Kezdolap  
 
   
 

W32/IRCbot.worm!MS05-039

Adatlap

Felfedezés időpontja: 2005.08.16.
Eredet: Ismeretlen
Hossz: 10366 byte
Típus: Vírus
Altípus: IRC programféreg
Szükséges adatbázis: 4560
Szükséges keresőmotor: 4.4.00

 
Tulajdonságok

A programféreg az MS05-039 biztonsági hiányosságot kihasználva terjed IRC-n (Internet Relay Chat) keresztül. A biztonsági hiányosságot megszüntető javítócsomag telepítése után a számítógépre nem jelent veszélyt a programféreg.

A javítócsomaggal kapcsolatos információk az alábbi oldalon olvashatók: http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

Megjegyzés: amennyiben számítógépe már megfertőződött, a programféreg eltávolításához használja a McAfee Stinger segédprogramot, amely az alábbi weboldalról tölthető le: http://vil.nai.com/vil/stinger

A fertőzés menete

A programféreg olyan számítógépek után kutat, amelyek nem rendelkeznek az MS05-039 javítócsomaggal. Amikor a programféreg egy védtelen számítógépet talál, akkor a hiányosságot kihasználva, puffer túlcsordulásos támadással TPTP-vel (8594-es port) másolja a programféreg állományát a számítógépre. (Az előbbiekben ismertetett portszám tiltása a programféreg terjedését megakadályozza.)

A programféreg a Windows\System vagy a Windows\System32 könyvtárban létrehozott WINTBP.EXE nevű állományként kerül a számítógépre. A biztonsági hiányossággal rendelkező számítógépeken a programféreg automatikusan lefut és létrehozza az alábbi bejegyzést a Regisztrációs adatbázisban (Registry), melynek hatására a számítógép minden induláskor automatikusan lefut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "wintbp.exe" = wintbp.exe

Egyéb jellemzők

Minden olyan számítógépen, ahol nem lett telepítve az MS05-039-es javítócsomag, a fertőzés miatt állandóan újraindul a számítógép.

Eltávolítási utasítások

Minden felhasználónak
A vírus felismeréséhez és tisztításához használja a hivatkozott keresőmotort és DAT fájlokat, illetve telepítse az MS05-039 javítócsomagot.

Stinger
AStinger legújabb verziója képes a vírus detektálására és eltávolítására.

McAfee VirusScan Enterpise 8.0i
A programféreg ellen hatékony védelem a VirusScan Enterprise Access Protection vagy Unwanted Programs moduljának beállítása az alábbiak szerint:



Egyéb elnevezések

  • W32.Zotob.E (Symantec)
  • W32/Tpbot-A (Sophos)
  • WORM_RBOT.CBQ (Trend)
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2005.