A néhány nappal ezelõtt felbukkant Zotob féreg legújabb variánsa az utóbbi idõszak egyik leggyorsabban terjedõ kártékony programjának számít.

Az utóbbi napokban egyre több olyan vírus jelenik meg, amelyek a Microsoft Windows egyik sérülékenységét használják fel arra, hogy minél több számítógépet fertõzzenek meg. A Windows Plug and Play szolgáltatásában található hibát a Microsoft már kijavította, és a hibajavítást az augusztusi frissítései között ki is adta. A cég a sebezhetõségrõl az MS05-039-es biztonsági közleményében számolt be. Az új vírusok miatt e javítás telepítése az érintett rendszerekre egyre fontosabbá válik.

A Symantec szerint a Zotob féreg "E" nevû variánsa nem fertõzi meg a Windows 95/98/Me/NT4/XP operációs rendszereket. Sajnos azonban a féreg ezeket a Windows verziókat is fel tudja használni a terjedéséhez. Tehát leginkább a Microsoft hibajavítását nem tartalmazó, Windows 2000 operációs rendszert futtató számítógépek veszélyeztetettek.

A Zotob féreg a 445-ös TCP porton keresztül terjed, és igyekszik kihasználni a nem megfelelõen védett megosztott könyvtárakat is. Ezért a Symantec azt tanácsolja, hogy a megosztások jelszóval védettek legyenek, vagy csak olvasható hálózati eléréssel rendelkezzenek. Emellett a Zotob féreg ellen a víruskeresõ szoftverek frissítésével, illetve Microsoft hibajavításának telepítésével lehet védekezni.

A Zotob.E további ismert neve: WORM_RBOT.CBQ [Trend Micro].

Amikor a Zotob.E féreg elindul, akkor az alábbi mûveleteket hajtja végre:

1. Létrehoz egy "wintbp.exe" nevû mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.

2. Bemásolja magát a Windows System könyvtárába wintbp.exe néven.

3. A regisztrációs adatbázis HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run kulcsához hozzáadja a "Wintbp.exe" = "wintbp.exe" értéket.

4. Felderíti a hálózati kapcsolatokat, és az elérhetõ IP címeket.

5. A 8080-as TCP porton keresztül kapcsolódik egy IRC szerverhez. Ezt követõen vár a támadók parancsaira, akik az alábbi mûveleteket végezhetik el:
- Fájlok letöltése és végrehajtása
- A féreg leállítása, és eltávolítása.

6. Kinyitja a 69-es UDP portot.

7. Véletlenszerûen generált IP címek és az MS05-039-es biztonsági közleményben ismertetett sérülékenység felhasználásával a 445-ös TCP porton keresztül megpróbál további számítógépeket megfertõzni. Amennyiben ez sikerül, akkor a távoli számítógépeken nyit egy hátsó kaput a 8594-es TCP porton. Ezen keresztül egy fájlt tölt fel a számítógépekre. A távoli számítógépek Windows könyvtárába létrehoz egy a[szám].exe nevû állományt is.

8. Naplózza azon számítógépek IP címét, amelyeket sikeresen megfertõzött.