Worm.Zotob.E

病毒類型：蠕蟲

影響系統：Win 2000/NT

1.建立互斥變數"wintbp.exe", 使病毒只有一個在運行.

2.把病毒本身拷貝到:

%System%\wintbp.exe

3.添加起始項,使病毒開機運行:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Wintbp" = "wintbp.exe"

4.嘗試連結網路來判斷機器的網路是否連通和路由能力;

5.嘗試通過8080連線埠開啟後門和72.20.27.115建立連結;

6.開啟多個TCP連線埠;

7.產生隨機IP位址,並且嘗試利用Plug and Play(MS05-039漏洞)對TCP445連線埠進行緩衝區溢出攻擊.

8.在目標機器上嘗試建立一個下載蠕蟲地址的TFTP腳本檔案,下載的蠕蟲病毒檔案名稱為%Temp%\[NUMBER].bat ,並且會運行該病毒,該病毒會記錄下已經成功進行溢出機器IP位址,並且把該地址加到IRC聊天室頻道中.