W32.Zotob.E

1. 创建互斥体 "wintbp"以便一次仅运行该蠕虫的一个副本。
   
   
2. 将自身复制为 %System%\wintbp.exe。
   
   注意： %System% 是一个变量，它表示 System 文件夹。默认情况下，此文件夹为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、或 C:\Windows\System32 (Windows XP)。
   
   
3. 将值：
   
   "Wintbp" = "%System%\wintbp.exe"
   
   添加到注册表子项：
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   这样，此蠕虫便可在 Windows 启动时运行。
   
   
4. 尝试检测网络链接和可路由的 IP 地址。如果确定计算机没有进行网络连接或 IP 地址不可路由，此蠕虫可能无法正确运行。
   
   
5. 通过尝试连接到以下 IP 地址打开后门：
   
   70.20.27.115
   
   
6. 打开多个 TCP 端口。
   
   
7. 根据受感染的计算机的 IP 地址，发送软件包至随机产生的 IP 地址。该 IP 地址使用受感染计算机的前两个八位字节，并随机产生第三、四个八位字节的值。
   
   
8. 尝试利用以下远程漏洞进行传播：
   
   Microsoft Windows 即插即用缓冲区溢出漏洞（Microsoft Security Bulletin MS05-039 中描述了该漏洞），使用 TCP 端口 445。
   
   
9. 如果成功，则在目标计算机上创建名为 %Temp%\[NUMBER].bat 的文件。该文件包含 TFTP 脚本，该脚本会从受感染的计算机上下载该蠕虫的副本。将该文件保存为 [NUMBER].exe，然后执行该文件。该蠕虫会记录其所加入的 IRC 信道中已成功利用的 IP 地址。
   
   注意： [NUMBER] 代表 0 至 9 中的多个随机数字

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

• 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。 这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。
• 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。
• 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。
• 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
• 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。
• 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
• 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。