Microsoft paikkasi viime viikolla nipun haavoittuvuuksia Windows-käyttöjärjestelmästä. Nyt on löytynyt kriittistä Windows Plug And Play -haavoittuvuutta hyödyntävä Zotob.A-verkkomato.
Saastutettuaan kohdejärjestelmän Zotob.A avaa komentokehotteen porttiin 8888. Tämän portin välityksellä Zotob.A komentaa toista saastunutta tietojärjestelmää lataamaan ja suorittamaan matokoodia kohdetietojärjestelmässä ftp-protokollan välityksellä. Haittaohjelma avaa ftp-palvelun saastuneiden tietojärjestelmien porttiin 33333. Kohdetietojärjestelmään ladatun tiedoston nimi on "haha.exe".
Zotob.A yrittää myös ottaa yhteyttä irc-kanavalle ennalta määrättyyn osoitteeseen. Hyökkääjä voi suorittaa komentoja saastuneissa tietojärjestelmissä tämän irc-kanavan välityksellä.
Löytyy system-hakemistosta
Cert-Fi:n mukaan Zotob.A kopioi itsensä Windows-käyttöjärjestelmän System-hakemistoon nimellä "botzor.exe".
Tämän jälkeen Zotob.A lisää Windows-käyttöjärjestelmän rekisteriasetuksiin seuraavat arvot varmistaakseen haittaohjelmakoodin aktivoitumisen, kun tietojärjestelmän käyttäjä kirjautuu järjestelmään tai järjestelmä uudelleen käynnistetään:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = "botzor.exe"
Cert-Fi:n mukaan madolle alttiita ovat Windows Plug and Play -haavoittuvuudelle alttiit järjestelmät. Windows XP SP 2 ja Windows 2003 Server -järjestelmät kuitenkaan eivät todennnäköisesti ole alttiita haavoittuvuudelle.
Käyttöjärjestelmän voi päivittää Microsoftin julkaisemalla korjaustiedostolla MS05-039 -tiedotteen mukaisesti, joka löytyy esimerkiksi osoitteesta http://windowsupdate.microsoft.com.