New worm Zotob found

[Marc]

New worm known as Zotob using the MS05-39 Plug-and-Play vulnerability has been found.

This is nasty, as patches for this vulnerability have only been available for five days. Patch now.

The worm is based on Mytob and might be using exploit code published by 'houseofdabus' four days ago.

This whole case has a nasty ring to it...the infamous Sasser worm was released two days after houseofdabus released exploit code for the LSASS vulnerability.

However, Zotob is not going to become another Sasser. First of all, it will not infect Windows XP SP2 machines. It also won't infect machines that have 445/TCP blocked at the firewall. As a result, majority of Windows boxes in the net won't be hit by it.

This worm replicates by scanning random machines at port 445/TCP. When a victim is found, the exploit code downloads the main virus file via ftp from the scanning machine, sets up ftp server on the infected machine and starts scanning for more targets.

While we were adding detection of this worm, we found this message hidden inside the virus:

MSG to avs: the first av who detect this worm
will be the first killed in the next 24hours!!!

We detect Zotob with update 2005_08_14-01

http://www.f-secure.com/weblog/

[Ruby]

Wer zu Marc's Beitrag gerne in deutscher Sprache umfassend informiert werden möchte, möge einen Bericht von heise online lesen:

"Ein neuer Wurm namens Zotob nutzt die letzte Woche bekannt gewordene Schwachstelle der Windows Plug&Play-Schnittstelle, um Windows-Systeme übers Netz zu infizieren. Microsoft hat letzte Woche einen Patch für dieses Problem bereit gestellt; bereits wenige Tage danach sind erste Exploits veröffentlicht worden. Gefährdet sind vor allem ungepatchte Windows-2000-Systeme, weil hier der Zugriff auf die Plug&Play-Dienste anonym übers Netz möglich ist."

Während darüber spekuliert werden darf, was wohl grösser sein mag, der Schaden oder die Aufregung, die der Wurm verursacht hat, nahm Microsoft die Gelegenheit zum Anlass, um mit aktuellen Signaturen gegen die bisjetzt bekannten Zotob Varianten vorzugehen: Win32/Zotob.A, Win32/Zotob.B, Win32/Zotob.C, Win32/Zotob.D, Win32/Zotob.E.

Das Malicious Software Removal Tool, ein Removal Tool von Microsoft vom Januar 2005 unterstützt die Erkennung und Entfernung dieser und anderer Würmer. Das Removal Tool wird jeweils an den Patchdays geupdatet und kann entweder separat oder im Rahmen der automatischen Windows Updates runtergeladen werden. Es ist ausschliesslich anwendbar unter folgenden Betriebssystemen: Windows XP, Windows 2000, und Windows Server 2003. Eine Liste der bis jetzt erfassten Malware kann ->hier eingesehen werden.

Das Removal Tool von Microsoft ersetzt kein AntiViren Programm, ist auch nicht in der Lage ein System vor den aufgeführten Würmern zu schützen. Es kann den Schaden aber eingrenzen, den "findige Programmierer von Malware" in den immer wieder auftretenden Lücken im Windows-Betriebssystem anzurichten versuchen. Es empfiehlt sich dringend die Betriebssysteme geupdatet zu halten und sie mit Umsicht und Einsicht zu schützen: Schutz vor Neuinfektion, ein Beitrag der sowohl vor Erst-Infektion als auch vor Neu-Infektion bewahren kann.