Il n’aura fallut quelques jours entre la déclaration/correction de la faille MS05-039 et l’apparition d’un ver exploitant cette vulnérabilité liée au module Plug & Play de Windows.
Clone de [b]Mytob[/b] mais en bien plus fourbe, [b]Zotob.A[/b] est très dangereux pour les machines sous Windows 2000. Effectivement sur ces dernières l’exploitation de la vulnérabilité ([url=http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx]MS05-039[/url]) se fait à distance, via le port [b]TCP 445[/b] alors que sous Windows XP/2003 il est nécessaire d’avoir un accès local à la machine.
Le ver s’installe confortablement sur la machine, se fixe dans la base de registre, écrase le fichier host, lance un serveur FTP, un backdoor et se connecte même à IRC, permettant ainsi à son auteur de manipuler complètement la machine victime à distance.
Windows 2000 étant encore un système d’exploitation très utilisé il est donc important d’installer le correctif [url=http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=E39A3D96-1C37-47D2-82EF-0AC89905C88F]KB899588[/url].
N’oublions pas que les postes infectés par ce ver deviennent des propagateurs en puissance et ce, sans aucune manifestation quelconque de sa présence à l’utilisateur.
Pour plus d’informations :
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
http://www.frsirt.com/virus/20050814.ZotobA.php