Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Twee varianten 'Zotob'-worm losgebroken

Twee varianten 'Zotob'-worm losgebroken

Door René Wichers, maandag 15 augustus 2005 17:09, views: 15.315

Zondag rond het middaguur, een dag nadat we berichtten over exploitcode die een inmiddels gedicht beveiligingslek in Windows' Plug And Play-code aanvalt, zijn twee varianten van de zogenaamde Zotob-worm opgedoken die van dit lek gebruikmaakt. De worm, een aangepaste versie van het Mytob-virus, verspreidt zich redelijk snel; gebruikers die de MS05-039-patch nog niet hebben geïnstalleerd wordt dan ook aangeraden dat zo snel mogelijk te doen.

Worm Vooralsnog lijkt de uitbraak nog binnen de perken te blijven. 'Geen paniek, het wordt geen tweede Sasser', aldus Mikko Hyppönen van antivirusbedrijf F-Secure. Ongepatchte versies van Windows 95, 98, ME, 2K en XP zijn kwetsbaar, maar volgens Hyppönen hebben machines met Windows XP met Service Pack 2 of Windows 2003 niets te vrezen: de worm beschikt niet over geldige login-gegevens. Ook voor computers die poort 445 - de SMB-poort, die voor bestands- en printerdeling wordt toegepast - hebben afgeschermd, zou er niets aan de hand zijn. Na infectie worden ook de poorten 8080 en 33333 gebruikt, de laatste voor ftp-verbindingen om het bestand 'haha.exe', dat de worm bevat, te distribueren. Het virus plaatst verder het bestand botzor.exe in de %system%-map, en het wijzigt het HOSTS-bestand zodat toegang tot de belangrijkste antivirusbedrijven onmogelijk wordt. De worm is bovendien in staat om contact te leggen met IRC-servers, zodat een hacker de besmette pc kan overnemen.

Virus Het overnemen van een serie computers, ofwel het aanleggen van een botnet, is een steeds vaker voorkomend verschijnsel; spammers maken hier bijvoorbeeld veelvuldig gebruik van om anoniem mail te kunnen versturen. Computers die met Zotob besmet zijn, kunnen opdracht krijgen om willekeurige bestanden te downloaden en uit te voeren en om bestanden te verwijderen; het hangt dus van de 'beheerders' van het virus af hoeveel schade er uiteindelijk mee aangericht zal worden. Net als Sasser is ook Zotob overigens gebaseerd op code van een groep hackers die zich 'houseofdabus' noemt. De makers lieten een boodschap voor de antivirusbedrijven in de code achter: 'MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!'

Volgende 17:59 Opus aangeklaagd wegens ontduiking thuiskopievergoeding
Vorige 16:25 Firefox levert stukje marktaandeel in
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 34 reacties zichtbaar340 Off-topic / Irrelevant: 34 reacties zichtbaar34+1 On-topic: 21 reacties zichtbaar21+2 Informatief: 11 reacties zichtbaar11+3 Spotlight: 4 reacties zichtbaar4
«  1  2  »

Door Motrax, maandag 15 augustus 2005 17:11

Score: 2
De groep liet een boodschap voor de antivirusbedrijven in de code achter: 'MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!'
Ik vraag me dan af wat ze willen gaan doen? Met het botnet een DDos aanval doen? Beetje zielig dreigement lijkt het mij... :z

Door Cipri, maandag 15 augustus 2005 17:15

Score: 3
Zou je denken, maar als jij een botnet van enkele duizende, zo niet meer, PC's heb waarmee je kan doen wat je wil.... Dan heb je best wel wat power achter je tegen de `avs` :7

Door BlueDays, maandag 15 augustus 2005 18:37

Score: 0
Lijkt wel een beetje Bush's if you're not with us, you're against us.

Door FreeShooter, maandag 15 augustus 2005 17:15

Score: 2
Gezien die laatste zin, kan je ze toch niet ouder inschatten dan 13.

Toch maar even de update installeren voor de zekerheid. :P

Door Ma.rkus.nl, maandag 15 augustus 2005 17:20

Score: 2
Ook het feit dat ze een bestandje "botzor.exe" noemen getuigt daar wel van ;)

Door dark_bounce, maandag 15 augustus 2005 17:15

Score: 2
Hoe zit het eigenlijk als je een NAT-router tussen jou PC's en het I-net zit, kan je dan ook nog eigenlijk last hebben van zulk soort worm attacs??

Door ArieLex441, maandag 15 augustus 2005 17:23

Score: 3
In ieder geval wel als iemand met zijn geinfecteerde laptopje op je netwerk inplugt (collega of zo)....
Of vergeten onbeveiligd wireless doosje wil ook 'helpen'...

Door freggy, maandag 15 augustus 2005 17:24

Score: 2
Nee, omdat je poort 445 dan afgeschermd zit. Alleen is dat niet voldoende als veiligheid, zeker op bedrijven. Als er morgen iemand met zijn ongepatchte en intussen besmette portable morgen het bedrijfsnetwerk binnenkomt, is het ook om zeep voor al de andere machines in het netwerk.

Door Appel-un, maandag 15 augustus 2005 17:24

Score: 3
wel zoals het artikel het zegt:
als die poorten geblokkeerd worden moet je niet bang zijn. Dus is je router als firewall ingesteld ben je veilig.
Gebruik je DMZ dan moet je oppassen.
misschien ook handig is voor bedrijven IRC poorten naar buiten toe te blokkeren, dan kan een geinfecteerde computer geen cmds krijgen.

Door BabyXL, maandag 15 augustus 2005 17:26

Score: 0
In principe wel ja, het proggie draait op jou pc en die heeft gewoon toegang tot het net. Het is aan jou de zaak om de boel na te lopen en voor de zekerheid andersw die porten dicht te maken in bijv. je router.

Door Anton, maandag 15 augustus 2005 17:35

Score: 1
Dat zou alleen kunnen als je (bij deze worm) poort 8080 en 33333 geforward hebt. Maar dan nog, zo'n forward maak je maar naar 1 computer (1 ip-adres), dus een erg grote ramp voor je hele netwerk is dat niet. En natuurlijk ben je niet zo stom om willekeurige poorten te mappen :P

Door bierbuik, maandag 15 augustus 2005 18:14

Score: 1
als de worm via die eene exposed computer binnen is kan ie de rest van je lannetje infecteren :z

Door Jism, maandag 15 augustus 2005 20:29

Score: 1
Tenzij alles op read only staat ;)

Door Timo, maandag 15 augustus 2005 17:17

Score: 1
Het zou pas uber zijn, dat zolang er 1 variant verspreid is. Hij als server kan dienen. Zodat de andere varianten kunnen updaten, en constant kunnen updaten.

Of ben ik nu een doem scenario aan het bedenken? :P

Door dark_bounce, maandag 15 augustus 2005 17:19

Score: 0
heeel erg doom senario... :+

Door 0siris, maandag 15 augustus 2005 22:56

Score: 1
Microsoft heeft dat al jaren..... :P

Door Pascal Saul, maandag 15 augustus 2005 17:22

Score: 2
Ik betwijfel de laatste paar zinnen dat houseofdabus het virus heeft geschreven. Wel is het zo dat ze de proof of concept code hebben geschreven: http://www.milw0rm.com/id.php?id=1149

Achtergrond informatie:
http://www.microsoft.com/...rity/advisory/899588.mspx

Hoe te verwijderen:
http://www.microsoft.com/security/incident/zotob.mspx

Encyclopedie, nooit geweten dat die zo snel bijgewerkt werden :+
http://www.microsoft.com/...x?name=Worm:Win32/Zotob.A

Zelfs MS is er als een speer bij nu...

Door WillemJanJansen, maandag 15 augustus 2005 17:27

Score: 0
Het zou pas uber zijn, dat zolang er 1 variant verspreid is. Hij als server kan dienen. Zodat de andere varianten kunnen updaten, en constant kunnen updaten.

Of ben ik nu een doem scenario aan het bedenken?
Dan mogen ze wel veel gaten ontdekken in Windows en snel ook, als je steeds wilt updaten :z
Dat gaat dus nooit lukken, zo zie je met 1 patch trap je meteen de deur dicht voor zo'n wurmpie, daar kunnen ze nooit tegen updaten.

Door Cloontje, maandag 15 augustus 2005 17:30

Score: 0
als het nu zelf lerende wormen zijn. die zich diep nestelen.

Door Caval1er, maandag 15 augustus 2005 19:23

Score: 1
Dan zitten we verdacht in de buurt van "echte" DNA/RNA virussen...

Door BarôZZa, maandag 15 augustus 2005 17:54

Score: 3
Het virus plaatst verder het bestand botzor.exe in de %system%-map, en het wijzigt het HOSTS-bestand zodat toegang tot de belangrijkste antivirusbedrijven onmogelijk wordt.
Ik vraag me nog steeds af waarom die anti-virusprogramma's het host-bestand niet in de gaten houden om er in ieder geval ervoor te zorgen dat het niet aangepast kan worden zonder dat de gebruiker het weet.
Telkens wanneer er een nieuw virus uitbreekt past hij gelijk het host-bestand aan, waardoor je de updates niet meer gemakkelijk kan downloaden. Helemaal leuk als de update nog niet eens beschikbaar is en je als gebruiker er dus helemaal niks tegen had kunnen doen en je het hostbestand handmatig moet gaan editen.

Hetzelfde geldt voor programma's in de run-folder planten.

Beetje het 'dwijlen met de kraan open'-idee.

Door telenut, maandag 15 augustus 2005 21:30

Score: 1
ms antispy doet het wel :-)

Door Soultaker, maandag 15 augustus 2005 18:09

Score: 1
Een andere vraag is waarom AV-software niet op IP-adres verbindt (die kan 'ie onthouden n.a.v. eerdere look-ups of als onderdeel van de virusdatabase die toch al regelmatig wordt bijgewerkt), zodat de AV-software ook bijgewerkt kan worden als hostname lookups niet meer werken.

edit:
De bedoeling was dus om dit als reactie op BarôZZa te plaatsen. ;)

edit:
Dit is géén dubbelpost! :(

Door goestin, maandag 15 augustus 2005 18:21

Score: 0
Gezien die laatste zin, kan je ze toch niet ouder inschatten dan 13.

Toch maar even de update installeren voor de zekerheid.
Dat denk ik niet want "houseofdabus" zijn ook degene die met het proof of concept exploit kwamen, dus ik neem aan dat ze wel bekwaam zijn.
Maar het neemt idd niet weg dat het wel een beetje sneu overkomt.

Door mschol, maandag 15 augustus 2005 18:21

Score: 0
ik ben me server gelijk na gelopen an dat die bug bekend werd.. eff gerestart en alle laatste patches zaten erop... :)
en dan nog:
van 443, 8080 en 33333 staat alleen 443 open en die gaat naar een andre pc :P
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 17:59 Opus aangeklaagd wegens ontduiking thuiskopievergoeding
Vorige 16:25 Firefox levert stukje marktaandeel in
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011