Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le ver Zotob frappe Windows 2000

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Le ver Zotob frappe Windows 2000

Après la vulnérabilité, puis les codes d’exploitation, voici le ver : Zotob se propage actuellement à travers Internet grâce à la toute récente faille Plug & Play de Windows. Sa progression devrait toutefois être modérée car il ne s’attaque qu’aux PC sous Windows 2000 sans pare-feu. Et puis le correctif est tout de même disponible depuis une semaine…
Le scénario est désormais classique : une vulnérabilité est annoncée, un code d’exploitation est publié, et si les conditions sont bonnes (lisez : le code d’exploitation n’est pas trop difficile à copier-coller), un ver voit le jour. C’est ce qui s’est passé avec des pointures tels Blaster ou Sasser et, aujourd’hui, avec Zotob.Mais ce dernier aura probablement beaucoup moins d’impact que ses deux illustres prédécesseurs : Zotob exploite la dernière vulnérabilité critique à frapper Windows, et celle-ci n’est vraiment inquiétante que sur Windows 2000. Les versions XP SP2 et Server 2003 du système d’exploitation de Microsoft, bien que vulnérables elles aussi, ne le sont que localement ou à partir d’un compte administrateur.Sous Windows 2000, en revanche, cette vulnérabilité permet à Zotob de prendre le contrôle de l’ordinateur à distance même lorsqu’il est à jour de tous ses correctifs (SP4 + tous les hotfix, sauf bien sûr le patch dédié publié la semaine dernière).Bien sûr, pour s’en prendre ainsi à un PC, Zotob doit pouvoir communiquer avec lui. Il le fait (comme beaucoup d’autres vers avant lui) via le port 445. Si l’ordinateur est protégé par un pare-feu, Zotob ne pourra donc pas l’infecter.Mais bien sûr, si vous utilisez ou administrez des PC sous Windows 2000, le mieux est encore d’appliquer le correctif ! Mise à jour du 17/08/05 : Il semblerait que finalement Zotob ait trouvé son public : selon le quotidien Libération, la chaîne américaine CNN aurait interrompu ses programmes pour annoncer que ses ordinateurs sous Windows 2000 étaient infectés et ABC aurait eu à ressortir ses vieilles machines à écrire pour terminer le journal du soir. On parle de « centaines » de victimes (un chiffre toutefois relativement faible par rapport à d’autres épidémies) mais d’une progression constante. En outre le code d’exploitation utilisé par le ver Zotob semble avoir fait des émules : on recense désormais plusieurs variantes du ver ainsi que deux autres familles de parasites (Bozori et Ircbot) qui utilisent la même vulnérabilité. Selon l’éditeur d’antivirus F-Secure plusieurs groupes d’auteurs de virus se seraient lancés dans une course au plus grand nombre de PC infectés à l’aide de cette vulnérabilité (toujours dans le but de contrôler un maximum de PC zombies qu’ils pourront ensuite louer à bon prix aux spammeurs et autres escrocs).


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.