关于Zotob:
用户电脑感染了该病毒之后,在某些情况下会出现系统频繁重启的现象。同时,该病毒会在用户电脑上开设后门,方便黑客对其进行远程控制。
一、病毒评估
1.病毒英文名:Worm.Zotob
2.病毒类型:蠕虫病毒
3.病毒危险等级:★★★☆
4.病毒传播途径:网络
5.病毒依赖系统:WIN 2000/XP/2003
二、病毒破坏
1.造成系统频繁重启
当病毒攻击失败的时候,会造成系统频繁重启。
2、给系统开设后门
3、修改系统文件,使用户的杀毒软件不能升级。
三、技术分析
一旦执行,病毒将执行以下操作:
1. 病毒启动后,会将自己复制到系统目录中,病毒文件名为“botzor.exe”。
2、在注册表中添加下列启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WINDOWS SYSTEM" = botzor.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"WINDOWS SYSTEM" = botzor.exe;
3、在感染的时候,病毒利用IP扫描的方式在网络中寻找具有漏洞的系统,发现后就会对系统进行攻击,连接系统的445端口,并植入系统中一个远程SHELL,此远程SHELL释放一个文件 2PAC.TXT,此文件中包含有一段FTP命令脚本,功能是利用FTP从远程将病毒文件下载到本地。
4、如果攻击失败,则造成系统重启。
5、修改系统的host文件,添加如下内容:
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
造成用户不能访问上述网站,使相关杀毒软件不能升级。
如何预防:
针对该病毒的防治,第一,用户应该及时打好MS05-039补丁,尤其是Win2000用户更应该及时弥补系统漏洞;第二,在个人防火墙上添加新规则,阻止TCP 端口 139 和 445;第三,上网的时候应该打开杀毒软件的即时监控功能,瑞星杀毒软件17.40.12版本可以彻底清除这两个病毒,请用户注意都及时升级好.
中毒后的表现图:
