1. /
  2. Security Response/
  3. W32.Zotob.E
  4. W32.Zotob.E

W32.Zotob.E

Nivel de riesgo3: Moderado

Detectado:
16 de Agosto de 2005
Actualizado:
13 de Febrero de 2007 12:42:00 PM
También conocido como:
CME-540, Win32/Zotob.E!Worm [Computer A, Bozori.A [F-Secure], Net-Worm.Win32.Bozori.a [Kaspe, W32/IRCbot.worm!MS05-039 [McAf, W32/Tpbot-A [Sophos], WORM_ZOTOB.E [Trend Micro], W32/Bozori.A [Norman]
Tipo:
Worm
Longitud de la infección:
10,366 bytes.
Sistemas afectados:
Windows 2000

W32.Zotob.E es un gusano que abre un back door y explota la vulnerabilidad Microsoft Windows Plug and Play Buffer Overflow (descrita en Microsoft Security Bulletin MS05-039) en el puerto TCP 445.

Nota:
  • Se han recibido reportes de que los equipos afectados por W32.Zotob.E se vuelven inestables durante el ataque del código. Esto puede dar como consecuencia, la finalización de los procesos services.exe provocando que los equipos se apaguen.
  • La versión 70816y de las definiciones de virus (versión extendida 8/16/2005 rev. 25) o posteriores detectan a este gusano.
  • Los usuarios con Norton Internet Security 2005 AntiSpyware Edition y Symantec AntiVirus Coporate Edition 10.x puden utilizar la función Eliminador de riesgos para eliminar la infección.
  • Aunque los equipos con sistemas operativos Windows 95/98/Me/NT4/XP no pueden infectarse remotamente, es posible que se infecten si W32.Zotob.E se ejecuta localmente (aunque esta situación no es común). Equipos con Windows 2000 que sean vulnerables pueden ser infectados por equipos comprometidos.

Fechas de protección antivirus

  • Versión inicial de Rapid Release16 de Agosto de 2005
  • Última versión de Rapid Release28 de Septiembre de 2010 revisión054
  • Versión inicial de Daily Certified16 de Agosto de 2005
  • Última versión de Daily Certified28 de Septiembre de 2010 revisión036
  • Fecha de lanzamiento inicial de Weekly Certified16 de Agosto de 2005
Haga clic aquí para obtener una descripción detallada de las definiciones de virus de Rapid Release y Daily Certified.

Evaluación de las amenazas

Invasión

  • Nivel de invasión:Medium
  • Número de infecciones:0 - 49
  • Número de sitios:More than 10
  • Distribución geográfica:Low
  • Contención de la amenaza:Easy
  • Eliminación:Moderate

Daño

  • Nivel del daño:Medium
  • Carga útil:Intenta abrir un back door
  • Reduce el rendimiento:Intenta detectar conexiones de red y las direcciones IP que puedan ser dirigidas.

Distribución

  • Nivel de distribución:High
  • Puertos:Puertos TCP 8594, 8080 y 445; puerto UDP 69
  • Objetivo de la infección:Su objetivo son equipos en los que se pueda eplotar la vulnerabilidad Microsoft Windows Plug and Play Service (MS05-039).
Artículo de:Maryl Magee