Zotob

[feo84]

Ciao, ragazzi. A quanto pare è uscito un bel nuovo virus che sfrutta i soliti buchi di windows.

Tratto da Repubblica:

SINGAPORE - Il nuovo nemico dei sistemi Windows si chiama "zotob" e può infettare i sistemi Microsoft molto più velocemente di qualunque predecessore. A dirlo è un programmatore di antivirus, secondo il quale il nuovo worm è apparso subito dopo che la Microsoft aveva messo in guardia sulla scoperta di tre nuovi difetti critici nella sicurezza dei suoi software, incluso uno che potrebbe consentire ad estranei di prendere il controllo totale del computer.

Il nuovo virus sfrutta proprio queste falle nella sicurezza di Windows 95, 98, ME, NE, 2000 e XP "Negli Stati Uniti e in Germania sono già state segnalate centinaia di computer infettati - ha detto la Tren Micro, che ha sede a Tokyo - poiché la maggior parte degli utenti potrebbe non essere al corrente di queste falle e non ha installato i necessari antivirus temiamo che le nuove WORM_ZOTOB possa attaccare moltissimi altri sistemi".

Il nuovo virus riesce a lasciare una sua copia all'interno di Windows, così come faceva il precedente BOTZOR.EXE e modifica i file temporanei nel sistema nel computewr che attacca, fino a impedire all'utente di ottenere assistenza online dai siti antivirus. Può trasmettersi anche attraverso server di chat e dare ai cracker la possibilità di controllare a distanza i sistemi attaccati.

Gli esperti della Trend Micro sostengono che gli utenti dovrebbero aggiornare subito i loro sistemi antivirus con i nuovi dispositivi pubblicati dalla Microsoft sul suo bollettino martedì scorso. Il 90 per cento dei computer mondiali usano Windows come sistema operativo e Microsoft nell'ultimo periodo ha dovuto impegnarsi per migliorare la sicurezza e l'affidabilità dei suoi software, spesso accusati di avere falle nella sicurezza.


Ho cercato un po', ma non ho ben capito cosa faccia realmente.
Qualcuno ne sa qualcosa?

Ciao.

[andorra24]

Ecco un po' di info su questo nuovo worm Zotob:
Installazione
Quando il virus si esegue sul sistema vittima si autocopia nella cartella %SYSTEM% usando i nomi 'botzor.exe' (Zotob.A) e 'csm.exe' (Zotob.B) e crea il mutex 'B-O-T-Z-O-R' per assicurarsi che una sola copia del worm venga eseguita simultaneamente. Successivamente il worm aggiunge al sistema alcune chiavi di registro per garantirsi l'autorun ad ogni boot e sempre tramite modifica del registro disabilita il servizio di sistema "shared access".
Diffusione tramite la vulnerabilità in Plug and Play
Il worm esegue lo scan in cerca di altri sistemi vulnerabili attraverso la porta TCP/445. Crea 300 threads che si connettono a indirizzi IP random di classe B (255.255.0.0). Se l'attacco remoto ha successo viene inizializzata sulla porta 8888 una shell (cmd.exe) attraverso la quale il worm invia uno script ftp che istruisce il computer remoto ad scaricare ed eseguire il codice worm da computer untore. Il server FTP rimane in ascolto sulla porta 33333 su tutti i computers infetti. Il file scaricato ha il nome 'haha.exe'. Il codice exploit usato è basato sulla sessione SMB NULL ed è efficace solo sui sistemi Windows 2000. Gli altri sistemi Windows non sono vulnerabili a questo tipo di vetoore d'attacco.
Funzionalità BOT
Il worm tenta di connettersi ad un canale IRC. L'attacker che conosce la password del canale può istruire il BOT per eseguire svariati azioni come il download di file e la manipolazione delle impostazioni di sicurezza del sistema.
Altri dettagli
Zotob modifica anche il file hosts di sistema per disabilitare l'accesso del computer infetto ad alcuni siti web, la maggior parte relativi ad aziende antivirus.
Fonte:http://www.tweakness.net/topic.php?id=1384
Microsoft ha pubblicato una pagina web su questo worm:
http://www.microsoft.com/security/incident/zotob.mspx

[MrOZ]

Beh in giro si dice che non abbia ancora cominciato a diffondersi così massicciamente come si legge in quegli articoli...

...cmq se qualcuno avesse la fortuna di venir infettato in esclusiva, potrebbe gentilmente mandarmi una copia del file infetto a inviaqui@email.it???

Grazie e buona Infezione a tutti

[eraser]

una copia sarebbe gradita anche a me fileanalysis@email.it

cmq come dice MrOZ do la conferma che non si sta diffondendo in modo massiccio ma sporadiche infezioni.....

[andorra24]

Quote:

Originariamente inviato da MrOZ

Grazie e buona Infezione a tutti

Un pensiero davvero squisito

[feo84]

Quote:

Originariamente inviato da eraser

cmq come dice MrOZ do la conferma che non si sta diffondendo in modo massiccio ma sporadiche infezioni.....

Meglio!

[MrOZ]

Quote:

Originariamente inviato da andorra24

Un pensiero davvero squisito

E' il mio modo di augurare buon Ferragosto

[subvertigo]

con gli ultimi aggiornamenti di agosto (windows update) bisognerebbe essere al sicuro??

[andorra24]

Quote:

Originariamente inviato da subvertigo

con gli ultimi aggiornamenti di agosto (windows update) bisognerebbe essere al sicuro??

Con il sistema operativo aggiornatissimo, con un firewall e con un antivirus anch'esso aggiornato alle ultime definizioni virali non dovrebbe esserci nessun problema. Inoltre Zotob non colpisce i sistemi Windows XP SP2 e non può infettare le macchine che hanno la porta 445/TCP protetta dal firewall. Il worm infatti si replica eseguendo lo scan su indirizzi casuali attraverso la porta 445/TCP.

[andorra24]

Nel caso dovesse servire a qualcuno ecco il fix di rimozione del worm:
http://securityresponse.symantec.com...oval.tool.html

[joesun]

io ho win xp pro sp2 e ieri me lo sono preso...
cmq antivir aggiornato lo ha trovato.
poi sul sito symantec c'è un'utility per rimuoverlo che si chiama fixzotob.exe che sembra funzionare. antivir cmq non è riuscito a rimuoverlo.
non sembra aver fatto danni...

[daxdax]

Quote:

Originariamente inviato da joesun

io ho win xp pro sp2 e ieri me lo sono preso...
cmq antivir aggiornato lo ha trovato.
poi sul sito symantec c'è un'utility per rimuoverlo che si chiama fixzotob.exe che sembra funzionare. antivir cmq non è riuscito a rimuoverlo.
non sembra aver fatto danni...

ciao anche io ho xp pro con service pack2 e forse me lo sono preso pure io.
mi dici che problemi hai avuto ..?
per capire se l'ho preso pure io....
thx
daxdax

[daxdax]

Quote:

Originariamente inviato da joesun

io ho win xp pro sp2 e ieri me lo sono preso...
cmq antivir aggiornato lo ha trovato.
poi sul sito symantec c'è un'utility per rimuoverlo che si chiama fixzotob.exe che sembra funzionare. antivir cmq non è riuscito a rimuoverlo.
non sembra aver fatto danni...

ciao anche io ho xp pro con service pack2 e forse me lo sono preso pure io.
mi dici che problemi hai avuto ..?
per capire se l'ho preso pure io....
thx
daxdax

[joesun]

nessun problema..solo da un momento all'altro mi è spuntata la finestra di antivir che mi diceva che era stata trovata la sign del virus nel sistema..cmq dopo averlo rimosso non me lo sono più preso e il pc sembra perfetto..
forse è davvero per i sistemi con win 2000 e negli altri non da sintomi..

[andorra24]

Zotob Colpisce Anche XP
Microsoft ha rilasciato il Security Advisory 906574 in cui informa che il worm Zotob ( e simili) che hanno invaso recentemente la rete possono colpire anche sistemi Windows XP. Precedentemente l'allerta era limitato al sistema Windows 2000, particolarmente vulnerabile al problema descritto nel Security Bulletin MS05-039 e relativo ad una falla nel servizio Plug and Play di Windows.
I computers con Windows XP Service Pack 1 che presentano una particolare configurazione di rete sono a rischio. I sistemi XP con attiva la condivisione file e stampanti e un account guest attivo, sarebbero infatti vulnerabili agli attacchi del worm.

Ancora una volta Microsoft incoraggia chi non l'abbia ancora fatto a patchare il proprio sistema con l'aggiornamento messo a disposizione due settimane fa dal colosso di Redmond.
Fonte:http://www.tweakness.net/topic.php?id=1418