это интернет-червя, используя ошибку Windows MS05-039 (Plug And Play переполнения буфера, http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx), чтобы проникнуть в компьютер. Этот червь не распространяется по электронной почте.

Червь создает 300 тем, которые подключаются к случайных адресов. Первый она тестирует подключение к порту 445 и в случае успеха, он пытается использовать уязвимость. Если атака прошла успешно, оболочки (cmd.exe) запускается на порту 8888. Через оболочку порта, червь рассылает FTP-скрипт, который указывает на удаленном компьютере, чтобы загрузить и выполнить червя с атакующего компьютера с помощью FTP.

Файл с именем "botzor.exe" создано в системной папке (один из C: \ Windows \ System, C: \ Windows \ System32, C: \ WinNT \ System32 в зависимости от версии Windows) на зараженном компьютере. Модифицируются несколько ключей реестра. Червь активизируется реестра пункт "WINDOWS SYSTEM" со значением "botzor.exe" в ключи:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

"Служба Shared Access" неактивно, поставив значение "4" на "Пуск" пункт из ключевых:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess

Эта служба является обязательной для функции брандмауэра Windows.

Червь запускает FTP сервер на порту 33333, а также открывает подключение к IRC серверу diabl0.turkcoders.net. Эта связь может по IRC используется для удаленного управления зараженным компьютером.

Win32: Zotob-Б, как Zotob, но назвала червя Файл "csm.exe", и назвал реестра пункт "CSM Win Updates".

Win32: Zobot С-файл называется "per.exe". Эта версия также распространяется по электронной почте, в дополнение к инфекции эксплуатировать канал. Он собирает почты на зараженном компьютере, и сочетает в себе новые адреса из найденных доменов и список имен, который является частью червя. Инфицированы почта имеет одно из следующих предметов "Официально ..."," Hello "," Внимание! "," ** WARNING ** "," Внимание ". Тело письма может содержать один из текстов на следующие: "Эй!", "Looooool", "ОК Вот оно!", "Это ваше фото !!?"," Мы нашли фотографию вы дюйма .. ". Зараженное вложение может иметь одно расширение. BAT,. CMD,. EXE,. PIF или. SCR и одно из названий "картинку", "loool", "фото", "фотография", "образец", "Веб-камера фото "," фотография ".

Win32: Zotob-D использует название "windrg32.exe". Червь файл сохраняется в папку "wbev" системы папку, например C: \ WINDOWS \ System32 \ Wbev \ windrg32.exe. Он соединяется с несколькими IRC серверами. Червь пытается положить конец процессы с именами "botzor.exe", "cmesys.exe", "csm.exe", "cxtpls.exe", "ebatesmoemoneymaker.exe", "nhupdater.exe", "pnpsrv.exe" ", qttask.exe", "realsched.exe", "viewmgr.exe", "winpnp.exe". Она добавляет пункт "WinDrg32" со значением "% System% \ wbev \ windrg32.exe" на ключевые HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Он удаляет несколько пунктов различные adwares и более старые версии Zotob из этого ключа и ключа HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Оно также удаляет файлы и папки из этих adwares.

Win32: Zotob-E использует имя файла "wintbp.exe". Пункт в HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run ключ назван "wintbp".

Avast! с VPS файла от года или после 16 августа 2005 года является в состоянии обнаружить этот червь.