Navigation

RSS

>>Articolo<<

News | W32.Zotob worm

Categoria: Virus alert
0 Commenti Leggi i commentiSegnala Segnala la pagina Stampa Stampa la pagina
W32.Zotob "worm" 17 Agosto 2005
Scritto da Marco Profilo autore

Zotob è il nome del worm che sfruttando la vulnerabilità presente nell'ambito del servizio Plug and Play, vulnerabilità corretta col rilascio della patch KB899588, si sta diffondendo con diverse varianti dello stesso. La medesima Microsoft ha provveduto utili informazioni nel suo security advisory, per rilevare l'eventuale presenza del worm, incoraggiando ovviamente a installare senza indugio la patch correttiva per impedirne l'attecchimento.

L'allarmismo suscitato dal worm è più che giustificato dato la rapidità con la quale mutando, si sta diffondendo e danneggiando sistemi Windows 2000 privi della patch e di una adeguata protezione come firewall ecc.. Ma anche gli altri sistemi Windows benché non vengano danneggiati dal worm, possono diventare tuttavia dei replicanti dello stesso e contribuire alla sua diffusione.

In pochi giorni, infatti, dalla sua prima segnalazione sono avvenute ben tre mutazioni del worm identificato una volta installatosi, nella cartella di sistema come: Zotob.A "Cartella di Sistema"/botzor.exe - Zotob.B "Cartella di Sistema"/cms.exe - Zotob.C "Cartella di Sistema"/per.exe ecc. Ulteriori informazioni ca. varianti con relative differenze ad ogni mutazione, sono disponibili qui...

In sintesi..

Appena eseguitosi, crea un mutex B-O-T-Z-O-R che gli garantisce l'esecuzione d'uno solo di questi, mentre l'aggiunta di alcune chiavi nel registro provvedono alla disattivazione del servizio shared access.

- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices SharedAccess

Per l'esecuzione del worm a ogni avvio del sistema

- HKLMSoftwareMicrosoftWindowsCurrentVersionRun
- HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Sistema di diffusione...

Come detto, il worm per diffondersi sfrutta la vulnerabilità presente in Plug and Play, mediante scan della porta TCP 445. In caso di successo (presenza della vulnerabilità e assenza di firewall), apre la porta TCP 8888 per scaricare e successivamente eseguire il codice malevolo grazie ad un ftp script.

Il file scaricato è haha.exe. In seguito, il server FTP resta in ascolto sulla porta TCP 33333.

In più, tenta di connettersi a un canale IRC [http://]diabl0.turkcoders.net/[RIMOSSO] porta TCP 8080, che permetterà a un malintenzionato, di compiere qualsiasi operazione sul sistema interessato.

Ulteriori modifiche, vengono effettuate sul file HOSTS, per impedire l'accesso ad alcuni siti web di sicurezza ecc..

È di estrema importanza dunque, applicare sempre tutte le patch, e badare di mantenere aggiornati ed efficienti antivirus e firewall!
Visite: 1205 | Stampa: 222
Aggiungi un segnalibro a questa pagina
Commenta

Elenco