Zotob.A est un virus ciblant les ordinateurs
vulnérables à la faille Microsoft PnP annoncée le 09/08/05.
Si une machine connectée à Internet n'est pas à jour dans ses
correctifs ni protégée par un pare-feu, le virus
tente de l'infecter via le port TCP 445 sans intervention de
l'utilisateur, puis scanne le réseau à la recherche de nouvelles
machines vulnérables. L'activité de ce virus devrait
rester faible, par contre l'apparition de variantes est plus
que probable aussi la mise à jour des ordinateurs sous Windows
est urgente et impérative.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows doivent également mettre à
jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger notamment la faille PnP exploitée
par le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixZotob pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 2000
ALIAS :
Zotob.A (F-Secure)
Net-Worm.Win32.Mytob.cd (Kaspersky)
W32/Zotob.worm (Mc Afee)
W32/Zotob-A (Sophos)
W32.Zotob.A (Symantec)
WORM_ZOTOB.A (Trend Micro)
TAILLE :
22.528 octets
DECOUVERTE :
14/08/2005
DESCRIPTION DETAILLEE :
Zotob.A est un virus qui se propage via le réseau.
Si une machine connectée à Internet n'est pas
à jour dans ses correctifs ni protégée
par un pare-feu correctement configuré, Zotob.A tente
de l'infecter via le port TCP 445 en utilisant la faille
critique MS05-039 (Plug and Play Could Allow Remote Code
Execution and Elevation of Privilege) de Windows : le virus
provoque le téléchargement d'un fichier haha.exe
sur le disque via FTP et le port TCP 8888, puis son exécution
à distance sans aucune intervention de l'utilisateur.
Le virus se copie alors dans le répertoire Système
sous le nom botzor.exe, modifie la base de registres pour
s'exécuter à chaque démarrage, installe
un serveur FTP, modifie le fichier Host de Windows pour empêcher
la connexion aux sites de Microsoft et des principaux éditeurs
d'antivirus, puis scanne le réseau à la recherche de nouvelles
machines vulnérables à infecter. Zotob.A tente également
de se connecter à un canal IRC pour attendre des ordres
(notamment téléchargement de fichiers, suppression
de fichiers sur le disque dur ou mise à jour du virus).
L'activité de ce virus devrait rester faible et ne
connaîtra notamment jamais celle du virus Sasser.
Plusieurs codes permettant l'exploitation de failles récentes
ayant été publiés de façon irresponsable
sur Internet, l'apparition de nouveaux virus ou de variantes
est par contre plus que probable aussi la mise à jour des
ordinateurs sous Windows est urgente pour les retardataires.
14/08/05 : une variante mineure
Zotob.B (également nommée W32.Zotob.B,
W32/Zotob.worm.b, W32/Zotob-B ou WORM_ZOTOB.B) a été
identifiée. Elle se copie sur le disque sous le nom
csm.exe et sa taille est 27.648 octets. Un utilitaire de désinfection
gratuit est disponible pour Zotob.B.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|