Объектов для атак нового червя Zotob, эксплуатирующего уязвимость системы Plug-and-Play в ОС Winows, в мире довольно много. По оценкам зарубежных экспертов, компьютерный парк 50% крупных корпораций состоит из машин, работающих под управлением этой операционной системы. В результате, как сообщают многие СМИ, уже сейчас зафиксировано большое количество отказов в работе таких компьютеров, в том числе в телекомпании CNN и в редакции газеты The New York Times.
Как объясняет служба вирусного мониторинга компании "Доктор Веб", для проникновения на компьютеры пользователей червь сканирует сеть по порту TCP 445 (как правило блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл (в разных вариантах наименования исполняемого файла червя - pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe). При этом, отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены. Свой автоматический запуск при последующих перезапусках системы червь обеспечивает путем внесения своих данных в ключи реестра.
Найдя подходящий (уязвимый) компьютер и поселившись в нем, червь открывает "люк", который служит его средством общения с внешним миром, и устанавливает соединение с IRC - сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другую важную информацию.
Чтобы продлить как можно дольше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы.
Последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов.
"Заплатка", устраняющая уязвимость системы Plug-and-Play в ОС Winows доступа здесь.