Navigation
L'actualité informatique et multimédia
Le ver Zotob se glisse dans la faille Plug'n'Play
Alors que nous vous annoncions la multiplication des exploits s'a...
Alors que nous vous annoncions la multiplication des exploits s'a...
Alors que nous vous annoncions la multiplication des exploits s'alimentant de la faille plug'n'play de Microsoft hier, voilà que pointe du nez justement une première série de vers, dénommés Zotob.
On soulignera avant tout que cette faille repose sur un tampon non vérifié dans le service Plug'n'Play. Cette faille peut du coup être exploitée par un utilisateur distant et non authentifié sous Windows 2000/NT (l'authentification est exigée sous XPSP2 et Server 2003, ce qui limite l'attaque au niveau local).
Le ver en question, Zotob, se délecte des systèmes Windows 2000 qu'il attaque par le port 445/TCP. Il s'installe dans le répertoire %System% sous le nom "botzor.exe", et rajoute notamment plusieurs entrées dans le registre. Il modifie également le fichier Host afin de bloquer une série de sites, dont ceux de nombreux éditeurs antivirus. Il rajoute dans ce fichier la délicate ligne à l'attention des éditeurs d'antivirus "MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!".
Confortablement installé, il ouvre une porte dérobée et un serveur ftp pour se connecter sur un canal IRC dans l'attente les ordres de son malicieux auteur. Il finalise sa funeste et sombre œuvre en scannant le port 445/TCP et en se transférant par son serveur FTP sur les machines faillibles décelées.
On pourra consulter les détails techniques de cette faille sur ce bulletin Microsoft ou, s'agissant du ver, sur celle de l'éditeur Trend. Celui-ci annonce d'ores et déjà l'existence de deux variantes de Zotob A., estampillées B et C aux effets similaires. Des menaces qui militent à elles seules pour une mise à jour rapide des systèmes concernés.
On soulignera avant tout que cette faille repose sur un tampon non vérifié dans le service Plug'n'Play. Cette faille peut du coup être exploitée par un utilisateur distant et non authentifié sous Windows 2000/NT (l'authentification est exigée sous XPSP2 et Server 2003, ce qui limite l'attaque au niveau local).
Le ver en question, Zotob, se délecte des systèmes Windows 2000 qu'il attaque par le port 445/TCP. Il s'installe dans le répertoire %System% sous le nom "botzor.exe", et rajoute notamment plusieurs entrées dans le registre. Il modifie également le fichier Host afin de bloquer une série de sites, dont ceux de nombreux éditeurs antivirus. Il rajoute dans ce fichier la délicate ligne à l'attention des éditeurs d'antivirus "MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!".
Confortablement installé, il ouvre une porte dérobée et un serveur ftp pour se connecter sur un canal IRC dans l'attente les ordres de son malicieux auteur. Il finalise sa funeste et sombre œuvre en scannant le port 445/TCP et en se transférant par son serveur FTP sur les machines faillibles décelées.
On pourra consulter les détails techniques de cette faille sur ce bulletin Microsoft ou, s'agissant du ver, sur celle de l'éditeur Trend. Celui-ci annonce d'ores et déjà l'existence de deux variantes de Zotob A., estampillées B et C aux effets similaires. Des menaces qui militent à elles seules pour une mise à jour rapide des systèmes concernés.
Rédigée par le mardi 16 août 2005 à 15h31 (8105 lectures)
Le reste de l'actualité :
16-08-05 : Le code source de Quake 3 bientôt offert
16-08-05 : Indice de satisfaction : Dell peu en forme, Apple à la fête
16-08-05 : Le spam, ca rapporte gros
16-08-05 : Logitech annonce sa QuickCam Fusion
16-08-05 : Firefox perdrait des points au cours du mois de juillet ?
16-08-05 : Le ver Zotob se glisse dans la faille Plug'n'Play
16-08-05 : Batteries à l'urine : pour se tenir au jus
16-08-05 : Roadmap ATI : en septembre et en octobre, ATI arrive
16-08-05 : La police d'Ecosse centrale opte pour Microsoft
16-08-05 : L'administration Bush rejette les domaines XXX
16-08-05 : Indice de satisfaction : Dell peu en forme, Apple à la fête
16-08-05 : Le spam, ca rapporte gros
16-08-05 : Logitech annonce sa QuickCam Fusion
16-08-05 : Firefox perdrait des points au cours du mois de juillet ?
16-08-05 : Le ver Zotob se glisse dans la faille Plug'n'Play
16-08-05 : Batteries à l'urine : pour se tenir au jus
16-08-05 : Roadmap ATI : en septembre et en octobre, ATI arrive
16-08-05 : La police d'Ecosse centrale opte pour Microsoft
16-08-05 : L'administration Bush rejette les domaines XXX
© 2003 -2008 PC INpact SARL de presse. Tous droits réservés ! - Powered by PCI WebEngine - PCINpact.com est un site de PC INpact Network
Glossaire : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0225 s - Top 100 - Nos partenaires
Partenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0225 s - Top 100 - Nos partenairesPartenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
