Worm Zotob e variantes

Categoria: Alertas

segunda, 22 agosto 2005 12:39

I. Sumário

No seguimento do artigo publicado pelo CERT.PT, no canal Windows, a 16 de Agosto. Devido à dimensão e popularidade deste problema segue mais informação.
O worm Zotob está a tirar proveito da vulnerabilidade descrita no boletim da Microsoft MS05-039.
Existem a circular na Internet várias formas de código malicioso, com o objectivo de tirar proveito da vulnerabilidade Microsoft no serviço Plug and Play, em especial, sistemas a correr Windows 2000, como foi o caso dos sistemas afectados da ABC, CNN e New York Times.

II. Descrição

Foram detectadas variantes do worm Zotob: Zotob.A, Zotob.E, Bobax.O, Esbot.A, Rbot.MA, Rbot.MB, Rbot.MC .
Os worms podem infectar essencialmente sistemas Windows 2000 desprotegidos por uma firewall, ou desactualizados.
O Zotob e variantes tipicamente instalam um programa shell no sistema infectado, para fazer download de código malicioso via FTP, age como um servidor FTP.
De seguida, o recente sistema infectado começa à procura, fazendo scans no porto 445/tcp, de outros sistemas que possam estar vulneráveis para propagação do worm. Estes worms instalam código para que um atacante remoto possa controlar o sistema infectado e façam parte de uma botnet.

III. Solução

É aconselhável fazer update conforme boletim de segurança da Microsoft MS05-039:
http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx

Para sistemas infectados, a Microsoft disponibiliza uma ferramenta para remover o worm:
http://www.microsoft.com/security/malwareremove/default.mspx


IV. Referências

Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx

http://www.microsoft.com/technet/security/advisory/899588.mspx