<img src="http://upload.userbase.be/upload/virus_kl.jpg" align="left" width="118" height="98">Windows 2000 en XP SP1 lopen gevaar. Een lek waarvoor Microsoft inmiddels al bijna een week een patch beschikbaar heeft, wordt misbruikt door worm 'Zotob'. Op ongepatchte Windows 2000-systemen komt het virus binnen zonder kloppen. Ook ongepatchte Windows XP-machines met alleen het eerste servicepack lopen risico, al is de infectie ingewikkelder omdat een wachtwoord vereist is. Vanaf servicepack 2 moet Zotob zelfs beschikken over het beheerderswachtwoord.
Zotob exploiteert een probleem met de in Windows ingebouwde Plug&Play-laag over poort 445 op de computer. Indien succesvol, wordt een shell-proces opgestart dat over poort 8888 functioneert en willekeurig IP-adressen aanroept om te zien of het zichzelf verder kan verspreiden.
Daarnaast legt Zotob een FTP-verbinding met de computer waarvandaan de infectie afkomstig is, om extra code op te halen - het bestand haha.exe. Tegelijk wordt op poort 3333 een FTP-server opgestart die zelf weer data beschikbaar stelt aan geïnfecteerde machines. Enzovoort.
Zotob voegt zichzelf tevens toe aan het Windows-register, zodat het elke keer meestart met het systeem. Een van de eerste maatregelen tegen Zotob is, naast het installeren van de beschikbare patches, het eventueel blokkeren van poorten 445, 3333 en 8888 in de firewall. Systeembeheerders van grotere netwerken in het bijzonder doen er goed aan deze poorten te sluiten, aangezien een besmette laptop in korte tijd voor een hoop overlast kan zorgen.
Het virus voegt daarna een lijst sites van antivirusbedrijven toe aan het lokale hosts bestand, waarmee die sites onbereikbaar worden voor updates van antivirussoftware en achtergrondinformatie.
Van belang is dus Windows Update te bezoeken om het systeem van de laatste patches te voorzien alsmede de antivirusdefinities van uw virusscanner bij te werken.
Bron: ZDNet.be van 16 augustus 2005
Plug&Play Zotob-worm doet ronde
De maker van de Zotob-worm die op dit moment huishoudt, is afkomstig uit Turkije. Het gaat om virusschrijver Diabl0. Dat denkt althans virusonderzoeker Alex Shipp van Messagelabs. "Onze onderzoekers hebben ontdekt dat deze worm contact maakt met een server die eerder is gebruikt voor wormen die zijn geschreven door Diabl0", aldus Shipp.
Bovendien is een deel van de code van de Zotob-worm gelijk aan die van eerdere creaties van Diabl0. Diabl0 wordt verantwoordelijk gehouden voor het Mytob-virus dat voor het eerst in maart opdook. Overigens was de Mytob-worm weer gedeeltelijk gebaseerd op het MyDoom-virus.
De verspreiding van de Zotob-worm begon op zondag. Sindsdien zijn er diverse varianten opgedoken. Volgens Computer Associates zijn er wereldwijd meer dan 250.000 systemen besmet.
Microsoft en Symantec bieden inmiddels gratis programma's aan die de Zotob-worm en de virusvarianten van besmette pc's verwijdert.
Bron: Webwereld.nl van 18 augustus 2005
Bovendien is een deel van de code van de Zotob-worm gelijk aan die van eerdere creaties van Diabl0. Diabl0 wordt verantwoordelijk gehouden voor het Mytob-virus dat voor het eerst in maart opdook. Overigens was de Mytob-worm weer gedeeltelijk gebaseerd op het MyDoom-virus.
De verspreiding van de Zotob-worm begon op zondag. Sindsdien zijn er diverse varianten opgedoken. Volgens Computer Associates zijn er wereldwijd meer dan 250.000 systemen besmet.
Microsoft en Symantec bieden inmiddels gratis programma's aan die de Zotob-worm en de virusvarianten van besmette pc's verwijdert.
Bron: Webwereld.nl van 18 augustus 2005
