Текущее состояние MS06-040

В прошлые выходные мы обнаружили первую вредоносную программу, использующую уязвимость MS06-040 — Backdoor.Win32.IRCBot.st.

Любопытно, что эта программа содержит старый эксплойт, который (в обычных условиях) способен срабатывать только на ОС Windows 2000. Это основная причина, по которой количество заражений IRCBot.st не слишком велико.

Случай с IRCBot.st похож на историю червя Bozori, который также, в обычных условиях, был способен заражать только компьютеры с ОС Windows 2000. Впрочем, по сравнению с использованной в Bozori уязвимостью MS05-039, уязвимостью MS06-040 гораздо проще воспользоваться на компьютере с Windows XP.

И есть основания думать, что соответствующий эксплойт уже создан, но в данный момент продолжает оставаться собственностью своего создателя. А авторы IRCBot.st, судя по всему, полагаются на эксплойты, доступные любому посетителю интернета.

Настоящие последствия публикации информации об уязвимости MS06-040 мы увидим, когда какой-нибудь бекдор или червь воспользуются полностью рабочим новым эксплойтом. Давайте надеяться, что это случится не скоро.

P.S. Не забывайте перезагружать компьютер после установки новых патчей. Пока вы этого не сделаете, ваша машина останется уязвимой.