del gusano: 33.792 bytes. (comprimido ocupa 31.744 bytes).
• En punto 2: El fichero creado tiene el nombre %System%\per.exe.
• En punto 3: El valor añadido a las claves del registro es "WINDOWS SYSTEM" = "per.exe".
• En punto 5: El dominio al que se conecta es 'diabl0.turkcoders.net' (igual que el de la versión .A). 

La diferencia más destacable con las versiones anteriores, es la capacidad que tiene de propagarse mediante el envío masivo de correo electrónico, además de por la vulnerabilidad en el 'Plug and Play' señalada de los equipos con Windows NT/2000/XP y Server 2003.

Worm-Backdoor.W32/Zotob@MM+VULN captura las direcciones electrónicas a las que va a enviarse como anexo por varios métodos:

1. De la libreta de contactos de Windows (WAB), chequeando la siguiente clave del registro de Windows:
   
   Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WAB\WAB4\Wab File Name 
   
   
2. De los siguientes directorios:
   • %Windir%\Temporary Internet Files
   • %Userprofile%\Local Settings\Temporary Internet Files
   • %System% 
     
     Notas:
     * %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
     Por defecto es C:\Documents and Settings\[- usuario actual -] (Windows NT/2000/XP).
     * %Windir% es una variable que hace referencia al directorio de instalación de Windows.
     Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
     * %System% es una variable que hace referencia al directorio del sistema de Windows.
     Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP). 
     
     
3. De ficheros con alguna de las siguientes extensiones:
   • adbh
   • aspd
   • cgil
   • dbxn
   • htmb
   • html
   • jspl
   • phpq
   • pl
   • shtl
   • tbbg
   • txt
   • wab
   • xmls 

Utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviar los mensajes, lo cual le hace independiente del servidor de correo que utilice la máquina infectada.

Para generar las direcciones de los receptores del mensaje infeccioso, añade los nombres de los dominios obtenidos anteriormente, los siguientes nombres de usuario:

• josh
• alex
• michael
• james
• mike
• kevin
• david
• george
• sam
• andrew
• jose
• leo
• maria
• jim
• brian
• serg
• mary
• ray
• tom
• peter
• robert
• bob
• jane
• joe
• dan
• dave
• matt
• steve
• smith
• stan
• bill
• bob
• jack
• fred
• ted
• paul
• brent
• sales
• anna
• brenda
• claudia
• debby
• helen
• jerry
• jimmy
• julie
• linda
• michael
• frank
• adam
• barbara
• erik
• contact
• sandra 

Evita enviarse a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:

• abuse
• security
• admin
• support
• contact
• webmaster
• info
• samples
• postmaster
• webmaster
• noone
• nobody
• nothing
• anyone
• someone
• your
• you
• me
• bugs
• rating
• site
• contact
• soft
• no
• somebody
• privacy
• service
• help
• not
• submit
• feste
• ca
• gold-certs
• the.bat
• page 

También intenta evitar enviarse a aquellas direcciones que tengan alguna de las siguientes cadenas de texto formando parte del dominio de la dirección:

• syma
• icrosof
• msn.
• hotmail
• panda
• sopho
• borlan
• inpris
• example
• mydomai
• nodomai
• ruslis
• .gov
• gov.
• mil
• foo.
• unix
• math
• bsd
• mit.e
• gnu
• fsf.
• ibm.com
• google
• kernel
• linux
• fido
• usenet
• iana
• ietf
• rfc-ed
• sendmail
• arin.
• ripe.
• isi.e
• isc.o
• secur
• acketst
• pgp
• tanford.e
• utgers.ed
• mozilla
• icrosoft
• support
• ntivi
• unix
• bsd
• linux
• listserv
• certific
• google
• accoun 

El mensaje enviado tiene las siguientes características:

Asunto: alguno de los siguientes

• Warning!!
• **Warning**
• Hello
• Confirmed...
• Important! 

Cuerpo del mensaje: alguno de los siguientes

• looooool
• We found a photo of you in ...
• That's your photo!!?
• hey!!
• 0K here is it! 

Fichero Anexo: alguno de los siguientes

• photo
• your_photo
• image
• picture
• sample
• loool
• webcam_photo 

seguido de alguna de las siguientes extensiones

• pif
• scr
• exe
• cmd
• bat 

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.

   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
   
   

3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
   
   Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de las siguientes claves del registro de Windows, el valor indicado:
   
   Claves: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
   Valor: "WINDOWS SYSTEM" = "per.exe"
   
   Para habilitar nuevamente el acceso compartido en Windows 2000/XP, restaure el valor indicado en la siguiente clave del registro de Windows:
   
   Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
   Valor: "Start" = "3" (valor por defecto)
   
5. Restaure el fichero 'HOSTS' que ha sido modificado por acción del gusano. Suele ubicarse en %System%\drivers\etc\hosts.
   
   Para ello, utilice una copia de seguridad de dicho fichero, o bien, elimine las siguientes lineas de su contenido, abriéndolo con algún editor, como por ejemplo Notepad:
   
   * .... Made By .... Greetz to good friend ..... Based On ....
   * MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
   * 127.0.0.1 www.symantec.com
   * 127.0.0.1 securityresponse.symantec.com
   * 127.0.0.1 symantec.com
   * 127.0.0.1 www.sophos.com
   * 127.0.0.1 sophos.com
   * 127.0.0.1 www.mcafee.com
   * 127.0.0.1 mcafee.com
   * 127.0.0.1 liveupdate.symantecliveupdate.com
   * 127.0.0.1 www.viruslist.com
   * 127.0.0.1 viruslist.com
   * 127.0.0.1 viruslist.com
   * 127.0.0.1 f-secure.com
   * 127.0.0.1 www.f-secure.com
   * 127.0.0.1 kaspersky.com
   * 127.0.0.1 kaspersky-labs.com
   * 127.0.0.1 www.avp.com
   * 127.0.0.1 www.kaspersky.com
   * 127.0.0.1 avp.com
   * 127.0.0.1 www.networkassociates.com
   * 127.0.0.1 networkassociates.com
   * 127.0.0.1 www.ca.com
   * 127.0.0.1 ca.com
   * 127.0.0.1 mast.mcafee.com
   * 127.0.0.1 my-etrust.com
   * 127.0.0.1 www.my-etrust.com
   * 127.0.0.1 download.mcafee.com
   * 127.0.0.1 dispatch.mcafee.com
   * 127.0.0.1 secure.nai.com
   * 127.0.0.1 nai.com
   * 127.0.0.1 www.nai.com
   * 127.0.0.1 update.symantec.com
   * 127.0.0.1 updates.symantec.com
   * 127.0.0.1 us.mcafee.com
   * 127.0.0.1 liveupdate.symantec.com
   * 127.0.0.1 customer.symantec.com
   * 127.0.0.1 rads.mcafee.com
   * 127.0.0.1 trendmicro.com
   * 127.0.0.1 pandasoftware.com
   * 127.0.0.1 www.pandasoftware.com
   * 127.0.0.1 www.trendmicro.com
   * 127.0.0.1 www.grisoft.com
   * 127.0.0.1 www.microsoft.com
   * 127.0.0.1 microsoft.com
   * 127.0.0.1 www.virustotal.com
   * 127.0.0.1 virustotal.com
   * 127.0.0.1 www.amazon.com
   * 127.0.0.1 www.amazon.co.uk
   * 127.0.0.1 www.amazon.ca
   * 127.0.0.1 www.amazon.fr
   * 127.0.0.1 www.paypal.com
   * 127.0.0.1 paypal.com
   * 127.0.0.1 moneybookers.com
   * 127.0.0.1 www.moneybookers.com
   * 127.0.0.1 www.ebay.com
   * 127.0.0.1 ebay.com 
   
   
6. Instale el parche que repara la vulenrabilidad en le servcio 'Plug and Play' de Windows aprovechada por el gusano para propagarse.
   Más información y acceso al parche que repara la vulnerabilidad en el Boletín de Seguridad de Microsoft MS05-039.
   
   
7. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

También puede utilizar para la reparación de los daños producidos por acción de Zotob, las siguientes herramientas específicas ofrecidas por algunos fabricantes de antivirus:

• Panda Software - pulsar sobre Zotob.-versión- y registrarse para la descarga (si no lo ha hecho antes).
• Symantec - descargar el fichero FixZotob.exe.
• McAfee - descargar el fichero Stinger.exe.
• Nod32 - descargar la herramienta de Zotob.A-C (ZTBCLEAN.ZIP).
• Trend Micro - descargar el fichero sysclean.com y seguir los pasos indicados.

Más Información sobre este virus en:

• Trend Micro
• Symantec

Fuente: red.es