15
agosto
2005

Gusano "Zotob", tras la sombra de Blaster y Sasser

Crónica de un gusano anunciado
[Malware] 
Se veía venir. La aparición de un nuevo gusano que aprovechara alguna de las últimas vulnerabilidades corregidas por los parches de agosto de Microsoft era cuestión de días.


En menos de 24 horas, tras la publicación de los parches, se hicieron públicas un par de pruebas de concepto para explotar las vulnerabilidades correspondientes a las actualizaciones MS05-038 y MS05-041. Apenas dos dias después se completó con nuevas PoC, incluyendo la que corresponde a la actualización MS05-039 que ha sido aprovechada por el gusano. Y al quinto día apareció "Zotob".


Listado de exploits:
2005-08-09 : Microsoft Windows Remote Desktop Protocol DoS Exploit (MS05-041)
2005-08-09 : Microsoft Internet Explorer COM Objects Instantiation Exploit (MS05-038)
2005-08-11 : Microsoft Internet Explorer COM Objects File Download Exploit (MS05-038)
2005-08-11 : Microsoft Windows 2000 Plug and Play Universal Remote Exploit (MS05-039)
Y el que utiliza "Zotob":
2005-08-11 : Microsoft Windows Plug and Play Remote Buffer Overflow Exploit (MS05-039)


En cuanto a "Zotob", intenta explotar la vulnerabilidad a través del puerto TCP/445. Cuando encuentra un sistema Windows 2000 vulnerable, que no tuviera instalada la actualización MS05-039, abre un shell en el puerto TCP/8888 desde donde descarga por FTP el ejecutable del gusano hospedado en el sistema previamente infectado desde el que provenía el ataque.


La respuesta de los antivirus ha sido rápida, en el caso de BitDefender, NOD32 y McAfee ya lograban detectarlo antes de su aparición, el resto de antivirus han ido incluyendo firmas específicas durante el domingo.


Tirón de orejas a Avast, Ikarus, TheHacker, TrendMicro y VBA32, que aun no lo detectaban en la madrugada del lunes.

Enviado por bquintero a las 01:52 | Enlace permanente | Comentarios (9) | Trackbacks (3)
Comentarios
Re: Gusano "Zotob", tras la sombra de Blaster y Sasser

Hola.
Enhorabuena, una vez más demostrais un saber hacer impresionante.
El email de una-al-día es perfecto para recordarme cada mañana que nada es perfecto, y los guardo para cuando necesito confirmar información.
Ahora además puedo recomendarle este blog a gente que jamás leería vuestra web porque parece "demasiado profesional"

Este blog se lee fácil, el aspecto despejado ayudará a que la gente que no suele leer webs técnicas se entere de cosas que realmente son para preocuparse.

Y en cuanto a la tira de Dilbert, espero que pongais más. Le quita hierro al asunto.

De verdad, gracias. Espero que sirva para mentalizar a los que creen que los accidentes les ocurren a los demás.

Antoni.

Posted by: Antoni Pina at agosto 15,2005 10:35
Piropos y TrendMicro

¡Gracias, Antoni, por tus comentarios!

Respecto a los rezagados, que aun no detectaban a Zotob en el momento del post, tenemos novedades.

TrendMicro lo detecta desde las 04:57 de la madrugada del lunes como WORM_ZOTOB.A

Seguiremos informando sobre el resto de rezagados.

Posted by: bquintero at agosto 15,2005 11:54
Más rezagados que llegan: Avast y VBA32

Avast desde las 12:54 lo detecta como Win32:Zotob
VBA32 desde las 13:37 lo detecta como Net-Worm.Win32.Mytob.cd

Posted by: bquintero at agosto 15,2005 18:42
últimos por la cola

TheHacker desde las 20:26 lo detecta como W32/Zotob.worm.gen

Sólo queda sin detectarlo el motor de Ikarus.

Posted by: bquintero at agosto 16,2005 01:04
Re: Gusano "Zotob", tras la sombra de Blaster y Sasser

con el servipack 2 (sp2 de microsoft) essuficiente para que el sasser y el virus blaster no te infecten? y el zotob con el panda titanium vale para detectarlo?
es que no encuentro los dichosos parches de microsoft....

gracias, agradeceria una contestacion

miguel.

Posted by: miguel at septiembre 03,2005 14:44
Re: Gusano "Zotob", tras la sombra de Blaster y Sasser

Miguel, aunque tengas un antivirus, siempre es recomendable que actualices el sistema operativo, especialmente los parches de seguridad.

El boletín relativo a la vulnerabilidad que explota Zotob lo tienes en la dirección http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-039-IT.mspx

Ahí puedes encontrar los enlaces a los diferentes parches dependiendo de tu versión de Windows.

Posted by: bquintero at septiembre 05,2005 09:44
Re: Gusano "Zotob", tras la sombra de Blaster y Sasser

por favor podrian decirme si el servipak 2 se actualiza y como hacerlo gracias

Posted by: tony at mayo 09,2006 00:10
solicitud de virus

alguno que haya sido infectado con el virus o lo tenga porfa me lo facilita es que lo necesito para realizar un antivirus respectivo oks. muchas gracias este es mi mail killerd544@hackmexico.net

Posted by: k1ll3rd at junio 10,2008 05:51
Gusano "Zotob", tras la sombra de Blaster y Sasser

afecta a Microsoft Windows XP Service Pack 3 ???

Posted by: Moises at abril 02,2009 23:32
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/22/tbZ3ping
Reemplazando "nospam" por "com"
Gusano "Zotob"

El gusano es capaz de infectar automáticamente los sistemasWindows 2000 que no hayan instalado la actualización MS05-0039,disponible desde el pasado martes. Desde Hispasec aconsejamos a todoslos usuarios mantengan sus sistemas puntualmente actualiza

Posted by: flashback at agosto 16,2005 01:08
Boletín 00023 - 16/08/2005

1.- Manipulación local de permisos de archivos con unzip 5.52
2.- Actualización del kernel de SuSE Linux...

Posted by: Weblog de Mauricio (W.O.L.F.) R. Arreola González at agosto 17,2005 01:59
Zotob. O la enésima manera de explotar Microsoft Windows

Lo de siempre. Imaginemos una fórmula donde A sea la complejidad de elaboración un exploit, B es la inmediatez para disponer de una solución al exploit, y C sea la capacidad del usuario de obtener un conocimiento rápido del problema y alcance del mism...

Posted by: Sergio Hernando at agosto 17,2005 23:11
Enviar un comentario