Risorse

Symantec.com > Aziende > Security Response > W32.Zotob.E
STAMPA QUESTA PAGINA

W32.Zotob.E

Livello di rischio3: Moderato

Rilevato:
16 de Agosto de 2005
Aggiornato:
13 de Febbraio de 2007 12:43:21 PM
Va anche sotto il nome di:
CME-540, Win32/Zotob.E!Worm [Computer A, Bozori.A [F-Secure], Net-Worm.Win32.Bozori.a [Kaspe, W32/IRCbot.worm!MS05-039 [McAf, W32/Tpbot-A [Sophos], WORM_ZOTOB.E [Trend Micro], W32/Bozori.A [Norman]
Tipo:
Worm
Lunghezza dell’infezione:
10.366 byte.
Sistemi operativi minacciati:
Windows 2000

W32.Zotob.E è un worm che apre una back door e sfrutta la vulnerabilità Microsoft Windows Plug and Play Buffer Overflow (descritta nel bollettino Microsoft per la sicurezza MS05-039) sulla porta TCP 445.

W32.Zotob.E può essere eseguito su computer con Windows 95/98/Me/NT4/XP senza infettarli. Anche se i computer che utilizzano questi sistemi operativi non possono essere infettati, possono tuttavia infettare i computer vulnerabili ai quali si collegano.

Note:
  • È stato segnalato che i computer attaccati da W32.Zotob.E possono diventare instabili durante l'esecuzione del codice di exploit. Ciò può provocare l'arresto del processo services.exe, causando di conseguenza l'arresto del computer.
  • Per rilevare questo rischio è necessario disporre delle definizioni dei virus versione 70816y (versione estesa 8/16/2005 rev. 25) o superiore.
  • Gli utenti di Norton Internet Security 2005 AntiSpyware Edition e Symantec AntiVirus Corporate Edition 10.x possono usare la funzionalità ERASER del prodotto per rimuovere le infezioni causate da questo rischio.
  • Anche se i computer con sistema operativo Windows 95/98/Me/NT4/XP non possono essere infettati da remoto, possono esserlo quando W32.Zotob.E viene eseguito localmente (anche se questa evenienza è improbabile). I computer Windows 2000 vulnerabili possono essere infettati dal computer compromesso.

Date protezione antivirus

  • Versione iniziale Rapid Release16 de Agosto de 2005
  • Ultima versione Rapid Release28 de Settembre de 2010 revisione 054
  • Versione iniziale Daily Certified16 de Agosto de 2005
  • Ultima versione Daily Certified28 de Settembre de 2010 revisione 036
  • Data rilascio Weekly Certified iniziale16 de Agosto de 2005
Fare clic qui per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

  • Livello di circolazione:Medium
  • Numero di infezioni:0 - 49
  • Numero di siti:More than 10
  • Distribuzione geografica:Low
  • Contenimento della minaccia:Easy
  • Rimozione:Moderate

Danno

  • Livello del danno:Medium
  • Effetto nocivo (payload):Tenta di aprire una back door.
  • Riduzione delle prestazioni:Tenta di rilevare i collegamenti di rete e un indirizzo IP instradabile.

Distribuzione

  • Livello di distribuzione:High
  • Obiettivo dell’infezione:Prende di mira i sistemi sui quali può essere sfruttata la vulnerabilità Microsoft Windows Plug and Play Service (MS05-039).
Documento di:Maryl Magee
DETTAGLI TECNICI
©1995 - 2012 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza