Redmond (USA) – Con un nuovo advisory di sicurezza Microsoft ha avvisato gli utenti di Windows XP Service Pack 1 (SP1) che, in talune circostanze, potrebbero essere vulnerabili al prolifico worm Zotob così quanto lo sono gli utenti di Windows 2000.
Ad oggi, circolano oltre una decina di varianti di Zotob capaci di sfruttare una vulnerabilità nella tecnologia plug and play integrata in diverse versioni di Windows. Sebbene in un primo momento Microsoft avesse focalizzato l’attenzione su Windows 2000, pubblicando un advisory in cui avvertiva gli utenti del pericolo, negli scorsi giorni il colosso ha ritenuto opportuno “chiarire” come gli stessi rischi vengano corsi anche da quegli utenti di Windows XP SP1 che hanno attivato la funzionalità Simple File Sharing and ForceGuest , che di default non è attiva. Ovviamente non sono vulnerabili quei sistemi ove sia già stata applicata la patch descritta nel bollettino MS05-039 .
Il big di Redmond ha ricordato come Windows XP SP2 e Windows Server 2003 siano invece immuni dal problema e, di conseguenza, dai nuovi worm della famiglia Zotob.
TrendMicro ha spiegato che molte varianti di Zotob sono in grado di propagarsi tramite una rete di computer “zombie”, ovvero che sono stati infettati all’insaputa dei rispettivi utilizzatori. Una di queste, chiamata da McAfee IRCbot.worm!MS05-039 , è apparsa dopo solo sette giorni dal rilascio, da parte di Microsoft, di una patch per il plug and play.
Una volta eseguito, il virus si duplica nella directory di sistema di Windows con il nome “WINTBP.EXE” (es. C:WindowsSystem32WINTBP.EXE su Windows XP).
Il file può essere eseguito automaticamente sfruttando la vulnerabilità del sistema oppure da un utente che esegue direttamente il worm. La seguente chiave di registro viene creata per eseguire automaticamente il worm allo startup: LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run “wintbp.exe”=wintbp.exe .
Ti potrebbe interessare
25 ago 2005