A F-Secure está alertando sobre a descoberta de um novo worm denominado Zotob.A, que recebeu seu nome por ser muito parecido com o Mytob. Porém, diferente de outras versões do Mytob, o Zotob explora a falha detalhada no boletim MS05-39, que teve a correção divulgada há apenas 5 dias.
Embora o curto espaço de tempo faça com que muitos sistemas ainda não possuam patch aplicado, o worm não vai conseguir infectar computadores com Windows XP SP2 e também terá dificuldades para infectar máquinas com Windows XP SP1. Já micros com Windows 2000 que não possuem firewall nem o patch instalado estão em grave perigo.
A infecção pode ser identificada através da presença de um arquivo chamado botzor.exe na pasta de sistema do Windows e não é necessário nenhuma ação da parte do usuário: basta ter uma máquina vulnerável (sem firewall e sem o patch) conectada à Internet.
Curiosamente, o worm ameaça as companhias de antivírus com a mensagem: “o primeiro antivírus que detectar esse worm vai ser o primeiro a morrer nas próximas 24hrs.” A ameaça provavelmente se refere ao fato de que o worm possui um backdoor de IRC (como o Agobot) e poderá conduzir ataques de negação de serviço contra o site da companhia de antivírus.
É recomendado que você aplique o MS05-39 e outros patches lançados na terça-feira, dia 09, pois essas falhas serão usadas para instalar os mais variados worms e outros tipos de malware em computadores que não estiverem atualizados.
Atualizado! A F-Secure divulgou novas informações sobre o código usado para explorar a falha. De acordo com a F-Secure, o worm só vai infectar sistemas Windows 2000. Por outro lado, novos worms com capacidade para infectar outras versões do Windows podem ser lançados em breve, então o patch é indispensável.
Linha Defensiva 