Propagation de Zotob.A – Risque élevé 3/4

Il n’aura fallut quelques jours entre la déclaration/correction de la faille MS05-039 et l’apparition d’un ver exploitant cette vulnérabilité liée au module Plug & Play de Windows.

Clone de Mytob mais en bien plus fourbe, Zotob.A est très dangereux pour les machines sous Windows 2000. Effectivement sur ces dernières l’exploitation de la vulnérabilité (MS05-039) se fait à distance, via le port TCP 445 alors que sous Windows XP/2003 il est nécessaire d’avoir un accès local à la machine.

Le ver s’installe confortablement sur la machine, se fixe dans la base de registre, écrase le fichier host, lance un serveur FTP, un backdoor et se connecte même à IRC, permettant ainsi à son auteur de manipuler complètement la machine victime à distance.

Windows 2000 étant encore un système d’exploitation très utilisé il est donc important d’installer le correctif KB899588.

N’oublions pas que les postes infectés par ce ver deviennent des propagateurs en puissance et ce, sans aucune manifestation quelconque de sa présence à l’utilisateur.

Pour plus d’informations :
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
http://www.frsirt.com/virus/20050814.ZotobA.php

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.