quote:bron: virusalert.nlZondag rond het middaguur, een dag nadat we berichtten over exploitcode die een inmiddels gedicht beveiligingslek in Windows' Plug And Play-code aanvalt, zijn twee varianten van de zogenaamde Zotob-worm opgedoken die van dit lek gebruikmaakt. De worm, een aangepaste versie van het Mytob-virus, verspreidt zich redelijk snel; gebruikers die de MS05-039-patch nog niet hebben geïnstalleerd wordt dan ook aangeraden dat zo snel mogelijk te doen.
Vooralsnog lijkt de uitbraak nog binnen de perken te blijven. 'Geen paniek, het wordt geen tweede Sasser', aldus Mikko Hyppönen van antivirusbedrijf F-Secure. Ongepatchte versies van Windows 95, 98, ME, 2K en XP zijn kwetsbaar, maar volgens Hyppönen hebben machines met Windows XP met Service Pack 2 of Windows 2003 niets te vrezen: de worm beschikt niet over geldige login-gegevens. Ook voor computers die poort 445 - de SMB-poort, die voor bestands- en printerdeling wordt toegepast - hebben afgeschermd, zou er niets aan de hand zijn. Na infectie worden ook de poorten 8080 en 33333 gebruikt, de laatste voor ftp-verbindingen om het bestand 'haha.exe', dat de worm bevat, te distribueren. Het virus plaatst verder het bestand botzor.exe in de %system%-map, en het wijzigt het HOSTS-bestand zodat toegang tot de belangrijkste antivirusbedrijven onmogelijk wordt. De worm is bovendien in staat om contact te leggen met IRC-servers, zodat een hacker de besmette pc kan overnemen.
Het overnemen van een serie computers, ofwel het aanleggen van een botnet, is een steeds vaker voorkomend verschijnsel; spammers maken hier bijvoorbeeld veelvuldig gebruik van om anoniem mail te kunnen versturen. Computers die met Zotob besmet zijn, kunnen opdracht krijgen om willekeurige bestanden te downloaden en uit te voeren en om bestanden te verwijderen; het hangt dus van de 'beheerders' van het virus af hoeveel schade er uiteindelijk mee aangericht zal worden. Net als Sasser is ook Zotob overigens gebaseerd op code van een groep hackers die zich 'houseofdabus' noemt. De makers lieten een boodschap voor de antivirusbedrijven in de code achter: 'MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!'
quote:Zo brengen ze het wel bij CNNOp dinsdag 16 augustus 2005 23:58 schreef gitaarsnaar het volgende:
Het einde van de wereld?
quote:Komkommer tijdOp woensdag 17 augustus 2005 00:05 schreef trance_fan het volgende:
als je naar cnn kijkt lijkt het wel het einde van de wereld want het is blijkbaar "breaking news".
microsoft 
Wat ik niet snap is dat wanneer je op de patch site kijkt bij Microsoft ze daar aangeven dat er ook patches zijn voor xp en 2003 server. Ook staat er dat de niet Non-affected software, MS 98 en Me zijn.
Kan iemand hier helderheid in verschaffen? Welke systemen kunnen er nu worden geinfecteerd en dienen dus te worden gepatched?