La cinquième variante du ver Zotob inquiète les experts en sécurité, du fait de ses fonctions de "robot". Car tout système infecté peut être contrôlé à distance. Ce virus exploite une faille dans Windows déjà corrigée par Microsoft.
Les éditeurs de logiciels antivirus alertent les internautes sur l'apparition d'un nouveau virus-ver capable de transformer le système cible en PC "zombie" – machine parasitée pour être contrôlée à distance. CNET News.com lui attribue une dangerosité de 7 sur un indice de 10.
Baptisé Zotob.E (alias WORM_RBOT.CBQ, W32/IRCbot.worm!MS05-039), il fait donc partie de la famille Zotob. Ces vers attaquent les plates-formes Windows affectée par une certaine vulnérabilité.
Il s'agit de: Windows 2000 SP4, Windows XP SP 1 et SP2, Windows XP Professionnel x64 Edition et Windows Server 2003 (SP1, Itanium et x64 Edition). Les ordinateurs fonctionnant avec un OS GNU/Linux ou MacOS ne sont pas concernés
Leur faille a été décelée au niveau du système de reconnaissance automatique de périphériques "Plug and Play". Une vulnérabilité, connue sous le nom de code MS05-039, pour laquelle Microsoft a publié un bulletin de sécurité et un correctif (à télécharger sur ZDNet.fr) le 9 août dernier. La première version de Zotob est apparue le 13 août.
«C'est le nouveau et triste record du plus court délai entre la publication d'un bulletin de sécurité révélant la présence d'une faille et l'apparition d'un ver, soit 4 jours», commente pour ZDNet.fr David Kopp, responsable européen du centre de recherche et support antiviral chez Trend Micro. «Le précédente record était détenu par Sasser avec 18 jours.»
Propagation sans intervention de l'utilisateur
Si les premières versions de Zotob se révélaient peu dangereuses, Zotob.E, apparu le 16 août, change la donne car il intègre des fonctions de robot. «Une fois qu'il a infecté le système, le ver reste en veille et attend les instructions qu'il recevra à distance de son commanditaire», indique pour sa part François Paget, chercheur antivirus pour l'éditeur McAfee France.
Tout est alors possible: le ver peut par exemple télécharger du code malicieux en vue de lancer une attaque massive vers un site (attaque par déni de service distribué ou DDoS). Il peut également être simplement utilisé pour espionner le système.
Son mode de propagation est différent des classiques mass-mailers. Il ne transite ainsi pas par e-mail piégé mais se copie lui-même de machine en machine, en se transférant sur les réseaux. Sa propagation ne nécessite par conséquent aucune intervention de l'utilisateur.
Zotob.E se présente sous la forme d'un fichier exécutable baptisé "wintbp.exe". Une fois arrivé sur un système, il recherche toutes les machines connectées, en réseau local ou via internet, qui ne disposent pas du correctif résorbant la faille MS05-039. Il exploite alors cette dernière pour se copier sur le disque dur des systèmes non protégés.
Le correctif de Microsoft est disponible depuis le 9 août
Outre copier ce fichier, il modifie la base de registre pour être lancé à chaque démarrage de Windows. Il ouvre enfin l'accès distant vers le serveur IRC (72.20.27.115) sur le canal TCP port 8080 pour recevoir les instructions de son commanditaire.
Afin de se prémunir de toute infection de Zotob.E, comme du reste de sa famille, il suffit d'installer le correctif de Microsoft. Les logiciels antivirus mis à jour protègent également contre ses attaques. Dans le cas où le système est infecté, l'utlisateur doit, comme à l'accoutumée, lancer son antivirus qui nettoiera automatiquement le système.
Zotob.E peut également être éradiqué manuellement, comme l'indique Trend Micro:
1/ Mettre fin au processus mémoire du ver via le gestionnaire des tâches de Windows (accessible en tapant Ctrl+Alt+Suppr). Le processus du ver est "wintbp.exe".
2/ Une fois le virus désactivé, il faut supprimer son fichier dans le répertoire système de Windows (C:\WINNT\System32 pour Windows 2000, ou C:\Windows\System32 pour Windows XP et Server 2003). Rappelons que le fichier est baptisé "wintbp.exe".
3/ Enfin il convient de nettoyer la base de registre. Son éditeur est accessible via la commande "regedit", à taper dans l'invité de commande obtenu depuis Démarrer/Exécuter. L'entrée dans la base de registre de Zotob.E est située dans "HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>
CurrentVersion>Run" et baptisée: wintbp.exe = "wintbp.exe". Il convient de la supprimer.
source zdnet.fr
Voici la fiche de ce virus sur secuser.com
http://www.secuser.com/alertes/2005/zotobe.htm
Webmaster Free Scripts, Scripts gratuits pour webmaster
