descripción
nombre: Win32/Bozori.A
aliases: Zotob.E, I-Worm.Bozori.a, I-Worm.Zotob.C, I-Worm/Mytob.WM, Net-Worm.Win32.Bozori.a, Net-Worm.Win32.Small.d, Trojan/Exploit.MS05-039, W32.Zotob.E, W32/Bozori.A, W32/Bozori.worm.a!CME-540, W32/IRCbot.KC.worm, W32/IRCbot.worm!MS05-039, W32/Malware, W32/Tpbot-A, W32/Zotob.E-net, Win32.HLLW.Stamin, Win32.MS05-039!exploit, Win32.Worm.Zotob.D, Win32/Bozori.A, Win32/MS05-039!exploit!Worm, Win32/Zotob.E!Worm, Win32:Zotob-E, Worm.Bozori.A, Worm.Rbot.CBQ, Worm.Zotob.E, Worm/Zotob.E, WORM_RBOT.CBQ
tipo: Gusano
fecha: 17/08/2005
tamaño: 10,366 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET
> INFORMACION
Gusano y troyano que se aprovecha de la vulnerabilidad "Plug and Play buffer overflow" (MS05-039).
> CARACTERISTICAS
Cuando se ejecuta, el troyano crea el siguiente archivo:
C:\Windows\System32\wintbp.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
wintbp.exe = c:\windows\system32\wintbp.exe
Intenta detectar conexiones de red activas y direcciones IP ruteables. Si no las encuentra, el gusano no se ejecutará correctamente.
Abre una puerta trasera por el puerto TCP 8080, y se conecta a una dirección IP específica.
El gusano también intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows.
Para ello busca sistemas vulnerables enviando paquetes SYN por el puerto TCP 445.
Esta vulnerabilidad solo puede ser explotada en equipos con Windows 2000 que no tengan el parche MS05-039 instalado.
Ciertas funcionalidades solo se activan cuando logra conectarse a un servidor IRC y recibe los comandos correspondientes de un atacante remoto, operando como un BOT de IRC.
Si el ataque tiene éxito, ejecuta un shell en el equipo remoto, descarga y ejecutar una copia de si mismo por FTP. Para ello, el gusano intentará utilizar el puerto TCP 8594.
> INSTRUCCIONES PARA ELIMINARLO
Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Bozori
Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:
1. Desactive la restauración automática en Windows XP/ME.
2. Descargue y ejecute cada parche antes de proceder con la limpieza, desde el siguiente enlace:
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
3. Reinicie en Modo a prueba de fallos.
4. Ejecute un antivirus actualizado y elimine los archivos infectados.
5. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
6. Elimine bajo la columna "Nombre", la entrada "wintbp.exe", en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
7. Cierre el editor del Registro del sistema.
8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
nombre: Win32/Bozori.A
aliases: Zotob.E, I-Worm.Bozori.a, I-Worm.Zotob.C, I-Worm/Mytob.WM, Net-Worm.Win32.Bozori.a, Net-Worm.Win32.Small.d, Trojan/Exploit.MS05-039, W32.Zotob.E, W32/Bozori.A, W32/Bozori.worm.a!CME-540, W32/IRCbot.KC.worm, W32/IRCbot.worm!MS05-039, W32/Malware, W32/Tpbot-A, W32/Zotob.E-net, Win32.HLLW.Stamin, Win32.MS05-039!exploit, Win32.Worm.Zotob.D, Win32/Bozori.A, Win32/MS05-039!exploit!Worm, Win32/Zotob.E!Worm, Win32:Zotob-E, Worm.Bozori.A, Worm.Rbot.CBQ, Worm.Zotob.E, Worm/Zotob.E, WORM_RBOT.CBQ
tipo: Gusano
fecha: 17/08/2005
tamaño: 10,366 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET
> INFORMACION
Gusano y troyano que se aprovecha de la vulnerabilidad "Plug and Play buffer overflow" (MS05-039).
> CARACTERISTICAS
Cuando se ejecuta, el troyano crea el siguiente archivo:
C:\Windows\System32\wintbp.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
wintbp.exe = c:\windows\system32\wintbp.exe
Intenta detectar conexiones de red activas y direcciones IP ruteables. Si no las encuentra, el gusano no se ejecutará correctamente.
Abre una puerta trasera por el puerto TCP 8080, y se conecta a una dirección IP específica.
El gusano también intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows.
Para ello busca sistemas vulnerables enviando paquetes SYN por el puerto TCP 445.
Esta vulnerabilidad solo puede ser explotada en equipos con Windows 2000 que no tengan el parche MS05-039 instalado.
Ciertas funcionalidades solo se activan cuando logra conectarse a un servidor IRC y recibe los comandos correspondientes de un atacante remoto, operando como un BOT de IRC.
Si el ataque tiene éxito, ejecuta un shell en el equipo remoto, descarga y ejecutar una copia de si mismo por FTP. Para ello, el gusano intentará utilizar el puerto TCP 8594.
> INSTRUCCIONES PARA ELIMINARLO
Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Bozori
Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:
1. Desactive la restauración automática en Windows XP/ME.
2. Descargue y ejecute cada parche antes de proceder con la limpieza, desde el siguiente enlace:
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
3. Reinicie en Modo a prueba de fallos.
4. Ejecute un antivirus actualizado y elimine los archivos infectados.
5. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
6. Elimine bajo la columna "Nombre", la entrada "wintbp.exe", en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
7. Cierre el editor del Registro del sistema.
8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
