תולעת מחשבים חדשה בשם Zotob מתפשטת ברשת בימים האחרונים תוך שהיא מנצלת לרעה כשל אבטחה בממשק ה-plug and play של Windows, שתואר בעדכון MS05-039 של מיקרוסופט. התולעת מופצת כעת בשתי גירסאות - Zotob.a ו-Zotob.b אשר דומות מאוד זו לזו. ממרכז האבטחה הממשלתי CERT-ישראל נמסר ל-ynet על סימנים ראשונים להתפרצות של התולעת באיזורים שונים בעולם.
מיקרוסופט הפיצה לפני ימים אחדים עדכון לפירצה עבור משתמשי Windows XP (אך לא ל-Windows 2000). מספר ימים לאחר פרסום הטלאי, החלה התולעת להתפשט ברשת.
Zotob מתפשטת באמצעות חבילות מידע (פאקטים) הנשלחות לפורט TCP 445 במחשב היעד. בתחילה, התולעת סורקת את הרשת בחיפוש אחר מחשבים עם פירצת האבטחה בשירות Plug and Play. היא מנסה להתחבר לפורט TCP 445 במחשבים אלה ובמקרה של הצלחה, היא יוצרת קשר FTP למחשב ממנו התפשטה, מורידה ממנו קוד זדוני נוסף, ומפעילה קובץ בשם haha.exe.
התולעת חוסמת גישה לאתרי האנטי וירוס
עם הפעלתה, התולעת מעתיקה עצמה לתיקיה System במחשב תחת השם csm.exe ומוסיפה עצמה למפתחות הרישום של Windows. נוסף על כך, התולעת פותחת ערוץ IRC, המאפשרת לתוקף זדוני לשלוט בה מרחוק ולהוריד באמצעותה עדכונים נוספים אל המחשב, לשלוף מידע על המערכת, להוריד ולהפעיל קבצים על המחשב, ולשנות את הגדרות האבטחה של המערכת.
כך, מפעילי התולעת יכולים לגייס לעצמם צבא של מחשבים הנתונים לשליטתם ('זומבים') וביום פקודה להשתמש בהם למטרות שונות - כמו הפצת דואר זבל, התקפת שלילת שירות מבוזרת על אתר מסוים ועוד.
זאת ועוד, התולעת עורכת שינויים בקובץ ה-hosts במחשב במטרה לחסום גישה לאתרים מסוימים, בהם כל אתרי חברות יצרניות האנטי וירוס הגדולות.
Zotob, המשתייכת למשפחת MyTob, מסתירה בקוד שלה איום מפורש נגד יצרני האנטי וירוס. "הודעה לחברות אנטי וירוס. הראשונה שתאתר את התולעת הזו תההיה הראשונה שתחוסל ב-24 שעות הקרובות", נכתב שם.
האם התולעת פוגעת רק במשתמשי Windows 2000?
על פי הערכת חוקרי חברת האנטי וירוס F-Secure, התולעת לא יכולה לפגוע במשתמשי Windows XP עם חבילת העדכונים SP2, החוסמת את כל היציאות הלא מנוצלות של המחשב. עם זאת, מומלץ למנהלי מערכות ולמשתמשים ביתיים לא לסמוך על החסימה של פורט TCP 445 על ידי הפיירוול, ולעדכן את הטלאי של מיקרוסופט במהירות האפשרית.
מיקרוסופט מסרה כי על פי בדיקה ראשונית של התולעת Zotob, מחשבים עם Windows XP עם SP1 ו-SP2 אינם חשופים לפגיעת התולעת. לכן, על פי החברה, רק מערכות Windows 2000 שלא התקינו את חבילות עדכוני האבטחה נמצאות בסכנה.
גם חברת F-Secure קובעת כי שתי הגירסאות הראשונות של התולעת, Zotob.a ו-Zotob.b, פוגעות רק במחשבים עם Windows 2000. עם זאת, מרכז האבטחה SANS מעדכן כי דיווחים שלא אומתו מהשעות האחרונים מספרים על גירסה חדשה של התולעת, הפוגעת גם במחשבים Windows XP עם SP2.