-
Zotob
Антивирусная компания F-Secure сообщает об обнаружение нового интернет-червя Zotob.A. Появившейся "червь" является клоном известного ранее интернет-червя Mytob, отличительной же особенностью нового "червя" является способ проникновения на удаленый компьютер, в данном случае применяется недавно закрытая уязвимость в службе Plug and Play (MS05-039). После заражения компьютера "червь" копирует себя в каталог %SYSTEM% под именем "botzor.exe" и делает соответствующую запись в системном реестре для последующего своего автозапуска.
http://europe.f-secure.com/v-descs/zotob
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Более подробное описание:
W32.Zotob.A - червь, эксплуатирующий уязвимость в Microsoft Windows Plug and Play сервисе, описанную в бюллетене безопасности MS05-039. MS05-039.
W32.Zotob.A не заражает компьютеры под управлением Windows 95/98/Me/NT4. Несмотря на это, они могут использоваться для заражения других уязвимых компьютеров.
При запуске W32.Zotob.A выполняет следующие действия:
1. Создает следующий флаг для того, чтобы только одна копия червя выполнялась на скомпрометированном компьютере: B-O-T-Z-O-R
2. Копирует себя как %System%\botzor.exe.
3. Добавляет значение:
"WINDOWS SYSTEM" = "botzor.exe"
в подключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
4. Изменяет значение:
"Start" = "4"
в ключе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess
чтобы отключить Shared Access сервис в Windows 2000/XP.
5. Соединяется с IRC сервером на домене [http://]diabl0.turkcoders.net/[REMOVED] по 8080 TCP порту. Что дает удаленный неавторизованный доступ.
6. Открывает FTP сервер по 33333 TCP порту .
7. Генерирует случайный IP адрес из текущего IP адреса. Червь оставляет первые два октета IP адреса системы и изменяет случайным образом последние два октета. Например, если IP адрес системы 192.168.0.1, червь попытается заразить IP адреса, начиная с 192.168.x.x.
8. Пытается распространиться на компьютеры со случайными IP адресами, открывая бекдор на 8888 TCP порту на удаленном компьютере. Червь пытается эксплуатировать уязвимость в Microsoft Windows Plug and Play сервисе, описанную в Microsoft Security Bulletin MS05-039.
9. Копирует следующий файл в скомпрометированный компьютер и выполняет FTP скрипт, содержащийся в нем:
%System%\2pac.txt
10. Загружает и выполняет копию червя с предварительно созданного FTP сервера на зараженном компьютере:
%System%\haha.exe
11. Добавляет следующие записи в хост файл:
.... Made By .... Greetz to good friend [REMOVED] in the next 24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
Left home for a few days and look what happens...
-
-
Лаборатория Касперского" разъясняет текущую ситуацию с якобы крупнейшей со времен Sasser и Mydoom вирусной эпидемией
Zotob/Mytob/Rbot/IRCBot/Bozori - реальная эпидемия или истерия
средств массовой информации?
"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, комментирует ситуацию с
появлением новых вредоносных программ Zotob и Bozori. В настоящее время
в ряде зарубежных СМИ опубликована информация о том, что некий червь
поразил сети множества крупных корпораций и вызвал крупнейшую эпидемию
этого года. По информации телеканала CNN, от червя пострадали ABCNews,
New York Times, Конгресс США. Одновременно эту информацию перепечатали
другие СМИ, в том числе и в России. Возникла путаница в событиях и
названиях вируса. Нам удалось установить, что в описанном CNN инциденте
речь шла о черве, который имеет следующие названия у разных антивирусных
компаний:
Zotob.e (Symantec)
WORM_RBOT.CBQ (Trend Micro)
IRCBot.Worm (McAfee)
Tpbot-A (Sophos)
Zotob.d (F-Secure)
Net-Worm.Win32.Bozori.a (Kaspersky)
"Лаборатория Касперского" была в числе первых антивирусных компаний
по скорости детектирования данного вируса. Процедуры его обнаружения
были добавлены в срочное обновление антивирусных баз, опубликованное
сегодня в 1:50 по московскому времени. Также следует отметить, что
вирусная лаборатория компании не получала информации от своих
пользователей в России и за рубежом о реальных случаях заражений,
вызванных данным червем. Не отмечено и увеличение сетевой активности как
возможного следствия работы червя. Если вспомнить ситуацию с эпидемией
червя Sasser в мае 2004 года, с которым некоторые СМИ уже сравнивают
Bozori.a, то тогда сетевой трафик вырос примерно на 20-40%, чего в
настоящее время не наблюдается.
Данный червь использует для своего распространения уязвимость в
службе Microsoft Windows - Plug'n'Play (MS05-039). Данная уязвимость
была исправлена 9 августа 2005 года специальным обновлением, доступным
для загрузки
(http://www.microsoft.com/technet/sec.../MS05-039.mspx) с
сайта Microsoft.
За прошедшее с момента устранения уязвимости время было
зафиксировано около десяти вредоносных программ, использующих ее для
своего распространения. В первую очередь это три варианта червя Mytob
(ce, cf, ch), которые были названы некоторыми антивирусными компаниями
Zotob и вокруг появления которых также был поднят определенный шум в
средствах массовой информации, не подкрепленный реальной информацией об
эпидемиях. Также было обнаружено несколько троянских программ-ботов
- представителей семейств Rbot и IRCBot, не представляющих
серьезной опасности.
Таким образом, можно констатировать тот факт, что в настоящее время
в сети Интернет не наблюдается заметной вирусной эпидемии. "Лаборатория
Касперского" не обладает какой-либо подтвержденной информацией от своих
пользователей о случаях заражения червем Bozori.a.
Подробное технические описание Net-Worm.Win32.Bozori.a опубликовано
(http://www.viruslist.com/ru/viruses/...?virusid=91125) в
"Вирусной энциклопедии".
**
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Лаборатория Касперского" разъясняет текущую ситуацию с якобы крупнейшей со времен Sasser и Mydoom вирусной эпидемией
Zotob/Mytob/Rbot/IRCBot/Bozori - реальная эпидемия или истерия
средств массовой информации?
"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, комментирует ситуацию с
появлением новых вредоносных программ Zotob и Bozori.
.....
**
Кстати, по данным моих автоматических анализаторов никакой эпидемии нет - в этом я согласен со специалистами ЛК ... - страдают от этого зверя пользователи, в первую очередь пренебрегающие установкой Firewall.
-
-
Уязвимость plug-and-play, которая на прошлой неделе всполошила пользователей Windows 2000, представляет серьезный риск и для некоторых систем Windows ХР, сообщила Microsoft.
В
распространенной во вторник рекомендации компания предупреждает, что компьютеры с Windows XP Service Pack 1 в определенной конфигурации уязвимы к атакам червей, аналогичных тем, что поражают системы Windows 2000.
Червь Zotob и его производные, плюс несколько других червей, поразили массу компьютеров Windows 2000, включая системы ABC, CNN и The New York Times. Все эти черви используют ошибку функции Windows plug-and-play, которую Microsoft исправила в начале этого месяца и оценила как «критическую».
Ранее считалось, что к дистанционным атакам с использованием ошибки plug-and-play уязвимы только машины Windows 2000. Однако Microsoft в своих рекомендациях приводит сценарий возможного заражения и отдельных систем Windows ХР. Уязвимы также системы Windows XP SP1 с обобщенными файлами и принтерами и с включенной учетной записью пользователя Windows guest. Microsoft отмечает, что в основном это домашние пользователи, так как если ПК подключен к сетевому домену, уязвимость не проявляется.
«Существует сценарий атак, работающий для ограниченного, узкого круга пользователей, — говорит директор Microsoft Security Response Center Дебби Фрай-Уилсон. — Однако так как на прошлой неделе заказчики Windows 2000 подверглись атакам, мы хотим принять дополнительные меры предосторожности, предоставив пользователям эту проясняющую информацию».
Вероятность того, что существует много таких уязвимых систем, очень мала, сказала Фрай-Уилсон. Большинство потребителей уже обновило свои машины Windows ХР на Service Pack 2. В организациях же, где Windows XP SP1 встречается чаще, компьютеры обычно подключены к сетевым доменам и неуязвимы.
О возможности атак на Windows XP Microsoft сообщил производитель программных средств защиты Symantec. Microsoft не известно о каких-либо реальных атаках на Windows ХР с использованием уязвимости plug-and-play, тем не менее компания настоятельно рекомендует пользователям установить поправки.
Источник: zdnet.ru
-
Ответить с цитированием
