publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Zotob.B

Virus Zotob.B

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad muy baja Propagación Propagación muy baja Daño Daño bajo
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Zotob.B realiza las siguientes acciones:

  • Se conecta a un servidor IRC y espera órdenes de control remoto que llevar a cabo en el ordenador afectado.
  • Evita que el usuario pueda acceder a los siguientes sitios, que mayoritariamente pertenecen a compañías antivirus:

    avp.com
    ca.com
    customer.symantec.com
    dispatch.mcafee.com
    download.mcafee.com
    ebay.com
    f-secure.com
    kaspersky.com
    kaspersky-labs.com
    liveupdate.symantec.com
    liveupdate.symantecliveupdate.com
    mast.mcafee.com
    mcafee.com
    microsoft.com
    moneybookers.com
    my-etrust.com
    nai.com
    networkassociates.com
    pandasoftware.com
    paypal.com
    rads.mcafee.com
    secure.nai.com
    securityresponse.symantec.com
    sophos.com
    symantec.com
    trendmicro.com
    update.symantec.com
    updates.symantec.com
    us.mcafee.com
    viruslist.com
    viruslist.com
    virustotal.com
    www.amazon.ca
    www.amazon.co.uk
    www.amazon.com
    www.amazon.fr
    www.avp.com
    www.ca.com
    www.ebay.com
    www.f-secure.com
    www.grisoft.com
    www.kaspersky.com
    www.mcafee.com
    www.microsoft.com
    www.moneybookers.com
    www.my-etrust.com
    www.nai.com
    www.networkassociates.com
    www.pandasoftware.com
    www.paypal.com
    www.sophos.com
    www.symantec.com
    www.trendmicro.com
    www.viruslist.com
    www.virustotal.com

Metodo de infección:

Zotob.B crea el archivo CSM.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Zotob.B modifica el archivo HOSTS. Mediante dicha modificación, Zotob.B evita que el usuario pueda acceder a páginas web, que en su mayoría pertenecen a determinadas empresas antivirus.

Zotob.B crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    csm Win Updates = csm.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
    csm Win Updates = csm.exe
    Mediante esta entrada, Zotob.B consigue ejecutarse cada vez que Windows se inicia.

Metodo de propagación:

Zotob.B se propaga de Internet. Para ello, realiza el siguiente proceso:

  • Genera direcciones IP.
  • Intenta acceder a dichas direcciones IP a través del puerto TCP 445.
  • Si lo consigue, comprueba si el ordenador remoto presenta la vulnerabilidad Plug and Play. Esta vulnerabilidad es crítica en los sistemas operativos Windows 2003/XP/2000 que no han sido convenientemente actualizados.
  • En caso afirmativo, Zotob.B descargará y ejecutará una copia de sí mismo en el ordenador remoto. Para ello, instala un servidor FTP en el ordenador afectado y se transfiere al sistema remoto a través del puerto TCP 33333.

Otros detalles:

Zotob.B está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 15386 Bytes, y está comprimido mediante Pe_Patch.

Zotob.B crea un mutex llamado B-O-T-Z-O-R, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork