極速波

傳播方式：網絡

危害程度：★★★

2005年8月15日，江民反病毒中心截獲一個利用微軟“即插即用服務代碼執行漏洞”（MS05-039）的蠕蟲病毒I-Worm/Zotob。

病毒具體技術特徵如下：

1. 病毒運行後，將創建下列文件：

%SystemDir%\botzor.exe, 22528字節

2. 在註冊表中添加下列啓動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WINDOWS SYSTEM" = botzor.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"WINDOWS SYSTEM" = botzor.exe

這樣，在Windows啓動時，病毒就可以自動執行。

3. 通過TCP端口8080連接IRC服務器，接受並執行黑客命令。可導致被感染計算機被黑客完全控制。

4. 在TCP端口33333開啓FTP服務，提供病毒文件下載功能。利用微軟即插即用服務遠程代碼執行漏洞（MS05-039）進行傳播。如果漏洞利用代碼成功運行，將導致遠程目標計算機從當前被感染計算機的FTP服務上下載病毒程序。如果漏洞代碼沒有成功運行，未打補丁的遠程計算機可能會出現services.exe進程崩潰的現象。

5. 修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量國外反病毒和安全廠商的網址。並有下列文本：

MSG to avs: the first av who detect this worm will be the first killed in the

next 24hours!!!