Zotob.A-haittaohjelma leviää

Zotob.A on verkkomato, joka havaittiin ensimmäisen kerran 14.8.2005. Zotob.A-saastuttaa Microsoft Windows Plug and Play -haavoittuvuudelle alttiita tietojärjestelmiä. CERT-FI on julkaissut Microsoft Windows-käyttöjärjestelmän haavoittuvuuksista varoituksen 58/2005.

Saastuttaessaan kohdetietojärjestelmän Zotob.A kopioi itsensä Windows-käyttöjärjestelmän %SYSTEM% -hakemistoon nimellä 'botzor.exe'.

Tämän jälkeen Zotob.A lisää Windows-käyttöjärjestelmän rekisteriasetuksiin seuraavat arvot varmistaakseen haittaohjelmakoodin aktivoitumisen, kun tietojärjestelmän käyttäjä kirjautuu järjestelmään tai järjestelmä uudelleenkäynnistetään:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = "botzor.exe"

Saastutettuaan kohdejärjestelmän Zatob.A avaa komentokehotteen porttiin 8888. Tämän portin välityksellä Zotob.A komentaa toista saastunutta tietojärjestelmää lataamaan ja suorittamaan matokoodia kohdetietojärjestelmässä FTP (File Transfer Protocol) -protokollan välityksellä. Haittaohjelma avaa FTP-palvelun saastuneiden tietojärjestelmien porttiin 33333. Kohdetietojärjestelmään ladatun tiedoston nimi on 'haha.exe'.

Saastutettuaan kohdejärjestelmän Zotob.A yrittää myös ottaa yhteyttä IRC (Internet Relay Chat)-kanavalle ennalta määrättyyn osoitteeseen. Hyökkääjä voi suorittaa komentoja saastuneissa tietojärjestelmissä tämän IRC-kanavan välityksellä.

Varoituksen kohderyhmä

Windows XP Service Pack 2:lla sekä Windows 2003 Server -käyttöjärjestelmillä varustetut tietojärjestelmät eivät todennäköisesti ole alttiita Zotob.A-haittaohjelman aiheuttamalle saastumiselle.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva tietojärjestelmä Microsoftin turvatiedotteen MS05-039 -mukaisesti korjaustiedostolla, joka on ladattavissa mm. osoitteesta:

http://windowsupdate.microsoft.com

Rajaa pääsyä haavoittuvien tietojärjestelmien tietoliikenneporttiin TCP/445.

Käytä ajantasaisella virustunnistustietokannalla varustettua virustorjuntaohjelmistoa.

Lisätietoa

http://www.f-secure.com/v-descs/zotob_a.shtml

http://isc.sans.org/

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248