RNP > Serviços > Segurança em redes > Alertas do CAIS

Propagação da família de worms Zotob

Alerta do CAIS 18082005

[CAIS, 18.08.2005-11:10, revisão 01]

O CAIS vem acompanhando desde 14 de Agosto a propagação de uma nova família de worms: Zotob. Este worm se propaga explorando uma vulnerabilidade no serviço "Plug and Play" descrita no boletim da Microsoft MS05-039, publicado em 9 de Agosto.

O comportamento de propagação deste worm é diferente de variante para variante, mas em comum todas efetuam varreduras pela porta 445/TCP em hosts aleatórios. Uma vez encontrado um host vulnerável, o código do exploit efetua download por FTP do arquivo de vírus da máquina que efetuou a varredura, ativa um servidor FTP na porta 33333/TCP do host infectado e prosegue procurando por novos alvos.

Outras portas envolvidas, que variam de variante para variante, são:

• 8594/TCP - backdoor criado na máquina explorada
• 8080/TCP ou 6667/TCP - servidores IRC aos quais as máquinas exploradas se conectam para receber comandos
• 69/UDP - outra forma de distribuição do código do vírus, via TFTP
• 117/TCP - outra forma de distribuição do código do vírus, via FTP

Até o momento esta vulnerabilidade está sendo explorada pelos seguintes softwares maliciosos:

• pelo menos 3 exploits, sendo um deles parte do Metasploit Framework
• 8 variantes do worm Zotob (Symantec)
• 2 variantes do worm Bozori (.A, .B)
• 3 classes de bots: Rbot (.ADB), Sdbot (.YN) e CodBot
• 3 IRCbots (.ES, .ET and .EX)

Diante deste quadro reiteramos a necessidade de se instalar a correção divulgada no boletim MS05-039. Embora a vulnerabilidade afete apenas uma parcela de hosts Windows (hosts com 445/TCP filtrado por firewall e/ou Windows XP SP2 não são afetados), hosts com Windows 95, 98, Me e NT4 tem utilidade na fase de propagação do worm.

Para saber quais os sistemas afetados e correçõees disponíveis consulte o alerta do CAIS referente ao boletim MS05-039, listado na seção "Mais informações". Para detectar sistemas vulneráveis em sua rede sugerimos que utilize a ferramenta NOXscan. Você também pode detectar sistemas sendo explorados por meio de regras Bleeding Snort. Tanto a ferramenta quanto as regras estão listadas na seção "Mais informações".

Mais informaçõess:

• CAIS-Alerta: Vulnerabilidades no Windows Plug and Play (MS05-039)
• MS05-039 - Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)
• Microsoft Security - What You Should Know About Zotob
• ISC - Handler's Diary August 17th 2005 - Analysis of Zotob versions
• LURHQ - MS05-039 PNP Worms
• Symantec Security Response - W32.Zotob.H
• F-Secure News from the Lab - Wednesday, August 17, 2005 - This is not a viruswar, this is a botwar!
• York CNS Information Security Unsupported Tools - NOXscan.c - busca hosts vulneráveis a MS05-039, MS04-011 e MS04-007
• Bleeding Snort - EXPLOIT - EXPLOIT_MS05-039
• FrSIRT - Microsoft Windows 2000 Plug and Play Universal Remote Exploit (MS05-039)
• HOD-ms05039-pnp-expl.c - (MS05-039) Microsoft Windows Plug-and-Play - Service Remote Overflow Universal Exploit + no crash shellcode
• Metasploit Framework: Microsoft PnP MS05-039 Overflow
• Microsoft Brasil Security
• Technet Brasil - Central de Segurança

Identificador CVE (http://www.cve.mitre.org): CAN-2005-1983

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais