Архив

Антивирусные эксперты комментируют эпидемию червей Padobot/Korgo

Производители антивирусного программного обеспечения предупреждают пользователей операционных систем Windows 2000 и Windows XP о появлении новой версии червя Worm.Win32.Padobot, известного также как Korgo. Последняя модификация программы получила версию «e» (W32.Korgo.f по классификации Symantec).

Червь Padobot эксплуатирует уязвимость в службе LSASS Windows, описанную в информационном бюллетене Microsoft от 13 апреля этого года. Этот же изъян использовали создатели вредоносных программ Sasser, Dabber и Cycle.

«Все, чьи компьютеры заражены Korgo, скорее всего, проспали Sasser, Dabber и Cycle. Любая компания, серьезно относящаяся к своей безопасности, установила соответствующую заплатку и привела в порядок свои межсетевые экраны несколько недель назад. Им не стоит опасаться нового появления Korgo», — заявил представитель производителя антивирусного программного обеспечения Sophos.

По словам представителя компании Symantec, в Padobot.e включена бэкдор-утилита, которая делает зараженные системы открытыми для несанкционированного внешнего доступа. «Эта утилита может привести к потере конфиденциальных данных и сбить многие настройки системы безопасности», — пояснили в Symantec.

Учитывая увеличение числа заражений червем Padobot, специалисты по информационной безопасности повысили рейтинг исходящей от него угрозы. Padobot.e способен проникать на компьютеры через TCP-порты 113 и 3067. Рост трафика через эти порты может свидетельствовать о проникновении червя в машину.

Иного мнения о продолжающейся эпидемии червей семейства Padobot придерживаются в «Лаборатории Касперского». «По нашему мнению, проблема Padobot несколько преувеличена. Согласно нашим оценкам, подтвержденным наблюдением за IRC-каналами, к которым обращаются все зараженные Padobot компьютеры, общее число инфицированных систем не превышает нескольких тысяч, что значительно меньше, чем сотни тысяч и даже миллионы машин, зараженных в ходе эпидемий червей Mydoom, NetSky, Bagle или Sasser», — отметил вирусный аналитик «Лаборатории Касперского» Александр Гостев.

Кроме того, в качестве наиболее вероятного места создания червей семейства Padobot в «Лаборатории Касперского» называют Россию. На это косвенно указывают имена используемых червями IRC-каналов, а также ряд других особенностей, весьма схожих с примененными в другой вредоносной программе — Backdoor.Padodor, авторство которой принадлежит русской вирусописательской группе HangUp Team.

Игорь Громов

Антивирусные эксперты комментируют эпидемию червей Padobot/Korgo

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике