Plug&Play Zotob-worm actief

Windows 2000 en XP SP1 lopen gevaar

15 augustus 2005 | Lars Pasveer Een lek waarvoor Microsoft inmiddels al vijf dagen een patch beschikbaar heeft, wordt misbruikt door de worm 'Zotob'. Op ongepatchte Windows 2000-systemen komt het virus binnen zonder kloppen.

Ook ongepatchte Windows XP-machines met alleen het eerste Servicepack lopen risico, al verloopt de infectie ingewikkelder, omdat een wachtwoord vereist is. Vanaf Servicepack 2 moet Zotob zelfs beschikken over het beheerderswachtwoord.

Zotob exploiteert een probleem met de in Windows ingebouwde Plug&Play-laag die over pc-poort 445 ligt. Indien succesvol, wordt een shell-proces opgestart dat poort 8888 gebruikt en willekeurig ip-adressen aanroept om te zien of het zichzelf verder kan verspreiden.

Daarnaast legt Zotob een ftp-verbinding met de computer waarvan de infectie afkomstig is, om extra code op te halen - het bestand haha.exe. Tegelijkertijd wordt op poort 3333 een ftp-server opgestart die op zijn beurt weer data beschikbaar stelt aan geïnfecteerde machines. Enzovoort.

Zotob voegt zichzelf tevens toe aan het Windows Register, zodat het elke keer meestart met het systeem. Een van de eerste maatregelen tegen Zotob is, naast het installeren van de beschikbare patches, het eventueel blokkeren van poorten 445, 3333 en 8888 in de firewall. Systeembeheerders van grotere netwerken in het bijzonder doen er goed aan deze poorten te sluiten, aangezien een besmette laptop in korte tijd voor een hoop overlast kan zorgen.

Het virus voegt daarna een lijst sites van antivirusbedrijven toe aan het lokale hosts-bestand, waarmee die sites onbereikbaar worden voor updates van antivirussoftware en achtergrondinformatie.

Van belang is dus Windows Update te bezoeken om het systeem van de laatste patches te voorzien, alsmede de antivirusdefinities van uw virusscanner bij te werken. Lees meer artikels over : zotob, virus, worm, windows

bron: ZDNet