Червь Neeris снова выходит на охоту

Специалисты компании Microsoft в сфере компьютерной безопасности сообщили о повторном появлении старого, но малоизученного червя. Впервые червь Neeris был обнаружен в мае 2005 года, теперь же он снова распространяется по сетям, используя ту же уязвимость Windows, что и Conficker, и, подобно ему, переносится через флэш-диски.

Создатели Neeris снабдили свое произведение эксплоитом для использования уязвимости MS08-067, которая была исправлена в обновлении, выпущенном внеурочно в конце октября. Эта ошибка присутствовала в службе для совместного использования файлов и принтеров операционной системы Windows Server. Ею же воспользовался и Conficker, поразивший миллионы компьютеров в конце 2008 – начале 2009 года.

Оба червя, помимо того, способны распространяться через функцию автозапуска, и новый вариант Neeris пользуется той же самой опцией, что и Conficker, – "Открыть папку для просмотра файлов". В корневой каталог любого USB-накопителя, подсоединенного к зараженному компьютеру, червь записывает файл autorun.inf, и когда накопитель попадает в незараженную машину, этот файл незаметно копирует на ее диски тело червя.

Существует подозрение, что авторы Conficker и Neeris могут, самое меньшее, действовать совместно. Поскольку самые ранние варианты Neeris появились четыре года назад, создатели Conficker могли использовать его в качестве образца, однако Neeris стал пользоваться уязвимостью MS08-067 гораздо позднее. По этой причине специалисты Microsoft выдвинули предположение, что авторы двух червей могут сотрудничать или, по крайней мере, иметь доступ к информации о разработках своих коллег.

Возможно, неслучайно последняя версия Neeris была обнаружена вечером 31 марта, буквально за несколько часов до того, как должен был активизироваться Conficker. Однако ни одна версия Conficker не пыталась скачать и установить на пораженные компьютеры Neeris, поэтому никаких доказательств того, что дата его появления как-то связана с назначенным сроком запуска механизма Conficker, специалисты привести не могут.

Несмотря на столь давний срок обнаружения Neeris, в составе Malicious Software Removal Tool (MSRT) – инструмента для обнаружения и удаления вредоносного ПО, который Microsoft обновляет каждый месяц, – до сих пор отсутствует его идентификатор, тогда как запись для Conficker появилась еще в середине января. Представители компании объясняют это схожим механизмом действия двух червей, и уверяют, что для обеспечения безопасности достаточно установить обновление MS08-067 и отключить функцию автозапуска флэш-накопителей.