Nowe robaki - Zotob.D i IRCBot.KB

Panda Software ostrzega przed pojawieniem się dwóch nowych robaków Zotob.D (wspomniany w jednej ze wcześniejszych aktualności) i IRCBot.KB, które wykorzystują lukę w zabezpieczeniach mechanizmu Plug and Play (PnP) opublikowaną przez Microsoft w Biuletynie Bezpieczeństwa MS05-039. Umożliwia ona przejęcie kontroli nad zainfekowanym komputerem przez hakerów. Zaatakowane zostały już telewizje CNN i ABC oraz gazeta „The New York Times” w Stanach Zjednoczonych.

Oba robaki generują losowo adresy IP, z którymi następnie próbują się połączyć za pomocą portu 445. Wykorzystując lukę systemową wysyłają odpowiednie instrukcje w celu pobrania kopii robaka przez TFTP (uproszczoną wersję FTP). Oba wirusy zainstalowane już na komputerze modyfikują rejestr systemowy, zapewniając sobie działanie przy każdym uruchomieniu komputera. Łączą się z serwerem IRC i oczekują na zdalne komendy administracyjne. Robaki infekują wyłącznie komputery z systemami operacyjnymi Windows 2000, XP i Windows Server 2003.

Dodatkowo, Zotob.D wyszukuje najbardziej popularne programy adware w celu usunięcia ich plików i katalogów. Zainfekowany system jest wielokrotnie restartowany, co może być szczególnie niebezpieczne w środowiskach korporacyjnych.

Specjaliści z Panda Software zalecają pobranie nakładki systemowej oferowanej przez Microsoft na stronie internetowej: http://www.microsoft.com/technet/security.