ชื่อ : W32.Zotob.E
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่รู้จัก : WORM_RBOT.CBQ [Trend Micro], W32/Zotob.E[Outpost24], Win32.Peabot.A [Computer Associates], W32/IRCbot.worm!MS05-039 [McAfee], W32/Tpbot-A [Sophos], W32.Zotob.E[Symantec], Net-Worm.Win32.Small.d [Kaspersky]
ระดับความรุนแรง : ปานกลาง
ระบบปฏิบัติการที่มีผลกระทบ : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
ระบบปฏิบัติการที่ไม่มีผลกระทบ : Linux, Macintosh, OS/2, UNIX, Windows 3.x
-------------------------------------------------
ข้อมูลทั่วไป
W32.Zotob.E หนอนชนิดนี้จัดเป็นโปรแกรมประเภท Exploit ที่จะโจมตีช่องโหว่ของ Microsoft Windows Plug and Play Vulnerability หรือ MS05-039 ผ่านพอร์ต 445/TCP เฉพาะบนระบบปฏิบัติการวินโดวส์ NT และ 2000 เท่านั้น ซึ่งไฟล์ของหนอนชนิดนี้มีชื่อว่า wintbp.exe ในส่วนของระบบปฏิบัติการอื่นจะไม่ถูกโจมตี แต่ก็มีโอกาสที่จะได้รับไฟล์หนอนและทำการติดตั้งให้โจมตีไปยังเครื่องที่ใช้ระบบปฏิบัติการวินโดวส์ NT หรือ 2000 ได้
นอกจากนี้ หนอนยังทำการเชื่อมต่อไปยังเครื่องเซิร์ฟเวอร์ของโปรแกรม IRC เพื่อทำการส่งข้อความออกไปอีกด้วย
วิธีการแพร่กระจาย
หนอนชนิดนี้สามารถแพร่กระจายโดยเริ่มจากการค้นหาเครื่องคอมพิวเตอร์ตามหมายเลข IP ที่หนอนสร้างขึ้นมา หากพบว่าเครื่องเหล่านี้ยังไม่ได้ทำการติดตั้งโปรแกรมซ่อมแซมช่องโหว่ของ Microsoft Windows Plug and Play Vulnerability หรือ MS05-039 หนอนจะทำการโจมตีผ่านช่องโหว่ดังกล่าวโดยใช้วิธีการทำให้หน่วยความจำล้น (Buffer Overflow) ส่งผลทำให้มีการเปิดพอร์ต 7778/TCP จากนั้นหนอนจะสร้างสคริปต์ชื่อ [0-9].bat ในโฟลเดอร์ Temp ของวินโดว์ ใช้ในการดาวน์โหลดและเอ็กซิคิวต์ไฟล์ของหนอนเอง
ผลกระทบที่เกิดขึ้น
เครื่องอาจทำงานผิดพลาด : เนื่องจากหนอนจะแก้ไขไฟล์และรีจิสทรี ทำให้เครื่องทำงานผิดพลาดได้
เปิดการเชื่อมต่อที่ผิดปกติ : หนอนจะสร้างพอร์ตที่ใช้ในการเชื่อมต่อ 445/TCP และ 7778/TCP
รบกวนการทำงานของระบบเครือข่าย : หนอนจะทำการเชื่อมต่อไปยังเครื่องเซิร์ฟเวอร์ของโปรแกรม IRC ที่ IP 72.20.27.115
***อ่านข้อมูลเพิ่มเติมได้ที่==> http://thaicert.nectec.or.th/advisory/alert/zotob_e.php