Alerte - Le ver Zotob.A exploite la vulnérabilité critique MS05-039

Zotob.A est un clone de Mytob qui se propage en exploitant la vulnérabilité MS05-039 affectant le service Windows Plug and Play. Ce ver vise uniquement Microsoft Windows 2000, ce qui réduit considérablement son impact sur la sécurité globale de l'internet.

Caractéristiques

Alias : W32/Zotob.A
          Net-Worm.Win32.Mytob.cd
Taille : 22,528 octets

Analyse Technique

Zotob.A infecte les systèmes Windows 2000 via le port 445/TCP, il s'installe dans le répertoire %SYSTEM% sous le nom de fichier "botzor.exe", crée le mutex "B-O-T-Z-O-R", puis rajoute l'entrée suivante au registre :

 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
 "WINDOWS SYSTEM" = "botzor.exe"

Une fois installé, le ver ouvre un shell sur le port 8888 et un serveur FTP sur le port 33333, puis se connecte à un canal IRC contrôlé par son auteur qui a la possibilité d'exécuter plusieurs commandes (envoyer/télécharger/exécuter des fichiers, mettre à jour le ver...).

Zotob.A tente ensuite d'infecter d'autres machines en scannant le port 445/TCP (utilisé par le service Windows Plug and Play) et en se transférant via son serveur FTP, sous le nom "haha.exe", vers la machine cible.

(...............)

posted by Unknown @ 16:42