...
...

Zotob/Mytob/Rbot/IRCBot/Bozori - реальная эпидемия или истерия?

Лаборатория Касперского комментирует ситуацию с появлением новых вредоносных программ Zotob и Bozori. В настоящее время в ряде зарубежных СМИ опубликована информация о том, что некий червь поразил сети множества крупных корпораций и вызвал крупнейшую эпидемию этого года. По информации телеканала CNN, от червя пострадали ABCNews, New York Times, Конгресс США. Одновременно эту информацию перепечатали другие СМИ, в том числе и в России. Возникла путаница в событиях и названиях вируса. Нам удалось установить, что в описанном CNN инциденте речь шла о черве, который имеет следующие названия у разных антивирусных компаний:

Zotob.e (Symantec)
WORM_RBOT.CBQ (Trend Micro)
IRCBot.Worm (McAfee)
Tpbot-A (Sophos)
Zotob.d (F-Secure)
Net-Worm.Win32.Bozori.a (Kaspersky)

"Лаборатория Касперского" была в числе первых антивирусных компаний по скорости детектирования данного вируса. Процедуры его обнаружения были добавлены в срочное обновление антивирусных баз, опубликованное сегодня в 1:50 по московскому времени. Также следует отметить, что вирусная лаборатория компании не получала информации от своих пользователей в России и за рубежом о реальных случаях заражений, вызванных данным червем. Не отмечено и увеличение сетевой активности как возможного следствия работы червя. Если вспомнить ситуацию с эпидемией червя Sasser в мае 2004 года, с которым некоторые СМИ уже сравнивают Bozori.a, то тогда сетевой трафик вырос примерно на 20-40%, чего в настоящее время не наблюдается.Данный червь использует для своего распространения уязвимость в службе Microsoft Windows - Plug'n'Play (MS05-039).

За прошедшее с момента устранения узвимости время было зафиксировано около десяти вредоносных программ, использующих ее для своего распространения. В первую очередь это три варианта червя Mytob (ce, cf, ch), которые были названы некоторыми антивирусными компаниями Zotob и вокруг появления которых также был поднят определенный шум в средствах массовой информации, не подкрепленный реальной информацией об эпидемиях. Также было обнаружено несколько троянских программ-ботов - представителей семейств Rbot и IRCBot, не представляющих серьезной опасности.





Таким образом, можно констатировать тот факт, что в настоящее время в сети Интернет не наблюдается заметной вирусной эпидемии. "Лаборатория Касперского" не обладает какой-либо подтвержденной информацией от своих пользователей о случаях заражения червем Bozori.a.



© Компьютерная газета