提醒：Windows 2000（SP0-4）用户必看

病毒名称：Zotob.A

别名：Net-Worm.Win32.Mytob.cd

文件大小：22528

概要：

Zotob.A是Mytob的一个复制变种，通过Windows即插即用服务（MS05-039）漏洞进行传播。

详细描述：

该病毒是一个封装的PE可执行文件，22528字节长。

当执行之后，该病毒将自行拷贝到%SYSTEM%目录下，文件名为“botzor.exe”并且建立一个名为“B-O-T-Z-O-R”的互斥体，确保在同一时间只有一个病毒复制体被执行。

紧接着将会在注册表中加入以下信息，以确保自己当用户登陆或者系统启动的时候被执行：

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"WINDOWS SYSTEM" = "botzor.exe"

并且会加入以下的注册键值阻止共享访问服务：

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]

"Start" = "4"

透过即插即用服务弱点进行传播：

该病毒将通过TCP/445端口扫描探测Microsoft Windows系统中即插即用服务（MS05-039）弱点

其将建立300个线程关联到被感染系统的B类网络（255.255.0.0）随机IP地址中，首先其将测试445端口的连接，如果成功，将会尝试去利用次弱点。一旦袭击成功将会占用（cmd.exe）8888端口，透过该端口，该病毒将会发送一个ftp脚本，将会引导该远程计算机通过FTP下载并执行已经感染病毒的计算机上的病毒文件。FTP服务器将监听所有受感染计算机上的33333端口，目的是将病毒派发到其他的主机上，使其他计算机受到感染。下载的文件将以“haha.exe”文件存储在本地磁盘上。

以下是袭击所利用到的端口的详细情况：

Port 445 - 病毒将通过此端口利用PnP弱点扫描容易受感染的计算机

Port 33333 - 受感染系统的FTP服务端口

Port 8888 - 恶意代码开发的命令行（cmd.exe）端口

这主要和Windows 2000版本的umpnpmgr.dll有关，这也就意味着只有Windows 2000（SP0-4）会被感染。

弱点方面的细节信息请参考：http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

Bot功能：

该病毒通过预先确定的地址设法连接到IRC通道。如果攻击者知道该通道的密码，能够很容易的命令Bot执行以下的行为：

IRC通道断开/连接

请求系统信息

下载、执行文件

从系统中移除病毒

操作系统安全设置

其他细节：

Zotob.A将修改系统主机文件，使其不能访问几个特定的站点。主机将被重新定向为本地的IP地址（127.0.0.1）：

avp.com

ca.com

customer.symantec.com

dispatch.mcafee.com

download.mcafee.com

ebay.com

f-secure.com

kaspersky.com

kaspersky-labs.com

liveupdate.symantec.com

liveupdate.symantecliveupdate.com

mast.mcafee.com

mcafee.com

microsoft.com

moneybookers.com

my-etrust.com

nai.com

networkassociates.com

pandasoftware.com

paypal.com

rads.mcafee.com

secure.nai.com

securityresponse.symantec.com

sophos.com

symantec.com

trendmicro.com

updates.symantec.com

update.symantec.com

us.mcafee.com

viruslist.com

virustotal.com

www.amazon.com

www.avp.com

www.ca.com

www.ebay.com

www.f-secure.com

www.grisoft.com

www.kaspersky.com

www.mcafee.com

www.microsoft.com

www.moneybookers.com

www.my-etrust.com

www.nai.com

www.networkassociates.com

www.pandasoftware.com

www.paypal.com

www.sophos.com

www.symantec.com

www.trendmicro.com

www.virustotal.com

该病毒还将向主机文件中写入如下的内容：

Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3

MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!