Computer Emergency Response Team - Industrie Services et Tertiaire Le CERT dédié à la communauté Industrie, Services et Tertiaire française
Accès membres english version [english version]
ACCUEIL PRESENTATION RESSOURCES CONTACTS FAQ RECHERCHER
Avis de Sécurité
Avis et Alertes publics
Articles du Cert-IST
Liens utiles
Presse - Evénements
Version imprimante
Accueil | Ressources | Avis et Alertes publics | Avis de sécurité

Ver "Zotob" sur les systèmes Microsoft Windows

Rérérence : CERT-IST/AV-2005.301
Version : 1.2
Date de la version : 25 août 2005

Classification de la vulnérabilité
Risque :
Très élevé
Conséquence : Prise de contrôle du système
Catégorie de la vulnérabilité : Ver
Niveau de confiance : Faille officielle
Niveau de connaissance de l'attaquant : Débutant
Moyen nécessaire à l'attaquant : Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)
Plate(s)-forme(s) impactée(s) :
  • Microsoft Windows NT
  • Microsoft Windows 2000
Logiciel(s) impacté(s) :
  • NA
Remarques :
  • "Zotob" n'impacte que les systèmes Windows 2000. Il semblerait que les systèmes Windows NT soient eux aussi impactés, nous attendons confirmation de ce point.

Description
Nature du problème :
"Zotob" est un ver informatique qui se propage via la vulnérabilité de la fonctionnalité "PnP" ("Plug-and-Play") des systèmes Microsoft Windows ( MS05-039 ), décrite dans l'avis CERT-IST/AV-2005.294. Une fois installé sur le système, "Zotob" ouvre deux portes dérobées (port réseau et canal IRC) sur le système infecté, permettant à une personne malveillante d'accéder à ce dernier. Ce ver modifie également certains fichiers de configuration et diminue le niveau de sécurité du système.

Nota : A ce jour, "Zotob" ne semble se propager que sur les systèmes Windows 2000.
Analyse détaillée :
En plus du comportement général donné précédemment, on notera les points suivants :
  • "Zotob" tente d'exploiter les vulnérabilités de la fonctionnalité "Plug-and-Play" de machines distantes via le port TCP 445. Le ver utilise des adresses IP aléatoires afin de rechercher des systèmes vulnérables.

  • "Zotob" ouvre une porte dérobée sur le port TCP 8888 permettant ainsi à une personne malveillante de supprimer, de télécharger, d'exécuter des fichiers, ....

  • Via cette porte dérobée, "Zotob" installe un serveur FTP sur le port TCP 33333. Le système infecté devient à son tour un serveur FTP servant à la compromission de nouveaux systèmes.

  • "Zotob" exécute le script FTP "2pac.txt" afin de télécharger et exécuter une copie du ver, sous le nom de fichier "haha.exe".

  • "Zotob" dépose une copie de son code dans le répertoire "%System%", sous le nom "botzor.exe" et crée un mutex nommé "B-O-T-Z-O-R", afin qu'une seule instance de son code ne soit exécutée simultanément sur un système.

  • "Zotob" écrase le fichier "%System%\drivers\etc\hosts" afin de bloquer l'accès à certains sites (voir les documents des éditeurs anti-virus indiqués dans la section "Documentation additionnelle" pour obtenir la liste des sites bloqués).

  • "Zotob" tente de se connecter sur des serveurs IRC ("diabl0.turkcoders.net" ou "wait.atillaekici.net" sur le port TCP 8080, "l33t.freeshellz.org" sur le port TCP 5232, par exemple), via des ports TCP aléatoires, afin de permettre l'accès à distance au système infecté.

Nota : Il existe au moins deux chevaux de Troie exploitant cette vulnérabilité ( "pnpsrv.exe" et "winpnp.exe" ).
Diagnostic :
Voici les caractéristiques visibles du ver "Zotob" permettant de le détecter sur un système infecté :

1°) Activité réseau :
  • Port(s) réseau ouvert(s) : Ports TCP 8888 (porte dérobée), 33333 (serveur FTP), 139 , 445 , 5232 et 8080 (ces deux derniers sont utilisés pour se connecter aux serveurs IRC)


  • Site(s)/Serveur(s) contacté(s) : "diabl0.turkcoders.net", "wait.atillaekici.net", "l33t.freeshellz.org"


  • Adresse(s) e-mail contactée(s) : NA


2°) Modifications du système :
  • Fichier(s) ajoutés :
    • %System%\botzor.exe
      où %System% indique le répertoire système (ex.:"C:\Windows\System32")

  • Clé(s) de Registre modifiée(s) ou ajoutée(s) :
    • Ajout de la valeur :
      "WINDOWS SYSTEM" = "botzor.exe"
      aux clés de registre :
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices


    • Modification de la valeur :
      "Start" = "4"
      dans la clé de registre :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess


    • Modification de la valeur :
      %System%\botzor.exe = "%System%:*:Enabled:botzor"
      dans la clé de registre :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\

Solution

Solution à l'infection du ver "Zotob"

Il est fortement recommandé :
  • D'appliquer lescorrectifs Microsoft MS05-039.
  • Au niveau des équipements réseau, de filtrer les accès aux ports8888(porte dérobée) et33333(serveur FTP), ainsi que139,445,5232et8080(ces deux derniers sont utilisés pour se connecter aux serveurs IRC).
  • De modifier la clé de registre "RestrictAnonymous" à "2" afin de désactiver les accès réseau anonymes. Cette solution doit être au préalable qualifiée car elle peut perturber le fonctionnement d'applications réseau existantes.
  • De mettre à jour votre outil d'anti-virus afin de prendre en compte le ver décrit :
    • Utiliser le mécanisme de mise à jour automatique de votre anti-virus.
    • Ou utiliser les indications données ci-dessous afin de mettre à jour manuellement votre anti-virus.

Identifiant(s) du problème

Documentation additionnelle

Historique
Version Commentaire Date
1.2 Références CME 25 août 2005
1.1 Cisco Security Notice 66097 19 août 2005
1.0 Création de l'avis 16 août 2005

Copyright © 1999-2008 Cert-IST | Mentions légales | Plan du site