Le vers Zotob s’en prend au service « Plug & Play » de Windows 2000

Le défaut de sécurité fut découvert par Neel Mehta de la société ISS qui s’est récemment illustré à travers la découverte de nombreuses failles affectant la quasi-totalité des antivirus du marché. Le bulletin de sécurité MS05-039 annonce publiquement la faille le 9 août dernier. Moins de 10 jours après la publication, le ver « Zotob » fait ses premières victimes dont CNN, ABC et le New York Times. D’après Microsoft, ce nouveau malware n’affecte que le système d’exploitation Windows 2000 cependant, si la charge utile du ver était modifiée, il pourrait affecter d’autres versions de Windows.

Les machines vulnérables sont infectées via le port TCP/445. Le ver s’installe alors au cœur du système dans le répertoire « %system% » sous le sobriquet de « botzor.exe ». Après plusieurs modifications de la base de registre, le ver écrase le fichier « HOST » afin de bloquer l’accès aux sites de mises à jour de plusieurs antivirus. Une fois le ver dans le fruit, Zotob place une porte dérobée sur le port 8888 ainsi qu’un serveur FTP sur le port 33333 et se connecte à un serveur « IRC » attendant ainsi les ordres de son géniteur. D’après plusieurs éditeurs de solutions antivirus, plusieurs variantes du ver « Zotob » seraient déjà en circulation sur la toile.

Il est vivement conseillé, si ce n’est déjà fait, d’appliquer le correctif permettant d’immuniser vos machines contre la vulnérabilité affectant le service « Plug & Play » disponible sur le site de Microsoft. En attendant, n’hésitez pas à filtrer le port 445 à l’aide de votre firewall favori.