A néhány nappal ezelőtt felbukkant Zotob féreg legújabb variánsa az utóbbi időszak egyik leggyorsabban terjedő kártékony programjának számít.
Az utóbbi napokban egyre több olyan vírus jelenik meg, amelyek a Microsoft Windows egyik sérülékenységét használják fel arra, hogy minél több számítógépet fertőzzenek meg. A Windows Plug and Play szolgáltatásában található hibát a Microsoft már kijavította, és a hibajavítást az augusztusi frissítései között ki is adta. A cég a sebezhetőségről az MS05-039-es biztonsági közleményében számolt be. Az új vírusok miatt e javítás telepítése az érintett rendszerekre egyre fontosabbá válik.
A Symantec szerint a Zotob féreg "E" nevű variánsa nem fertőzi meg a Windows 95/98/Me/NT4/XP operációs rendszereket. Sajnos azonban a féreg ezeket a Windows verziókat is fel tudja használni a terjedéséhez. Tehát leginkább a Microsoft hibajavítását nem tartalmazó, Windows 2000 operációs rendszert futtató számítógépek veszélyeztetettek.
A Zotob féreg a 445-ös TCP porton keresztül terjed, és igyekszik kihasználni a nem megfelelően védett megosztott könyvtárakat is. Ezért a Symantec azt tanácsolja, hogy a megosztások jelszóval védettek legyenek, vagy csak olvasható hálózati eléréssel rendelkezzenek. Emellett a Zotob féreg ellen a víruskereső szoftverek frissítésével, illetve Microsoft hibajavításának telepítésével lehet védekezni.
A Zotob.E további ismert neve: WORM_RBOT.CBQ [Trend Micro].
Amikor a Zotob.E féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy "wintbp.exe" nevű mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
2. Bemásolja magát a Windows System könyvtárába wintbp.exe néven.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
kulcsához hozzáadja a
"Wintbp.exe" = "wintbp.exe" értéket.
4. Felderíti a hálózati kapcsolatokat, és az elérhető IP címeket.
5. A 8080-as TCP porton keresztül kapcsolódik egy IRC szerverhez. Ezt követően vár a támadók parancsaira, akik az alábbi műveleteket végezhetik el:
- Fájlok letöltése és végrehajtása
- A féreg leállítása, és eltávolítása.
6. Kinyitja a 69-es UDP portot.
7. Véletlenszerűen generált IP címek és az MS05-039-es biztonsági közleményben ismertetett sérülékenység felhasználásával a 445-ös TCP porton keresztül megpróbál további számítógépeket megfertőzni. Amennyiben ez sikerül, akkor a távoli számítógépeken nyit egy hátsó kaput a 8594-es TCP porton. Ezen keresztül egy fájlt tölt fel a számítógépekre. A távoli számítógépek Windows könyvtárába létrehoz egy a[szám].exe nevű állományt is.
8. Naplózza azon számítógépek IP címét, amelyeket sikeresen megfertőzött.
Forrás : Biztonságportál