CERT-FI varoitus 59/2005

14.8.2005

Zotob.A-haittaohjelma leviää

Zotob.A on verkkomato, joka havaittiin ensimmäisen kerran 14.8.2005. Zotob.A-saastuttaa Microsoft Windows Plug and Play -haavoittuvuudelle alttiita tietojärjestelmiä. CERT-FI on julkaissut Microsoft Windows-käyttöjärjestelmän haavoittuvuuksista varoituksen 58/2005.

Saastuttaessaan kohdetietojärjestelmän Zotob.A kopioi itsensä Windows-käyttöjärjestelmän %SYSTEM% -hakemistoon nimellä 'botzor.exe'.

Tämän jälkeen Zotob.A lisää Windows-käyttöjärjestelmän rekisteriasetuksiin seuraavat arvot varmistaakseen haittaohjelmakoodin aktivoitumisen, kun tietojärjestelmän käyttäjä kirjautuu järjestelmään tai järjestelmä uudelleenkäynnistetään:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = "botzor.exe"

Saastutettuaan kohdejärjestelmän Zatob.A avaa komentokehotteen porttiin 8888. Tämän portin välityksellä Zotob.A komentaa toista saastunutta tietojärjestelmää lataamaan ja suorittamaan matokoodia kohdetietojärjestelmässä FTP (File Transfer Protocol) -protokollan välityksellä. Haittaohjelma avaa FTP-palvelun saastuneiden tietojärjestelmien porttiin 33333. Kohdetietojärjestelmään ladatun tiedoston nimi on 'haha.exe'.

Saastutettuaan kohdejärjestelmän Zotob.A yrittää myös ottaa yhteyttä IRC (Internet Relay Chat)-kanavalle ennalta määrättyyn osoitteeseen. Hyökkääjä voi suorittaa komentoja saastuneissa tietojärjestelmissä tämän IRC-kanavan välityksellä.

VAROITUKSEN KOHDERYHMÄ:

Microsoft Windows Plug and Play (MS05-039 / CERT-FI 58/2005) -haavoittuvuudelle alttiit tietojärjestelmät

Windows XP Service Pack 2:lla sekä Windows 2003 Server -käyttöjärjestelmillä varustetut tietojärjestelmät eivät todennäköisesti ole alttiita Zotob.A-haittaohjelman aiheuttamalle saastumiselle.