Descrizione Breve
Zotob.A è un clone del worm Mytob che si diffonde utilizzando una vulnerabilità del servizio Plug and Play di Windows (MS05-039).

Tool di Disinfezione

F-Secure ha rilasciato un tool in grado di rimuovere Zotob.A. Il tool di disinfezione e' disponibile al download ai seguenti link

http://www.f-secure.com/tools/f-bot.zip

ftp://ftp.f-secure.com/anti-virus/tools/f-bot.zip

Il tool in formato eseguibili è disponibile al seguente link:

http://www.f-secure.com/tools/f-bot.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-bot.exe

Istruzioni per la disinfezione sono disponibili al seguente link:

http://www.f-secure.com/tools/f-bot.txt

ftp://ftp.f-secure.com/anti-virus/tools/f-bot.txt

Descrizione Dettagliata
Il worm è un eseguibile compresso di tipo PE, di dimensioni pari a 22528 bytes

Installazione nel sistema:
Quando viene mandato in esecuzione, il worm crea una copia di se stesso nella cartella di sistema di windows utilizzando il nome "botzor.exe" e crea un mutex chiamato "B-O-T-Z-O-R" per assicurarsi che ci sia solo una copia in esecuzione

Poi aggiunge le seguenti chiavi al registro per assicurarsi l'entrata in esecuzione una volta che l'utente accede alla macchina o quando questa viene riavviata:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = "botzor.exe"

Il worm aggiunge anche la segunte chiave per disabilitare il servizio di condivisione:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = "4"

Ultilizzo della vulnerabilità Plug and Play.
Il worm esegue uno scan per cercare la vulnerabilità del servizio Plug and Play di Microsoft (MS05-039) attraverso la porta TCP/445.
Crea 300 thread che si connettono a indirizzi IP di classe B (255.255.0.0) casuali sulla rete del sistema infetto.
Prima verifica se la connessione alla porta 445 ha avuto successo, dopodiché prova a sfruttare la vulnerabiltà. Se l'attacco ha successo, una shell Dos (cmd.exe) viene messa in ascolto sulla porta 8888. Attraveso questa shell, il worm invia uno script ftp con le istruzioni per il computer remoto di scaricare ed eseguire il worm dal computer attaccante, tramite FTP. Il server FTP ascolta sulla porta 3333 su tutti i computer infetti con il proposito di infettare altre macchine. Il file scaricato viene salvato come "haha.exe"

Elenco delle porte usate per l'attacco
Porta 445: È la porta che il worm analizza in cerca della vulnerabiltà
Porta 3333: Porta infetta sul server FTP
Porta 8888: Porta della shell di comando aperta dall'esecuzione del codice

Per informazioni riguardanti la vulnerabilità controllare il seguente link:
http://www.microsoft.com/technet/security /Bulletin/MS05-039.mspx

Disconnessione e riconnessione dal canale IRC
Richiesta di informazioni di sistema
Download ed esecuzione di file
Rimozione del worm dal sistema
Manipolazione dei settaggi di sicurezza del sistema

Altri dettagli:
Zotob.A modifica il file hosts in modo tale da disabilitare alcuni siti. I seguenti nomi di host vengono re-diretti all'indirizzo IP dell'Host locale (127.0.0.1):

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
ebay.com
f-secure.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
moneybookers.com
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
paypal.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
updates.symantec.com
update.symantec.com
us.mcafee.com
viruslist.com
virustotal.com
www.amazon.com
www.avp.com
www.ca.com
www.ebay.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.moneybookers.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.paypal.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.virustotal.com

FSAV_Database_Version]
Version=2005-08-14_1

Dettagli tecnici: Jarkko Turkulainen; 14 Agosto, 2005;
Aggiornamento: Jarkko Turkulainen; 15 Agosto, 2005;

F-Secure Corporation