VirusAlert.nl logo
  24 februari 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Titel:
Twee varianten 'Zotob'-worm losgebroken
Rubriek:
Virussen
Datum:
16 augustus 2005
Bron:
(c) 2005, VirusAlert
Bericht:

Zondag rond het middaguur, een dag nadat we berichtten over exploitcode die een inmiddels gedicht beveiligingslek in Windows' Plug And Play-code aanvalt, zijn twee varianten van de zogenaamde Zotob-worm opgedoken die van dit lek gebruikmaakt. De worm, een aangepaste versie van het Mytob-virus, verspreidt zich redelijk snel; gebruikers die de MS05-039-patch nog niet hebben geïnstalleerd wordt dan ook aangeraden dat zo snel mogelijk te doen.


Vooralsnog lijkt de uitbraak nog binnen de perken te blijven. 'Geen paniek, het wordt geen tweede Sasser', aldus Mikko Hyppönen van antivirusbedrijf F-Secure. Ongepatchte versies van Windows 95, 98, ME, 2K en XP zijn kwetsbaar, maar volgens Hyppönen hebben machines met Windows XP met Service Pack 2 of Windows 2003 niets te vrezen: de worm beschikt niet over geldige login-gegevens. Ook voor computers die poort 445 - de SMB-poort, die voor bestands- en printerdeling wordt toegepast - hebben afgeschermd, zou er niets aan de hand zijn. Na infectie worden ook de poorten 8080 en 33333 gebruikt, de laatste voor ftp-verbindingen om het bestand 'haha.exe', dat de worm bevat, te distribueren. Het virus plaatst verder het bestand botzor.exe in de %system%-map, en het wijzigt het HOSTS-bestand zodat toegang tot de belangrijkste antivirusbedrijven onmogelijk wordt. De worm is bovendien in staat om contact te leggen met IRC-servers, zodat een hacker de besmette pc kan overnemen.


Het overnemen van een serie computers, ofwel het aanleggen van een botnet, is een steeds vaker voorkomend verschijnsel; spammers maken hier bijvoorbeeld veelvuldig gebruik van om anoniem mail te kunnen versturen. Computers die met Zotob besmet zijn, kunnen opdracht krijgen om willekeurige bestanden te downloaden en uit te voeren en om bestanden te verwijderen; het hangt dus van de 'beheerders' van het virus af hoeveel schade er uiteindelijk mee aangericht zal worden. Net als Sasser is ook Zotob overigens gebaseerd op code van een groep hackers die zich 'houseofdabus' noemt. De makers lieten een boodschap voor de antivirusbedrijven in de code achter: 'MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!'

Reactie plaatsen, log dan hier in
Link:
Tweakers
Advertentie:


 Reacties op dit bericht:
Er zijn nog geen reacties.

 Uw reactie:
U bent niet ingelogd dus kunt niet reageren op dit bericht.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS