Специалисты по безопасности корпорации Microsoft поздно вечером в пятницу
сообщили о том, что старый, но малоизвестный червь начал копировать некоторые из
способов распространения Conficker.
Червь Neeris, первые упоминания о котором датируются маем 2005-го года, начал
использовать тот же баг, которым вдоволь попользовался широко известный червь
Conficker. Кроме того, как
пишут специалисты Microsoft Malware Protection Center Зив Мэйдор и Аарон
Путнэм, Neeris взял на вооружение и другую особенность Conficker – способность
распространяться через flash-накопители.
По их данным, авторы червя недавно добавили в него эксплоит для уязвимости
MS08-067, которую компания Microsoft в срочном порядке пропатчила в октябре
прошлого года. Помимо этого, червь получил возможность распространяться через
функцию Autorun, используя при этом ту же ее особенность, что и червь Conficker.
Conficker распространяется с машины на машину, добавляя в корневой каталог
USB-накопителя файл autorun.inf, который при переносе копирует экземпляр червя
на ранее незараженный компьютер. Авторы публикации выразили предположение, что
создатели Conficker и Neeris сотрудничают, или по крайней мере знакомы с
работами друг друга. Тем не менее, они отмечают, что несмотря на совпадение
времени активизации червя Neeris (31.03-01.04), он никогда не скачивался ни
одним из вариантов Conficker и свидетельств связи Neeris с первоапрельской
активностью Conficker.c не имеется.
Отметим, что хотя Neeris был обнаружен впервые почти четыре года назад, его
сигнатура до сих пор отсутствует в базе Средства удаления вредоносных программ (MSRT)
от Microsoft, хотя "отпечаток" Conficker присутствует там с середины января
этого года.
Принимая во внимание сходство этих двух опасных программ, исследователи
советуют бороться с Neeris установкой того же патча MS08-067. Они также
рекомендуют с осторожностью пользоваться функциями автоматического
воспроизведения или отключить их вообще.
