Ir direto para o menu
Ir direto para o conteúdo
Novas variantes surgiram e grandes empresas como a CNN e o The New York Times foram afetadas.
Redação Linha Defensiva | 17/08/2005 - 15h26
O worm Zotob, que foi encontrado dia 14, domingo, como o primeiro worm a utilizar a falha do Plug’n'Play detalhada no boletin de segurança da Microsoft MS05-39, continua se espalhando pela Internet.
Para se prevenir, basta atualizar o antivírus, ter cuidados ao abrir anexos de e-mail e principalmente você deve atualizar o Windows (através do Windows Update). Um firewall bloqueando a porta 445 também previne a infecção.
A falha utilizada pelo worm é extremamente grave, podendo ser explorada remotamente sem qualquer ação necessária da parte do usuário. O worm poderá infectar um sistema vulnerável automaticamente e a partir dali começar a infectar novos computadores que ainda não tiveram a atualização que corrige o problema aplicada.
A empresa de segurança finlandesa F-Secure já encontrou 11 pragas digitais utilizando a falha para infectar computadores. Algumas delas possuem funcionalidades avançadas, sendo inclusive capazes de se espalhar via e-mail. Ele também possui um backdoor — componente que permite que um indivíduo controle o sistema remotamente — para que o computador infectado se torne um zumbi que será usado para enviar lixo eletrônico e conduzir ataques de Negação de Serviço para retirar websites do ar. Com o objetivo de ter o controle total do sistema infectado, cada worm tenta remover os demais do sistema, criando o que a F-Secure chama de botwar (guerra dos bots).
O worm só pode infectar sistemas Windows 2000 através da falha do Plug’n'Play, mas como novas versões já possuem funcionalidades para se espalhar por e-mail, é possível que outras versões do Windows tenham sido infectadas desse modo. A CNN teve uma transmissão interrompida pelo worm. O The New York Times, o Associated Press e a ABCNews também tiveram alguns computadores afetados pela falha.
Se você não consegue acessar o site do seu antivírus favorito, você pode estar infectado, porque o worm usa o arquivo HOSTS para bloquear os sites das empresas de segurança. Nesse caso é necessário que você apague o arquivo HOSTS e tente novamente. Se você acha que está infectado e não sabe como resolver o problema, consulte o Fórum da Linha Defensiva, onde poderemos guiá-lo passo-a-passo na remoção desse worm e outros códigos maliciosos que estiverem presentes no seu sistema.
