Антивирусные эксперты комментируют эпидемию червей Padobot/Korgo

Производители антивирусного программного обеспечения предупреждают пользователей операционных систем Windows 2000 и Windows XP о появлении новой версии червя Worm.Win32.Padobot, известного также как Korgo. Последняя модификация программы получила версию «e» (W32.Korgo.f по классификации Symantec).

Червь Padobot эксплуатирует уязвимость в службе LSASS Windows, описанную в информационном бюллетене Microsoft от 13 апреля этого года. Этот же изъян использовали создатели вредоносных программ Sasser, Dabber и Cycle.

«Все, чьи компьютеры заражены Korgo, скорее всего, проспали Sasser, Dabber и Cycle. Любая компания, серьезно относящаяся к своей безопасности, установила соответствующую заплатку и привела в порядок свои межсетевые экраны несколько недель назад. Им не стоит опасаться нового появления Korgo», — заявил представитель производителя антивирусного программного обеспечения Sophos.

По словам представителя компании Symantec, в Padobot.e включена бэкдор-утилита, которая делает зараженные системы открытыми для несанкционированного внешнего доступа. «Эта утилита может привести к потере конфиденциальных данных и сбить многие настройки системы безопасности», — пояснили в Symantec.

Учитывая увеличение числа заражений червем Padobot, специалисты по информационной безопасности повысили рейтинг исходящей от него угрозы. Padobot.e способен проникать на компьютеры через TCP-порты 113 и 3067. Рост трафика через эти порты может свидетельствовать о проникновении червя в машину.

Иного мнения о продолжающейся эпидемии червей семейства Padobot придерживаются в «Лаборатории Касперского». «По нашему мнению, проблема Padobot несколько преувеличена. Согласно нашим оценкам, подтвержденным наблюдением за IRC-каналами, к которым обращаются все зараженные Padobot компьютеры, общее число инфицированных систем не превышает нескольких тысяч, что значительно меньше, чем сотни тысяч и даже миллионы машин, зараженных в ходе эпидемий червей Mydoom, NetSky, Bagle или Sasser», — отметил вирусный аналитик «Лаборатории Касперского» Александр Гостев.

Кроме того, в качестве наиболее вероятного места создания червей семейства Padobot в «Лаборатории Касперского» называют Россию. На это косвенно указывают имена используемых червями IRC-каналов, а также ряд других особенностей, весьма схожих с примененными в другой вредоносной программе — Backdoor.Padodor, авторство которой принадлежит русской вирусописательской группе HangUp Team.

Игорь Громов