Zotob.E

[papatte]

RESUME DE L'ALERTE

 

Zotob.E est une variante plus virulente du virus Zotob.A, ciblant les ordinateurs vulnérables à la faille Microsoft PnP. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu,le virus tente de l'infecter via le port TCP 445 sans intervention de l'utilisateur, installe une porte dérobée autorisant la prise de contrôle à distance, puis scanne le réseau à la recherche de nouvelles machines vulnérables, provoquant un plantage et redémarrage continuels du système.

 

SYSTEME(S) CONCERNE(S)

 

Windows 2000

 

INFOS :

http://www.secuser.com/

et

http://www.secuser.com/alertes/2005/zotobe.htm

http://www.secuser.com/communiques/2005/050809_windows.htm

http://www.secuser.com/outils/index.htm#windowsupdate

[ipl_001]

Bonjour papatte, bonjour à tous,

 

Comme d'habitude, tu postes un message très important ! Merci papatte !

 

J'ai reçu un message de Hunter en début d'après midi qui me souhaite que Zotob n'arrive pas jusqu'en Europe car les choses sont très dures aux US !

 

Désolé d'être si occupé durant mes journées...

 

Je posterai plus explicitement un peu plus tard en espérant que je ne m'endorme pas devant les infos ou que je ne sois pas trop enthousisimé par Zizou !

 

@ 12C4

[papatte]

Bonjour papatte, bonjour à tous,

 

J'ai reçu un message de Hunter en début d'après midi qui me souhaite que Zotob n'arrive pas jusqu'en Europe car les choses sont très dures aux US !

 

@ 12C4

553632[/snapback]

 

 

Bonsoir Ipl

L'idée (probable) qu'il arrive en Europe... et assez vite me devrait faire frémir !

pour ceux que ça intéresse :

http://www.liberation.fr/page.php?Article=317830

http://actualite.free.fr/actu.pl?doc=multi...US-20050817.XML

Ce n'est pas le top de l'info en la matière mais donne une idée....

[Invité tesgaz]

Salut,

 

merci pour l'info

 

pnp, c'est plutot le port 1900 et le port 5000

 

le port 445 c'est le smb ( partage d'imprimante)

je ne comprend pas l'histoire, pourquoi la faille est sur le port 5000 ou 1900 et que l'attaque ce fait par le 445 (comme sasser)

 

mettez ZebProtect, ca fait bientot 2 ans qu'on ferme ces ports en interne

Modifié le 17 août 2005 par tesgaz

[ipl_001]

Bonsoir papatte, tesgaz, bonsoir à tous,

 

Je ne me suis pas endormi ! J'espère que vous n'aviez pas cru que je pouvais préférer Zidane à Zebulon ! LOL

 

Je pense être plus utile ici que devant mon poste de TV !

 

Je ne sais plus combien, statistiquement, il y a de "virus majeurs" par an... est-ce que ce Zotob en est un ?

 

Je crois qu'il serait bien qu'on se répare une petite fiche pour se préparer à contrer chacun des gros malwares !

 

-----

 

Hunter m'adresse donc des informations au sujet des variantes de Zotob en attirant mon attention sur des discussions en cours :

 

-> "RBOT.CBQ; RBOT.CBR and Zotob.d worms (new)" sur DSLreports - http://www.dslreports.com/forum/remark,14148491 avec CalamityJane, TeMerc, Crystal Sky, jvmorris, Name Game (que vous reconnaitrez sans doute) et plein d'autres experts !

Cette discussion a été lancée le 16 août et continue en ce moment ! elle comporte 23 réponses et 958 lectures uniques

 

-> "Virus that shuts down Windows 2000 in 1 min..." sur DSLR - http://www.dslreports.com/forum/remark,14147296 avec donoreo, slashman, jbo, Matrix et autres premiums !

La discussion a été lancée le 16 août et se continue ; elle comporte 112 réponses et 8341 lectures uniques

 

-> "More 445 sample attacks" sur DSLR - http://www.dslreports.com/forum/remark,14125467 avec Link Logger, dannyboy 950, SherriBabee, jvmorris et autres

commencée le 13 août ; très technique, elle comporte 46 réponses et 1407 lectures uniques

 

Je tacherai de les lire attentivement un peu plus tard et d'en rapporter ici des méthodes de nettoyage et des outils antidotes !

 

Merci Hunter !

 

N.B.: DSLReports alias BroadBand Reports est ce site dont je vantais les articles ce dernier week-end : http://www.dslreports.com/forum/security !

( "FAQ de BBR (BroadBand Reports)" - http://forum.zebulon.fr/index.php?showtopic=72559&hl= )

[papatte]

a-squared communique :

 

 

Les nouvelles variantes du Ver Mytob utilisent un point faible dans l'interface du Plug&Play de Windows, pour infecter le système de Windows. a-squared reconnait le Ver en tant que Net-Worm.Win32.Mytob.cd, Mytob.cf, Mytob.ch ainsi que le Trojan-Backdoor installé automatiquement sous le nom de Backdoor.Win32.IRCBot.et. Toutefois, souvent les médias utilisent le terme générique de Zotob-Worm.

 

Ce point faible concerne principalement Windows 2000, mais peut toutefois, être utilisé aussi avec les systémes de Windows XP et 2003 Serveurs de Microsoft. Les systèmes Windows 98 et ME ne sont pas concernés.

 

Le Ver télécharge un IRC Trojan-Backdoor de l'Internet, par lequel le PC contaminé pourra être pris en charge, c.à.d que le pirate aura le plein control de l'ordinateur.

 

Remède:

 

Assurez-vous que le Patch pour Windows avec le Numéro KB899588 soit installé dans votre systéme. Vous pouvez soit télécharger le Patch manullement chez Microsoft, ou soit vous servir du Windows-Update automatique.

 

KB899588: http://www.microsoft.com/france/technet/se...e/ms05-039.mspx

Windowsupdate: http://www.windowsupdate.com

 

Les utilisateurs de a-squared Free devraient faire absolument la mise à jour en ligne et scanner leur système, afin que le Ver puisse être supprimé après une infection.

 

Les utilisateur de a-squared Personal sont aussi protégés sans faire de mise à jour, puisque la nouvelle technologie IDS du gardien d'arrière-plan est intégrée, donc le ver sera immédiatement reconnu au moyen de l'analyse de comportement, aussitôt qu'il montrera un comportement nuisible.

 

 

 

 

http://www.emsisoft.net

[ipl_001]

Bonsoir papatte, tesgaz, bonsoir à tous,

 

Merci d'avoir fait remonter la discussion car j'ai des choses à dire... il y a eu une première infection sur mon site (ma société) aujourd'hui !

 

Les éditeurs AntiVirus ont bien travaillé et il y a des antidotes efficaces !

 

----------------------------------------------------------------------------------

 

SecUser :

infos -> http://www.secuser.com/alertes/2005/zotobe.htm

 

SYSTEME(S) CONCERNE(S) :

Windows 2000

 

ALIAS :

Bozori.A (F-Secure)

Net-Worm.Win32.Small.d (Kaspersky)

W32/IRCbot.worm!MS05-039 (Mc Afee)

W32/IRCbot.KC.worm (Panda Software)

W32/Tpbot-A (Sophos)

W32.Zotob.E (Symantec)

WORM_RBOT.CBQ (Trend Micro)

Net-Worm.Win32.Bozori.a

 

TAILLE :

10.366 octets

 

DECOUVERTE :

16/08/2005

 

Désinfection :

Infos SecUser -> http://www.secuser.com/communiques/2005/050809_windows.htm

Windows Update -> http://windowsupdate.microsoft.com/

Pour contrer la faille : "Microsoft Security Bulletin MS05-039" -> http://www.microsoft.com/technet/security/...n/MS05-039.mspx

FixZotob de Symantec -> http://securityresponse.symantec.com/avcenter/FixZotob.exe

----------------------------------------------------------------------------------

 

Symantec (Norton) a bien travaillé (Last Updated on: August 18, 2005 04:33:59 PM PDT) :

Page d'information à jour -> http://symantec.com/avcenter/venc/data/w32...moval.tool.html

 

          o W32.Zotob.A

          o W32.Zotob.B

          o W32.Zotob.C@mm

          o W32.Zotob.D

          o W32.Zotob.E

          o W32.Zotob.F

          o W32.Zotob.G

 

Antidote chez Symantec -> http://securityresponse.symantec.com/avcenter/FixZotob.exe

 

Un antidote assez sophistiqué avec différents paramètres :

  1. Terminates the associated processes

  2. Deletes the associated files

  3. Deletes the registry values added by the threat

  4. Restores the Shared Access service to the Microsoft Windows default.

 

Tout le détail de la procédure sur la page Web dont l'URL est donnée ci-dessus.

----------------------------------------------------------------------------------

 

Network Associates (McAfee) a mis à jour leur multiantidote Stinger le 16 août 2005 :

infos -> http://vil.nai.com/vil/stinger/

Téléchargement Stinger -> http://download.nai.com/products/mcafee-avert/stinger.exe

 

18 fois 3 = 54 malwares contrès parmi les plus virulents !

BackDoor-AQJ  BackDoor-ALI  BackDoor-CEB

BackDoor-JZ  Bat/Mumu.worm  Downloader-DN.a

Exploit-DcomRpc  Exploit-LSASS  Exploit-MS04-011

HideWindow  IPCScan  IRC/Flood.ap.dr

IRC/Flood.bi.dr  IRC/Flood.cd  NTServiceLoader

ProcKill  PWS-Narod  PWS-Sincom.dll

W32/Anig.worm  W32/Bagle@MM  W32/Blaster.worm (Lovsan)

W32/Bropia.worm  W32/Bugbear@MM  W32/Deborm.worm.gen

W32/Doomjuice.worm  W32/Dumaru  W32/Elkern.cav

W32/Fizzer.gen@MM  W32/FunLove  W32/IRCbot.worm

W32/Klez  W32/Korgo.worm  W32/Lirva

W32/Lovgate  W32/Mimail  W32/MoFei.worm

W32/Mumu.b.worm  W32/MyDoom  W32/Nachi.worm

W32/Netsky  W32/Nimda  W32/Pate

W32/Polybot  W32/Sasser.worm  W32/Sdbot.worm.gen

W32/SirCam@MM  W32/Sober  W32/Sobig

W32/SQLSlammer.worm  W32/Swen@MM  W32/Yaha@MM

W32/Zafi  W32/Zindos.worm  W32/Zotob.worm

----------------------------------------------------------------------------------

Il est bon de s'intéresser aussi à Troj/Fakezo-A qui prétend être un outil de désinfection de Symantec pour Zotob-A

 

http://www.sophos.com/virusinfo/analyses/trojfakezoa.html

 

Aliases * Trojan-Dropper.Win32.Agent.sg * BackDoor-CKB

 

Protection available since 16 August 2005 20:13:03 (GMT)

Included in our products from October 2005 (3.98) <- pas très réactifs chez Sophos !

 

Ce malware installe :

10123.exe qui est Troj/Bifrose-DC

20n1.exe qui est Troj/Winflux-C

FixZotob.exe

 

----------------------------------------------------------------------------------

 

Autres liens :

 

- F-Secure (Bozori.A) -> http://www.f-secure.com/v-descs/bozori_a.shtml

infos :

- http://www.f-secure.com/tools/f-bot.txt

- ftp://ftp.f-secure.com/anti-virus/tools/f-bot.txt

- http://www.f-secure.com/v-descs/netdisinf.shtml

désinfection (le même produit sous différentes formes) :

- http://www.f-secure.com/tools/f-bot.zip

- ftp://ftp.f-secure.com/anti-virus/tools/f-bot.zip

- http://www.f-secure.com/tools/f-bot.exe

- ftp://ftp.f-secure.com/anti-virus/tools/f-bot.exe

 

- Sans -> http://isc.sans.org/diary.php?date=2005-08-15

 

- Information week -> http://informationweek.com/story/showArtic...cleID=168602115

 

- WormBlog -> http://www.wormblog.com/

[Invité tesgaz]

Salut,

 

je reprends juste le 1er post :

Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu,le virus tente de l'infecter via le port TCP 445 sans intervention de l'utilisateur

 

C'est tout de même anormal aujourd'hui qu'une entreprise n'ai pas de parefeu sur les pcs ??

 

d'autant que depuis Blaster en 2003, c'est le premier vrai vers Internet qui a foutu le bazar !!

 

 

Des entreprises comme CNN, c'est inconcevable de voir une telle politique de protection !!!

Modifié le 18 août 2005 par tesgaz

[ipl_001]

Rebonsoir papatte, tesgaz, philae, bonsoir à tous,

 

Un autre ver qui s'est faufilé dans la faille est W32.Esbot.A !

 

--------------------------------------------------------------------------------------------------

 

Secuser :

infos -> ( http://www.secuser.com/alertes/2005/esbota.htm

 

SYSTEME(S) CONCERNE(S) :

Windows 2000

 

ALIAS :

IRCBot.es (F-Secure)

Backdoor.Win32.IRCBot.es (Kaspersky)

W32/IRCbot.gen (Mc Afee)

W32/Sdbot-ACG (Sophos)

W32.Esbot.A (Symantec)

BKDR_RBOT.BD (Trend Micro)

Win32.Mousey

Backdoor.Mousey

 

TAILLE :

8.201 octets

 

DECOUVERTE :

15/08/2005

 

Désinfection :

Infos SecUser -> http://www.secuser.com/communiques/2005/050809_windows.htm

Windows Update -> http://windowsupdate.microsoft.com/

Pour contrer la faille : "Microsoft Security Bulletin MS05-039" -> http://www.microsoft.com/technet/security/...n/MS05-039.mspx

FixEsbot de Symantec -> http://www.secuser.com/telechargement/desinfection.htm#Esbot

----------------------------------------------------------------------------------

Symantec Last Updated on: August 17, 2005 04:56:48 PM GDT) :

Page d'infoirmations à jour "W32.Esbot Removal Tool" -> http://securityresponse.symantec.com/avcen...moval.tool.html

 

Antidote chez Symantec -> http://securityresponse.symantec.com/avcenter/FixEsbot.exe

 

Un antidote assez sophistiqué avec différents paramètres...

 

Tout le détail de la procédure sur la page Web dont l'URL est donnée ci-dessus.

----------------------------------------------------------------------------------

[ipl_001]

Rebonsoir à tous,

 

Pour mémoire, la page Web des antidotes de Symantec -> http://www.symantec.com/avcenter/tools.list.html

 

Symantec est -à mon sens- le plus gros pourvoyeur d'antidotes

 

Voici le lien vers un document de queruak qui donne les équivalents chez les autres éditeurs -> http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry487279