Zotob - Zotob

"O worm Zotob e várias variações dele, conhecido como Rbot.cbq, SDBot.bzh e Zotob.d, infectaram computadores de empresas como ABC , CNN , The Associated Press , The New York Times e Caterpillar Inc. " - Negócios Semana, 16 de agosto de 2005.

Zotob é um worm de computador que explora vulnerabilidades de segurança em sistemas operacionais da Microsoft como o Windows 2000 , incluindo a vulnerabilidade plug-and-play MS05-039 . Este worm é conhecido por se espalhar no Microsoft-ds ou na porta TCP 445.

Foi declarado que os worms Zotob custam em média US $ 97.000, bem como 80 horas de limpeza por empresa afetada.

Variante Rbot

Zotob foi derivado do worm Rbot. O Rbot pode forçar um computador infectado a reiniciar continuamente . Seu surto em 16 de agosto de 2005 foi coberto "ao vivo" pela televisão CNN , quando os próprios computadores da rede foram infectados. O Zotob se auto-replicava sempre que o computador era reiniciado, resultando em cada computador tendo várias cópias do arquivo no momento em que era removido. É semelhante ao worm Blaster (Lovesan).

Sequência de eventos

• 9 de agosto de 2005: Aviso de segurança
  "Em 9 de agosto, a Microsoft lançou o aviso crítico de segurança MS05-039 que revelou uma vulnerabilidade no componente Plug-and-Play do Windows 2000. O código para corrigir a brecha também foi disponibilizado."
• Gravação de vírus
  "Nos dias que se seguiram ao anúncio da Microsoft, os criadores de vírus lançaram várias variantes do Zotob e do RBot, junto com versões atualizadas de worms mais antigos chamados SD-Bot e IRC-Bot , projetados para tirar vantagem da falha recém-descoberta."
• 13 de agosto de 2005: Surgiram no sábado
  "Os worms, chamados Zotob e Rbot, e suas variantes, começaram a surgir no sábado, disseram especialistas em segurança de computadores, e continuaram a se propagar conforme as redes corporativas ganhavam vida no início da semana."

• 16 de agosto de 2005: Tirou a CNN ao vivo
  "Por volta das 17h, os problemas começaram nas instalações da CNN em Nova York e Atlanta, antes de serem resolvidos cerca de 90 minutos depois."
  "A CNN, entrando na programação normal, relatou no ar que os computadores pessoais que executam o Windows 2000 na rede de notícias a cabo foram afetados por um worm que os fazia reiniciar repetidamente."
  "O Internet Storm Center, que rastreia o impacto mundial de worms de computador, indicou em seu site que nenhum grande ataque na Internet estava em andamento. Provavelmente este é um evento isolado, que se tornou interessante porque a CNN foi infectada. Não vemos nenhuma nova ameaça neste ponto, o site leu. "
• 17 de agosto de 2005: CIBC e outros bancos, empresas afetadas
  "A CIBC diz que o worm Zotob causou algumas interrupções isoladas, mas não afetou caixas eletrônicos, Internet ou serviços bancários por telefone. O vírus também atingiu outras empresas canadenses, mas não causou paralisações generalizadas."
• 26 de agosto de 2005: Um suspeito é preso no Marrocos
  "A pedido do FBI , a polícia marroquina prende Farid Essebar , um marroquino de 18 anos , suspeito de estar por trás da disseminação do vírus."
• 16 de setembro de 2006: Condenação
  "Os criadores do worm Zotob Windows Farid Essabar e seu amigo Achraf Bahloul foram condenados por um tribunal no Marrocos .

Prisão dos codificadores

Em 26 de agosto de 2005, Farid Essebar e Atilla Ekici foram presos no Marrocos e na Turquia , respectivamente. Acredita-se que eles sejam os homens por trás da codificação do worm.

Uma assinatura no código do worm Zotob sugere que ele foi codificado pelo Diabl0 e o servidor IRC ao qual ele se conecta é o mesmo usado na versão anterior do Mytob. Acredita-se que Diabl0 tenha incorporado o código de um russo apelidado de houseofdabus, cujo diário foi fechado pelas autoridades, logo após a prisão de Diabl0. O codificador (Ekici) provavelmente pagou Diabl0 (Essebar) para escrever o código.

" Ele diz que tudo se resume a ganhar dinheiro e que não se importa se as pessoas removem o worm, porque são os spywares que ele instala que estão ganhando dinheiro, disse Taylor em uma conversa comigo."

Em 30 de agosto de 2005, relatórios controversos surgiram de diferentes empresas de antivírus . A Sophos declarou que várias pessoas tiveram acesso ao código-fonte do Mytob (uma variante do worm). Por outro lado, a F-Secure declarou que encontrou várias variantes do Mytob que foram codificadas após a prisão de Essebar. Essas declarações sugerem que o Essebar é apenas uma parte de um grupo maior de hackers do lado escuro por trás da disseminação do malware .

Veja também

• Linha do tempo de vírus e worms de computador notáveis

Referências

Links externos e fontes

Informações de vulnerabilidade de segurança

• Boletim de segurança da Microsoft MS05-039 (Microsoft)
• Comunicado de segurança da Microsoft (899588) (Microsoft)
• US Cert Vulnerability Note VU # 998653 (US-CERT)
• Secunia Advisory SA16372 (Secunia)
• CAN-2005-1983 (vulnerabilidades e exposições comuns)
• Bugtraq ID 14513 (SecurityFocus)

Informação do worm

• O que você deve saber sobre Zotob (Microsoft)
• Ferramenta de remoção W32.Zotob (Symantec Security Response)
• WORM_ZOTOB.D (Trend Micro)
• Zotob.A (F-Secure)
• Zotob.C (F-Secure)
• WORM_RBOT.CBR (Trend Micro)
• Linha do tempo completa (Blogger de segurança)
• Instruções de remoção do Zotob

Cobertura de notícias

• Worm do Windows 2000 da BBC News atinge empresas americanas
• Bug do Windows 2000 da BBC News inicia guerra de vírus
• BBC News Dois detidos por worm de computador nos EUA
• Motivo de dinheiro da BBC News levou suspeitos de vírus
• Vírus do New York Times ataca computadores com Windows em empresas
• CNN Worm derruba sistemas Windows 2000
• Os worms de computador MSNBC atacam os meios de comunicação
• Vírus de computador da Reuters atinge meios de comunicação dos EUA
• Worm Slashdot Zotob chega à CNN e se torna global
• Information Week Zotob prova correção de "janela" inexistente
• Segurança agora! PodCast - Episódio 1: "As the worm Turns" [1]