Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties

Zondag rond het middaguur, een dag nadat we berichtten over exploitcode die een inmiddels gedicht beveiligingslek in Windows' Plug And Play-code aanvalt, zijn twee varianten van de zogenaamde Zotob-worm opgedoken die van dit lek gebruikmaakt. De worm, een aangepaste versie van het Mytob-virus, verspreidt zich redelijk snel; gebruikers die de MS05-039-patch nog niet hebben geïnstalleerd wordt dan ook aangeraden dat zo snel mogelijk te doen.

Worm Vooralsnog lijkt de uitbraak nog binnen de perken te blijven. 'Geen paniek, het wordt geen tweede Sasser', aldus Mikko Hyppönen van antivirusbedrijf F-Secure. Ongepatchte versies van Windows 95, 98, ME, 2K en XP zijn kwetsbaar, maar volgens Hyppönen hebben machines met Windows XP met Service Pack 2 of Windows 2003 niets te vrezen: de worm beschikt niet over geldige login-gegevens. Ook voor computers die poort 445 - de SMB-poort, die voor bestands- en printerdeling wordt toegepast - hebben afgeschermd, zou er niets aan de hand zijn. Na infectie worden ook de poorten 8080 en 33333 gebruikt, de laatste voor ftp-verbindingen om het bestand 'haha.exe', dat de worm bevat, te distribueren. Het virus plaatst verder het bestand botzor.exe in de %system%-map, en het wijzigt het HOSTS-bestand zodat toegang tot de belangrijkste antivirusbedrijven onmogelijk wordt. De worm is bovendien in staat om contact te leggen met IRC-servers, zodat een hacker de besmette pc kan overnemen.

Virus Het overnemen van een serie computers, ofwel het aanleggen van een botnet, is een steeds vaker voorkomend verschijnsel; spammers maken hier bijvoorbeeld veelvuldig gebruik van om anoniem mail te kunnen versturen. Computers die met Zotob besmet zijn, kunnen opdracht krijgen om willekeurige bestanden te downloaden en uit te voeren en om bestanden te verwijderen; het hangt dus van de 'beheerders' van het virus af hoeveel schade er uiteindelijk mee aangericht zal worden. Net als Sasser is ook Zotob overigens gebaseerd op code van een groep hackers die zich 'houseofdabus' noemt. De makers lieten een boodschap voor de antivirusbedrijven in de code achter: 'MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!'

Lees meer over

Gerelateerde content

Alle gerelateerde content (36)
Moderatie-faq Wijzig weergave

Reacties (34)

Hoe zit het eigenlijk als je een NAT-router tussen jou PC's en het I-net zit, kan je dan ook nog eigenlijk last hebben van zulk soort worm attacs??
In ieder geval wel als iemand met zijn geinfecteerde laptopje op je netwerk inplugt (collega of zo)....
Of vergeten onbeveiligd wireless doosje wil ook 'helpen'...
wel zoals het artikel het zegt:
als die poorten geblokkeerd worden moet je niet bang zijn. Dus is je router als firewall ingesteld ben je veilig.
Gebruik je DMZ dan moet je oppassen.
misschien ook handig is voor bedrijven IRC poorten naar buiten toe te blokkeren, dan kan een geinfecteerde computer geen cmds krijgen.
Nee, omdat je poort 445 dan afgeschermd zit. Alleen is dat niet voldoende als veiligheid, zeker op bedrijven. Als er morgen iemand met zijn ongepatchte en intussen besmette portable morgen het bedrijfsnetwerk binnenkomt, is het ook om zeep voor al de andere machines in het netwerk.
Dat zou alleen kunnen als je (bij deze worm) poort 8080 en 33333 geforward hebt. Maar dan nog, zo'n forward maak je maar naar 1 computer (1 ip-adres), dus een erg grote ramp voor je hele netwerk is dat niet. En natuurlijk ben je niet zo stom om willekeurige poorten te mappen :P
als de worm via die eene exposed computer binnen is kan ie de rest van je lannetje infecteren :z
Tenzij alles op read only staat ;)
In principe wel ja, het proggie draait op jou pc en die heeft gewoon toegang tot het net. Het is aan jou de zaak om de boel na te lopen en voor de zekerheid andersw die porten dicht te maken in bijv. je router.
Het virus plaatst verder het bestand botzor.exe in de %system%-map, en het wijzigt het HOSTS-bestand zodat toegang tot de belangrijkste antivirusbedrijven onmogelijk wordt.
Ik vraag me nog steeds af waarom die anti-virusprogramma's het host-bestand niet in de gaten houden om er in ieder geval ervoor te zorgen dat het niet aangepast kan worden zonder dat de gebruiker het weet.
Telkens wanneer er een nieuw virus uitbreekt past hij gelijk het host-bestand aan, waardoor je de updates niet meer gemakkelijk kan downloaden. Helemaal leuk als de update nog niet eens beschikbaar is en je als gebruiker er dus helemaal niks tegen had kunnen doen en je het hostbestand handmatig moet gaan editen.

Hetzelfde geldt voor programma's in de run-folder planten.

Beetje het 'dwijlen met de kraan open'-idee.
ms antispy doet het wel :-)
De groep liet een boodschap voor de antivirusbedrijven in de code achter: 'MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!'
Ik vraag me dan af wat ze willen gaan doen? Met het botnet een DDos aanval doen? Beetje zielig dreigement lijkt het mij... :z
Zou je denken, maar als jij een botnet van enkele duizende, zo niet meer, PC's heb waarmee je kan doen wat je wil.... Dan heb je best wel wat power achter je tegen de `avs` :7
Lijkt wel een beetje Bush's if you're not with us, you're against us.
Gezien die laatste zin, kan je ze toch niet ouder inschatten dan 13.

Toch maar even de update installeren voor de zekerheid. :P
Ook het feit dat ze een bestandje "botzor.exe" noemen getuigt daar wel van ;)
Ongepatchte versies van Windows 95, 98, ME, 2K en XP zijn kwetsbaar.
Microsoft Security Bulletin MS05-039
Non-Affected Software:
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)

OK, het Security Bulletin zwijgt over W95. Maar het lijkt me toch sterk dat'ie kwetsbaar is.
Wie heeft er nou nog Windows 95...? Met internet... :?
Ik. Een van mijn 2 hoofdcomputers is een P200 uit 1997 met windows 95 erop. Binnenkort staat de langverwachte vervanging op stapel, dat wel.
Ik betwijfel de laatste paar zinnen dat houseofdabus het virus heeft geschreven. Wel is het zo dat ze de proof of concept code hebben geschreven: http://www.milw0rm.com/id.php?id=1149

Achtergrond informatie:
http://www.microsoft.com/...rity/advisory/899588.mspx

Hoe te verwijderen:
http://www.microsoft.com/security/incident/zotob.mspx

Encyclopedie, nooit geweten dat die zo snel bijgewerkt werden :+
http://www.microsoft.com/...x?name=Worm:Win32/Zotob.A

Zelfs MS is er als een speer bij nu...
Het zou pas uber zijn, dat zolang er 1 variant verspreid is. Hij als server kan dienen. Zodat de andere varianten kunnen updaten, en constant kunnen updaten.

Of ben ik nu een doem scenario aan het bedenken? :P
Microsoft heeft dat al jaren..... :P
heeel erg doom senario... :+
Een andere vraag is waarom AV-software niet op IP-adres verbindt (die kan 'ie onthouden n.a.v. eerdere look-ups of als onderdeel van de virusdatabase die toch al regelmatig wordt bijgewerkt), zodat de AV-software ook bijgewerkt kan worden als hostname lookups niet meer werken.

edit:
De bedoeling was dus om dit als reactie op BarôZZa te plaatsen. ;)

edit:
Dit is géén dubbelpost! :(
whitehats maken geen wormen, twijfel er stevig aan dat het HOD was. Prolly een of ander mongooltje dat de source van HOd's exploit in zn botje heeft geplakt.
Het zou pas uber zijn, dat zolang er 1 variant verspreid is. Hij als server kan dienen. Zodat de andere varianten kunnen updaten, en constant kunnen updaten.

Of ben ik nu een doem scenario aan het bedenken?
Dan mogen ze wel veel gaten ontdekken in Windows en snel ook, als je steeds wilt updaten :z
Dat gaat dus nooit lukken, zo zie je met 1 patch trap je meteen de deur dicht voor zo'n wurmpie, daar kunnen ze nooit tegen updaten.
als het nu zelf lerende wormen zijn. die zich diep nestelen.
Dan zitten we verdacht in de buurt van "echte" DNA/RNA virussen...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True