Zotob sfrutta le lacune del Plug and Play

F-Secure lancia l’allarme per la diffusione del primo worm in grado di sfruttare la vulnerabilità di sicurezza presente nel servizio Plug&Play di Windows, risolta appena qualche giorno fa con il rilascio – da parte di Microsoft – della patch MS05-039.
Il worm si chiama Zotob.A e, per diffondersi, una volta infettata una macchina, va alla ricerche di altri sistemi vulnerabili. In particolare, il virus tenta di collegarsi ad un insieme di indirizzi IP casuale attraverso la porta TCP 445. Se la connessione ha successo, Zotob apre la porta 8888 dalla shell di sistema (cmd.exe): a questo punto viene effettuato il download del codice nocivo del worm attraverso una connessione FTP con la macchina infetta (posta “in ascolto” sulla porta 33333). A questo punto, il sistema comincia a sua volta a cercare in Rete altre macchine vulnerabili ed apre la porta a qualunque genere di razzia da parte di malintenzionati.
Zotob modifica anche il file HOSTS di Windows inibendo l’apertura dei siti web delle principali case produttrici di software antivirus.
Il virus, comunque, non dovrebbe avere una diffusione a larga scala così come accadde in passato con Blaster e Sasser (il primo ha iniziato ad essere veicolato in Rete proprio a Ferragosto di due anni fa…).
Suggeriamo l’immediata installazione delle patch di sicurezza rilasciate da Microsoft lo scorso 9 Agosto nonché l’adozione di adeguate soluzioni firewall.