Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Zotob - Automatic Wurm nutzt Plug & Play Luecke
Rokop Security > Security > Trojaner, Viren und Würmer
Remover
Achtung - ein neuer Wurm verwendet bereits die Plug & Play MS05-39Luecke TCP Port 445

Zotob.A is a Mytob clone that spreads using a vulnerability in Windows Plug and Play service (MS05-039).

http://www.f-secure.com/v-descs/zotob_a.shtml

http://www.microsoft.com/technet/security/...n/MS05-039.mspx
Rene-gad
@Remover
TNX. Patch KB899588 wurde beim letzten Patchday am 09.08.2005 zum DL bereitgestellt wink.gif
Remover
Ja die Luecke wurde erst vor 5 Tagen geschlossen.
Das einzig gute ist, das er keine Windows XP SP2 und Windows 2003 Systeme befallen kann!!! Dafuer enthaelt der Wurm einige Bot Funktionen, es scheint sowieso eine modifizierte MyTob Variante zu sein.


EDIT:
Es wird mittlerweile auch ein SDBOT Wurm gemeldet, der die Luecke aktiv ausnutzt!!!

http://vil.nai.com/vil/content/v_135434.htm
Internetfan1971
Hi Remover!

QUOTE
Das einzig gute ist, das er keine Windows XP SP2 und Windows 2003 Systeme befallen kann!!!


Ich denke Du irrst Dich oder ich kann überhaupt kein Englisch mehr... unsure.gif wink.gif

Affected Software:

Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 – Download the update

Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 – Download the update


Non-Affected Software:


Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)

http://www.microsoft.com/technet/security/...n/MS05-039.mspx


Remover
@Internetfan

Nein, ich irre mich nicht. (Ich sprach von dem Wurm, nicht von der eigentlichen Luecke)
Es kommt sogar besser, der Wurm kann auch XP SP1 nicht befallen,
da er dort zumindest einen Accountnamen mit Passwort wissen muesste
um die Luecke ausnutzen zu koennen!!
Bei XP SP2 mueste der Wurm sogar einen Account mit Adminrechten benutzen
und bei XP SP1 reicht dagegen ein normaler Standard Account, der Wurm versucht
aber gar nicht irgendwelche Passwoerter und Accounts zu erraten, jedenfalls bis jetzt noch nicht.

Das heisst nur Windows 2000 Systeme sind akut gefaehrdet!
Da greift die Luecke voellig anonym per Remote....

Ach ja, Zotob.B ist auch bereits unterwegs.





Rene-gad
@Remover
QUOTE
Ach ja, Zotob.B ist auch bereits unterwegs.

Na ja, mindestens noch eine erfreuliche Nachricht. wink.gif
paff
Hier was zum Zotob.B

http://www.f-secure.com/v-descs/zotob_b.shtml#summary

QUOTE
NAME:Zotob.B
SIZE: 15386

Summary
Zotob.B is a minor variant of Zotob.A. It spreads using a vulnerability in Windows Plug and Play service (MS05-039).

Detailed Description

The worm is a packed PE executable file 15386 bytes long.

Installation to system

When run, the worm copies under %SYSTEM% directory using the name 'csm.exe' and creates a named mutex 'B-O-T-Z-O-R' for making sure that only one copy of the worm is run at the same time.

Then it adds the following registry entries to ensure that it is started when a user logs on or the system is restarted:


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"csm Win Updates" = "csm.exe"

The worm also adds the following registry key for diasabling shared access service:


[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = "4"

Spreading using Plug and Play service vulnerability

The worm scans for systems vulnerable to Microsoft Windows Plug and Play service (MS05-039) through TCP/445.

It creates 200 threads that connect to random IP addresses within the B-class (255.255.0.0) network of the infected system. First it tests connection to port 445 and if successful, it tries to exploit the vulnerability. If the attack is successful a shell (cmd.exe) is started on port 8888. Through the shell port, the worm sends a ftp script which instructs the remote computer to download and execute the worm from the attacker computer using FTP. The FTP server listens on port 33333 on all infected computers with the purpose of serving out the worm for other hosts that are being infected. The downloaded file is saved as 'haha.exe' on disk.

Here's the summary of the ports used in attack:

Port 445 - The worm scans for systems vulnerable to PnP exploit through this port

Port 33333 - FTP server port on infected systems

Port 8888 - The command shell port opened by the exploit code

The exploit uses fixed offsets inside Windows 2000 version of umpnpmgr.dll. This means that only Windows 2000 systems (SP0-4) are affected.

Please see the following page for detailed information on the vulnerability:

http://www.microsoft.com/technet/security/...n/MS05-039.mspx

Bot functionality

The worm tries to connect to IRC channel at predefined address. The attacker who knows channel password can instruct the bot to execute the following actions:


Disconnect/reconnect from the IRC channel
Request system information
Download and execute files
Remove worm from the system
Manipulate system security settings

Other details

Zotob.B modifies system hosts file in order to disable access to certain sites. Following hostnames are redirected to localhost IP address (127.0.0.1):


avp.com
ca.com
.... Liste gekürzt
www.virustotal.com

The worm also writes the following text to hosts file:
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

Man darf gespannt sein wink.gif
Remover
Stimmt...

http://www.symantec.com/avcenter/venc/data/w32.zotob.d.html

wobei das schon nach professioneller Arbeit aussieht:
http://www.symantec.com/avcenter/venc/data...obax.af@mm.html (alias Mydoom)

und Symantec liefert noch das hier:
http://www.symantec.com/avcenter/venc/data...moval.tool.html


Wie ist eigentlich derzeit die Lage der Nation....ist jemand schon auf die Teile gestossen
und/oder hat Mails dieser Wuermer bei sich im Postfach gesehen?
(Mir persoenlich ist noch kein MS05-39 Wurm begegnet...euch vielleicht!?)
Voyager
und von wegen symantec wäre zu langsam !? rolleyes.gif
ZOTOB a / b war erst über liveupdate am 17.8. geplant , betasignaturen und tägliche signaturen im SARC intelligent installer gab es aber schon über webseite am 14.8. ab sofort. das wurde dann mit einem zwischen geschossenem liveupdate zum 15.8. alles wieder zurückdatiert auf der webseite und weitere varianten wurden in den sigs gleich eingefügt.
Zotob.D muckiert sich als der grosse spywarelöscher?! biggrin.gif aber morgen hatts den dann auch angeschi**en , da gibts signaturen.
skep
Na endlich mal wieder ein Würmchen mit "Erfolg". So wie es aussieht hat er (kleine) Teile der Systeme vom Capitol Hill, CNN, ABC, The New York Times, UPS, General Electric und Caterpillar lahmgelegt. Ebenfalls betroffen waren Büros des Flughafens in San Francisco.
Anscheinend ist Zotob.E der Übeltäter...

Nachtrag: heise.de hat nun auch ein Artikel dazu...
Rios
Ja es ist so, und das ganze soll seit Dienstag Mittag im Gange sein.

Rios ph34r.gif
Remover
Mittlerweile geht es wirklich rund.
Da scheint schon wieder eine Art Botkrieg auszubrechen.
Die Bots loeschen sich gegenseitig und reissen sich um inifzierbare
ungepatchte Windows 2000 Systeme.

Zotob.E scheint fast die halbe USA lahm gelegt zu haben....
Voyager
@Remover

wo liesst du das? ich will das auch nachlesen wink.gif
JFK
Dan lies mal hier und hier oder auch hier wink.gif smile.gif

JFK
Voyager
@JFK

danke die heutigen news kenne ich schon, ich bezog mich auf removers post.
Remover
Da gibt es mehrere Quellen, eine ist z.b. die hier:

http://www.f-secure.com/weblog/

QUOTE
It seems there are two groups that are fighting: IRCBot and Bozori vs Zotobs and the other Bots.

See our high-tech illustration for details.
Voyager
jo, hab auch gerade eben eine quelle gefunden.
Krieg der Bot-Würmer
http://www.computerwelt.at/detailArticlePr.asp?a=95805&n=4
Rios
Hallo, alles nur Hysterie???
http://www.pcwelt.de/news/sicherheit/118185/index.html
http://www.kaspersky.com/de/news?id=168733824

warten wir es ab. confused.gif
Voyager
ich glaube im prinzip auch das es zwar news-intensive angriffe auf win2000-nutzer gab aber grosse wellen dürften die P&P würmers nicht drehen weil win2000 im gegensatz zu winXP beim fussvolk eigentlich weniger verbreitet ist.
Remover
Beim Fussvolk vielleicht, aber viele Firmen verwenden noch Windows 2000.
Musste erst gestern wieder in einer Updates fahren, dort hatte man noch SP2
am laufen.

Kaspersky hat ja heute auch einen neuen Bericht rausgebracht,
das sich die zeiten mal wieder geaendert haben und es jetzt halt
mehr lokale Outbreaks innerhalb von Grossfirmen gibt aber eben
praktisch keine globalen mehr.
Internetfan1971
Hallo,

PC Welt hat die Reaktionszeiten der AV-Hersteller veröffentlicht.

Nod32 und Pandas TruPrevent z. B. haben die Würmer so erkannt und KAV ist von den Reaktionszeiten weit vorne oder Platz 1 wink.gif

Das man zum Teil aber mehr als ein halben Tag oder länger auf Signaturen von den Herstellern warten muß finde ich allerdings doch bedenklich! dry.gif

http://www.pcwelt.de/news/sicherheit/118264/index.html

Rios
Hallo.
die Übeltäter die Zotop ins Net schickten sind festgenommen worden. Microsoft und FBI waren an den Ermittlungen beteiligt. Grüße aus der Türkei und Marocko.
http://futurezone.orf.at/futurezone.orf?re...73476&tmp=98124

Rios ph34r.gif
Remover
Im F-Secure Weblog steht auch bereits etwas dazu.

QUOTE
Moroccan authorities arrested "Diabl0", aka Farid Essebar and Turkey authorities arrested "Coder", aka Atilla Ekici. The suspects are aged 18 and 21


Mehr dazu unter http://www.f-secure.com/weblog/
Voyager
und nochn paar links
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.