17/08/2005 - 14h44
Zotob.D e RBOT.CBQ Da Redação, com informações da Trend Micro
Nomes
Zotob.D e RBOT.CBQ
Tipo
Worm
Descrição e forma de disseminação
No dia 17 de agosto, a Trend Micro declarou alerta amarelo em razão da disseminação de dois novos vírus: Zotob.D. e RBOT.CBQ.
Diz texto enviado pela empresa:
"Chama atenção a nova variante do Zotob, que teve a primeira infecção registrada no Brasil, onde se espalha rapidamente, além dos Estados Unidos. Já o RBOT.CBQ se alastra também pela região da América do Norte e pelo Japão.
O vírus Zotob, registra uma velocidade impressionante de propagação, já que apenas dois dias depois de sua primeira detecção, chega à quarta variante, que age da mesma forma que as outras: se aproveita da vulnerabilidade Plug and Play do Windows para se propagar através das redes. Para mais informações sobre essa vulnerabilidade, acesse a página da Microsoft: Microsoft Security Bulletin MS05-039.
Essa variante gera endereços de IP como alvo, e então verifica se a porta 445 está aberta nas máquinas. Em caso positivo, ele tenta fazer uso dessa vulnerabilidade no computador de destino. Se a tentativa de ataque falhar ou se a porta 445 estiver fechada, ele tenta um outro endereço de IP como alvo. Em uma máquina atacada, esse worm inicia um servidor de FTP, e então abre um remote shell na porta 7778 e cria um script FTP através deste.
O Zotob.D também possui capacidades de backdoor, já que abre aleatoriamente portas e se conecta a um canal do programa IRC server, o que possibilita a um usuário remoto executar ações maliciosas na máquina infectada, incluíndo roubo de informações. Parte da capacidade deste vírus é recolher informações do sistema, como velocidade de CPU e tamanho de memória dos sistemas infectados. Além disso, como forma de anti-debugging, este worm recolhe endereços de web de RSS e os envia aleatoriamente como mensagens para os canais IRC aos quais está conectado. Ele faz isso para confundir ou enganar qualquer pessoa que esteja monitorando esse canal por comandos válidos.
Outra característica marcante do Zotob.D é que ele termina processos de memória da máquina infectada, que possam estar relacionados a possíveis spywares e malwares presentes no computador. Além disso, ele apaga arquivos, diretórios ou chaves de registros relacionados aos seguintes processos:
botzor.exe
CMESys.exe
csm.exe
CxtPls.exe
NHUpdater.exe
pnpsrv.exe
qttask.exe
realsched.exe
ViewMgr.exe
winpnp.exe
%Program%\AutoUpdate\AutoUpdate.exe
%Program%\CommonFiles\GMT\GMT.exe
%Program%\eZula\mmod.exe
180Solutions
Common Files\WinTools
HotBar
MyWebSearch
MyWay
Toolbar
botzor.exe
csm.exe
pnpsrv.exe
winpnp.exe
Já o RBOT.CBQ faz uma cópia de si mesmo na pasta Windows com o nome de WINTBP.EXE, e também se aproveita de uma vulnerabilidade do Microsoft Windows Plug and Play para se propagar através da rede. Este worm também se conecta a um IRC Server e a um canal IRC específico, em que envia a seguinte mensagem:
- {Random} :ER DL FH
- {Random} :ER DL IF
Depois disso, ele executa comandos na máquina contaminada, que servem para a rotina de propagação deste vírus. Assim como o Zotob.D, o RBOT.CBQ infecta os sistemas Windows 98, ME, NT, 2000, XP, Server 2003."
Incrível: NotebookVárias marcas a partir de 
Roteador WirelessInternet sem fio a partir de
WebCamDiversos modelos
ÍNDICE DE DEFINIÇÕES