[SECURITY-L] CAIS-Alerta: Propagacao da familia de worms Zotob

CSIRT - UNICAMP security em unicamp.br
Qui Ago 18 11:32:16 -03 2005 

Date: Thu, 18 Aug 2005 11:10:08 -0300 (BRST)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Subject: CAIS-Alerta: Propagacao da familia de worms Zotob


Prezados,

O CAIS vem acompanhando desde 14 de Agosto a propagacao de uma nova 
familia de worms: Zotob. Este worm se propaga explorando uma 
vulnerabilidade no servico "Plug and Play" descrita no boletim da 
Microsoft MS05-039, publicado em 9 de Agosto.

O comportamento de propagacao deste worm e´ diferente de variante para 
variante, mas em comum todas efetuam varreduras pela porta 445/TCP em 
hosts aleatorios. Uma vez encontrado um host vulneravel, o codigo do 
exploit efetua download por FTP do arquivo de virus da maquina que efetuou 
a varredura, ativa um servidor FTP na porta 33333/TCP do host infectado e 
prosegue procurando por novos alvos.

Outras portas envolvidas, que variam de variante para variante, sao:

 . 8594/TCP - backdoor criado na maquina explorada 

 . 8080/TCP ou 6667/TCP - servidores IRC aos quais as maquinas exploradas 
   se conectam para receber comandos

 . 69/UDP - outra forma de distribuicao do codigo do virus, via TFTP

 . 117/TCP - outra forma de distribuicao do codigo do virus, via FTP

Ate´ o momento esta vulnerabilidade esta´ sendo explorada pelos seguintes 
softwares maliciosos:

. pelo menos 3 exploits, sendo um deles parte do Metasploit Framework
. 8 variantes do worm Zotob (Symantec)
. 2 variantes do worm Bozori (.A, .B)
. 3 classes de bots: Rbot (.ADB), Sdbot (.YN) e CodBot
. 3 IRCbots (.ES, .ET and .EX)

Diante deste quadro reiteramos a necessidade de se instalar a correcao 
divulgada no boletim MS05-039. Embora a vulnerabilidade afete apenas uma 
parcela de hosts Windows (hosts com 445/TCP filtrado por firewall e/ou 
Windows XP SP2 nao sao afetados), hosts com Windows 95, 98, Me e NT4 tem 
utilidade na fase de propagacao do worm.

Para saber quais os sistemas afetados e correcoes disponiveis consulte o 
alerta do CAIS referente ao boletim MS05-039, listado na secao "Mais 
informacoes". Para detectar sistemas vulneraveis em sua rede sugerimos que 
utilize a ferramenta NOXscan. Voce tambem pode detectar sistemas sendo 
explorados por meio de regras Bleeding Snort. Tanto a ferramenta quanto as 
regras estao listadas na secao "Mais informacoes".


Mais informacoes:

. CAIS-Alerta: Vulnerabilidades no Windows Plug and Play (MS05-039)
  http://www.rnp.br/cais/alertas/2005/MS05-039.html

. MS05-039 - Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)
  http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

. Microsoft Security - What You Should Know About Zotob
  http://www.microsoft.com/security/incident/zotob.mspx

. ISC - Handler's Diary August 17th 2005 - Analysis of Zotob versions
  http://isc.sans.org/diary.php?date=2005-08-17

. LURHQ - MS05-039 PNP Worms
  http://www.lurhq.com/pnpworms.html

. Symantec Security Response - W32.Zotob.H
  http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.h.html

. F-Secure News from the Lab - Wednesday, August 17, 2005
  This is not a viruswar, this is a botwar!
  http://www.f-secure.com/weblog/archives/archive-082005.html#00000631

. York CNS Information Security Unsupported Tools
  NOXscan.c - busca hosts vulneraveis a MS05-039, MS04-011 e MS04-007 
  http://infosec.yorku.ca/tools/

. Bleeding Snort - EXPLOIT - EXPLOIT_MS05-039
  http://www.bleedingsnort.com/cgi-bin/viewcvs.cgi/EXPLOIT/EXPLOIT_MS05-039

. FrSIRT - Microsoft Windows 2000 Plug and Play Universal Remote Exploit (MS05-039)
  http://www.frsirt.com/exploits/20050811.MS05-039.c.php

. HOD-ms05039-pnp-expl.c - (MS05-039) Microsoft Windows Plug-and-Play 
  Service Remote Overflow Universal Exploit + no crash shellcode
  http://packetstorm.linuxsecurity.com/0508-exploits/HOD-ms05039-pnp-expl.c

. Metasploit Framework: Microsoft PnP MS05-039 Overflow
  http://metasploit.com/projects/Framework/exploits.html#ms05_039_pnp

. Microsoft Brasil Security
  http://www.microsoft.com/brasil/security

. Technet Brasil - Central de Seguranca
  http://www.technetbrasil.com.br/seguranca


Identificador CVE (http://www.cve.mitre.org): CAN-2005-1983


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos
sempre atualizados, de acordo com as ultimas versoes e correcoes
oferecidas pelos fabricantes.


O CAIS Alerta tambem e' oferecido no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L