[SECURITY-L] CAIS-Alerta: Propagacao da familia de worms Zotob
CSIRT - UNICAMP
security em unicamp.br
Qui Ago 18 11:32:16 -03 2005
Date: Thu, 18 Aug 2005 11:10:08 -0300 (BRST)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Subject: CAIS-Alerta: Propagacao da familia de worms Zotob
Prezados,
O CAIS vem acompanhando desde 14 de Agosto a propagacao de uma nova
familia de worms: Zotob. Este worm se propaga explorando uma
vulnerabilidade no servico "Plug and Play" descrita no boletim da
Microsoft MS05-039, publicado em 9 de Agosto.
O comportamento de propagacao deste worm e´ diferente de variante para
variante, mas em comum todas efetuam varreduras pela porta 445/TCP em
hosts aleatorios. Uma vez encontrado um host vulneravel, o codigo do
exploit efetua download por FTP do arquivo de virus da maquina que efetuou
a varredura, ativa um servidor FTP na porta 33333/TCP do host infectado e
prosegue procurando por novos alvos.
Outras portas envolvidas, que variam de variante para variante, sao:
. 8594/TCP - backdoor criado na maquina explorada
. 8080/TCP ou 6667/TCP - servidores IRC aos quais as maquinas exploradas
se conectam para receber comandos
. 69/UDP - outra forma de distribuicao do codigo do virus, via TFTP
. 117/TCP - outra forma de distribuicao do codigo do virus, via FTP
Ate´ o momento esta vulnerabilidade esta´ sendo explorada pelos seguintes
softwares maliciosos:
. pelo menos 3 exploits, sendo um deles parte do Metasploit Framework
. 8 variantes do worm Zotob (Symantec)
. 2 variantes do worm Bozori (.A, .B)
. 3 classes de bots: Rbot (.ADB), Sdbot (.YN) e CodBot
. 3 IRCbots (.ES, .ET and .EX)
Diante deste quadro reiteramos a necessidade de se instalar a correcao
divulgada no boletim MS05-039. Embora a vulnerabilidade afete apenas uma
parcela de hosts Windows (hosts com 445/TCP filtrado por firewall e/ou
Windows XP SP2 nao sao afetados), hosts com Windows 95, 98, Me e NT4 tem
utilidade na fase de propagacao do worm.
Para saber quais os sistemas afetados e correcoes disponiveis consulte o
alerta do CAIS referente ao boletim MS05-039, listado na secao "Mais
informacoes". Para detectar sistemas vulneraveis em sua rede sugerimos que
utilize a ferramenta NOXscan. Voce tambem pode detectar sistemas sendo
explorados por meio de regras Bleeding Snort. Tanto a ferramenta quanto as
regras estao listadas na secao "Mais informacoes".
Mais informacoes:
. CAIS-Alerta: Vulnerabilidades no Windows Plug and Play (MS05-039)
http://www.rnp.br/cais/alertas/2005/MS05-039.html
. MS05-039 - Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
. Microsoft Security - What You Should Know About Zotob
http://www.microsoft.com/security/incident/zotob.mspx
. ISC - Handler's Diary August 17th 2005 - Analysis of Zotob versions
http://isc.sans.org/diary.php?date=2005-08-17
. LURHQ - MS05-039 PNP Worms
http://www.lurhq.com/pnpworms.html
. Symantec Security Response - W32.Zotob.H
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.h.html
. F-Secure News from the Lab - Wednesday, August 17, 2005
This is not a viruswar, this is a botwar!
http://www.f-secure.com/weblog/archives/archive-082005.html#00000631
. York CNS Information Security Unsupported Tools
NOXscan.c - busca hosts vulneraveis a MS05-039, MS04-011 e MS04-007
http://infosec.yorku.ca/tools/
. Bleeding Snort - EXPLOIT - EXPLOIT_MS05-039
http://www.bleedingsnort.com/cgi-bin/viewcvs.cgi/EXPLOIT/EXPLOIT_MS05-039
. FrSIRT - Microsoft Windows 2000 Plug and Play Universal Remote Exploit (MS05-039)
http://www.frsirt.com/exploits/20050811.MS05-039.c.php
. HOD-ms05039-pnp-expl.c - (MS05-039) Microsoft Windows Plug-and-Play
Service Remote Overflow Universal Exploit + no crash shellcode
http://packetstorm.linuxsecurity.com/0508-exploits/HOD-ms05039-pnp-expl.c
. Metasploit Framework: Microsoft PnP MS05-039 Overflow
http://metasploit.com/projects/Framework/exploits.html#ms05_039_pnp
. Microsoft Brasil Security
http://www.microsoft.com/brasil/security
. Technet Brasil - Central de Seguranca
http://www.technetbrasil.com.br/seguranca
Identificador CVE (http://www.cve.mitre.org): CAN-2005-1983
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos
sempre atualizados, de acordo com as ultimas versoes e correcoes
oferecidas pelos fabricantes.
O CAIS Alerta tambem e' oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L