Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/8/2005
I de sidste 24 timer er der rapporteret om heftig aktivitet fra orme, der udnytter plug-and-play-sårbarheden i Microsoft Windows. Også i Danmark har man registreret den stigende aktivitet.Der er rapporteret om en stigning i aktiviteten fra en række nye varianter af ZOTOB-ormen. Ormen indeholder programkode, der blandt andet udnytter den nyligt publicerede sårbarhed i plug-and-play-servicen i Windows (omtalt i sikkerhedsbulletin MS05-039).
Ormen angriber på port 445 for at udnytte sårbarheden. Når systemet er inficeret downloades en kopi af ormen, hvorefter systemet forbinder sig til en IRC-server (Internet Relay Chat) for at eksekvere eventuelle kommandoer om skanning eller andre angreb. Derefter vil det inficerede system forsøge at sprede sig ved at skanne efter åbne porte på andre maskiner.
Ormen går primært efter Windows 2000, men også Windows XP og 2003 kan være påvirket af angrebene i form af hyppige genstart af systemerne. Konsekvenserne af inficerede systemer er en kraftig øget netværkstrafik og ustabile systemer. Samtidig bruges systemerne til at angribe andre maskiner og dermed forøge problemets omfang.
På grund af IRC-funktionaliteten deltager systemerne i et botnet. De kan derfor dynamisk få sendt nye ordrer. Denne funktionalitet betyder reelt at andre har overtaget kontrollen med systemet.
Det anbefales kraftigt at opdatere systemet som angivet af Microsoft.