Zotob.A atakuje

Author: hoaxer \ sierpień 14, 2005 \ Aktualności \ 0 komenarzy

Dzisiaj, koło godziny 11:30 odkryto działalność nowego wirusa bazującego na błędzie opisanym w biuletynie bezpieczeństwa MS05-039. Jeżeli nie zainstalowałeś jeszcze odpowiedniego patcha to czas najwyższy abyś zrobił to właśnie teraz.

Firma F-Secure ochrzciła nowego robaka mianem Zotob.A.

Z obserwacji robaka wiemy, iż robak jest powiązany z plikiem pnpsrv.exe. ClamAV rozpoznaje wirusa jako Trojan.Spybot-123.

Działanie wirusa opisuje prosty schemat:

Po początkowym zainfekowaniu danej maszyny, robak zacznie ściągać inne potrzebne pliki z już wcześniej zainfekowanych komputerów. Następnie „przemieni” zainfekowany już na dobre komputer w serwer FTP. Po tych ewolucjach, zainfekowana maszyna zacznie skanować sieć w poszukiwaniu komputerów z otwartym portem 445/tcp. Jeżeli takową maszynę znajdzie, będzie starał się ją zainfekować poprzez exploita na PnP (błąd w Plug&Play).

Kilka ważnych faktów:

– instalacja patcha MS05-039 rozwiązuje problem
– Windows XP SP2 i Windows 2003 nie są podatne
– zablokowanie (np. w firewallu) portu 445 ochroni nas przed wirusem
– uruchamiany na zainfekowanej maszynie serwer FTP nie używa standardowego portu 21

Są już dostępne reguły dla programu Snort (system wykrywania włamań):

alert tcp any any -> any 445 (msg:”EXPLOIT SMB-DS Microsoft Windows 2000 Plug and Play Vulnerability”; flow:to_server,established; content:”|FF|SMB%”; dept h:5; offset:4; nocase; content:”|2600|”; depth:2; offset:65; content:”|67157a76|”; reference:url,www.microsoft.com/technet/security/Bulletin/MS05-039.mspx; classtype:attempted-admin; sid:1000130; rev:1;)

alert tcp any any -> any 139 (msg:”EXPLOIT NETBIOS SMB Microsoft Windows 2000 PNP Vuln”; flow:to_server,established; content:”|FF|SMB%”; depth:5;offset:4; nocase; content:”|2600|”; depth:2; offset:65; content:”|3600|”; offset:110; within:5; content:”|F6387A76|”;reference:url,www.microsoft.com/technet/security /Bulletin/MS05-039.mspx; classtype:attempted-admin; sid:1000131; rev:1;)

alert tcp any any -> any 445 (msg:”EXPLOIT NETBIOS SMB-DS Microsoft Windows 2000 PNP Vuln”; flow:to_server,established; content:”|FF|SMB%”; depth:5;offset: 4; nocase; content:”|2600|”; depth:2; offset:65; content:”|3600|”; offset:110; within:5; content:”|F6387A76|”;reference:url,www.microsoft.com/technet/secur ity/Bulletin/MS05-039.mspx; classtype:attempted-admin; sid:1000132; rev:1;)
Źródło: SANS, F-Secure

Wojciech Grzegorz Mysiakmarzec 17, 2021"https://www.youtube.com/results?search_query=hackers+winnings+digital+pa…"
Filip M.październik 9, 2020"My też zdecydowaliśmy się na voip od firmy Super VoIP i była to najlepsz…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
Arkadiusz Siczeklipiec 1, 2020"Nie wiem czy w dobie ekshibicjonizmu internetowego możemy w ogóle mówić…"