Zotob.E est une variante plus virulente du virus
Zotob.A ciblant les ordinateurs vulnérables à la faille Microsoft
PnP. Si une machine connectée à Internet n'est pas à jour dans
ses correctifs ni protégée par un pare-feu, le
virus tente de l'infecter via le port TCP 445 sans intervention
de l'utilisateur, installe une porte dérobée autorisant
la prise de contrôle à distance, puis scanne le
réseau à la recherche de nouvelles machines vulnérables, provoquant
un plantage et redémarrage continuels du système.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows doivent également mettre à
jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger notamment la faille PnP exploitée
par le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixZotob pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 2000
ALIAS :
Win32.Tpbot.A (Computer Associates)
Bozori.A (F-Secure)
Net-Worm.Win32.Small.d (Kaspersky)
W32/IRCbot.worm!MS05-039 (Mc Afee)
W32/IRCbot.KC.worm (Panda Software)
W32/Tpbot-A (Sophos)
W32.Zotob.E (Symantec)
WORM_RBOT.CBQ (Trend Micro)
Net-Worm.Win32.Bozori.a
Win32.Peabot.A
TAILLE :
10.366 octets
DECOUVERTE :
16/08/2005
DESCRIPTION DETAILLEE :
Zotob.E est un virus qui se propage via le réseau.
Si une machine connectée à Internet n'est pas
à jour dans ses correctifs ni protégée
par un pare-feu correctement configuré, Zotob.A tente
de l'infecter via le port TCP 445 en utilisant la faille
critique MS05-039 (Plug and Play Could Allow Remote Code
Execution and Elevation of Privilege) de Windows : le virus
provoque le téléchargement d'un fichier sur
le disque via TFTP et le port TCP 8594, puis son exécution
à distance sans aucune intervention de l'utilisateur.
Le virus se copie alors dans le répertoire Système
sous le nom WINTBP.EXE, modifie la base de registres pour
s'exécuter à chaque démarrage, installe
un serveur FTP puis scanne le réseau à la recherche de nouvelles
machines vulnérables. Zotob.E tente également de se
connecter à un canal IRC pour attendre des ordres (notamment
téléchargement de fichiers, suppression de fichiers
sur le disque dur ou mise à jour du virus).
Les ordinateurs à jour dans leurs correctifs de sécurité
ne peuvent pas être infectés par le virus. Les
retardataires ou les utilisateurs dans le doute doivent mettre
à jour leur système via le service WindowsUpdate
afin de corriger la faille exploitée par le virus pour
s'exécuter automatiquement et de stopper les redémarrages
continuels du système. Les administrateurs dont le réseau
est protégé par un pare-feu mais dont les machines
ne sont pas jour dans leurs correctifs doivent prendre garde
au risque de connexion au réseau d'un ordinateur contaminé
(notamment un ordinateur portable), responsable des cas les
plus médiatiques d'infection par ce virus.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|