17 sierpnia 2005

Największa epidemia wirusowa od czasu robaków Sasser i Mydoom? Kaspersky Lab komentuje sytuację

Firma Kaspersky Lab, jeden z czołowych producentów oprogramowania służącego do ochrony przed wirusami, atakami hakerów i spamem, wydała następujące oświadczenie odnośnie złośliwych programów Zotob / Bozori.

Liczne międzynarodowe publikacje informowały o wirusie, który zainfekował sieci wielu dużych korporacji i spowodował największą epidemię w tym roku. Według doniesień mediów, ofiarą robaka Bozori (znanego również jako Zotob) padły CNN, ABC News, NY Times oraz Kongres Stanów Zjednoczonych. Inne publikacje, również media Rosyjskie, przedrukowywały te informacje. Powstało niewielkie zamieszanie odnośnie nazwy lub nazw robaka i tego, co tak naprawdę się dzieje.

Ustaliliśmy, że media opisują incydent spowodowany przez robaka występującego pod następującymi nazwami:

  • Zotob.e (Symantec)
  • WORM_RBOT.CBQ (Trend Micro)
  • IRCBot.Worm (McAfee)
  • Tpbot-A (Sophos)
  • Net-Worm.Win32.Bozori.a (Kaspersky Lab)
  • Zotob.d (F-Secure)

Firma Kaspersky Lab wykryła wirusa jako jedna z pierwszych i opublikowała uaktualnienie o godzinie 23:50 16 sierpnia 2005 r. Podkreślamy, że laboratorium antywirusowe nie otrzymało zgłoszeń o infekcji spowodowanej tym robakiem zarówno od użytkowników w Rosji jak i w innych częściach świata, a opublikowane wcześniej informacje opierały się na danych napływających z mediów. Nie odnotowaliśmy żadnego znacznego zwiększenia aktywności sieciowej, za którą odpowiada robak Bozori. Podczas epidemii robaka Sasser w maju 2004 r. (niektóre media porównują obecną sytuację do epidemii tego robaka) ruch sieciowy wzrósł średnio od 20 do 40 procent. Na razie nic nie wskazuje, że nastąpi podobny wzrost.

Robak Bozori wykorzystuje lukę w mechanizmie Plug and Play w systemie Microsoft Windows, dla której 9 sierpnia 2005 r. opublikowano łatę. Łatę można pobrać ze strony Microsoftu.

Od momentu publikacji łaty wykryto około 10 złośliwych programów, które wykorzystują tę lukę w celu rozprzestrzeniania się. Media opublikowały informacje o trzech wariantach robaka Mytob (.ce, .cf, .ch), które część firm antywirusowych określa jako Zotob. Niektóre z tych rewelacji są spekulacjami, niepopartymi żadnymi dowodami, wskazującymi na epidemię. Wykryto również kilka koni trojańskich z rodzin Rbot i IRCBot. Żaden z tych programów nie spowodował poważnej epidemii.

Firma Kaspersky Lab nie otrzymała od użytkowników konkretnych informacji potwierdzających infekcję robakiem Bozori.a. Powyższe fakty świadczą o tym, że w chwili obecnej nie ma żadnej epidemii.

Pełny opis robaka Bozori.a znajduje się w Encyklopedii Wirusów firmy Kaspersky Lab.