Зотоб - Zotob

"Червь Zotob и несколько его разновидностей, известные как Rbot.cbq, SDBot.bzh и Zotob.d, заразили компьютеры таких компаний, как ABC, CNN, The Ассошиэйтед Пресс, Нью-Йорк Таймс, и Компания Caterpillar Inc. »- Business Week, 16 августа 2005 г.

Зотоб это компьютерный червь который подвиги уязвимости безопасности в Microsoft операционные системы, такие как Windows 2000, в том числе MS05-039 подключи и играй уязвимость. Известно, что этот червь распространяется через Microsoft-ds или Порт TCP 445.

Было заявлено, что черви Zotob стоят в среднем 97 000 долларов, а также 80 часов очистки на каждую пострадавшую компанию.[1]

Вариант робота

Zotob произошел от червя Rbot. Rbot может заставить зараженный компьютер постоянно рестарт. Его вспышка 16 августа 2005 г. освещалась "в прямом эфире" на CNN телевидение, поскольку были заражены собственные компьютеры сети. Zotob будет самовоспроизводиться при каждой перезагрузке компьютера, в результате на каждом компьютере будет множество копий файла к моменту очистки. Это похоже на червя Blaster (Lovesan).[требуется разъяснение ]

Цепочка событий

  • 9 августа 2005 г .: рекомендации по безопасности.
    «9 августа Microsoft выпустила критически важное сообщение безопасности MS05-039, в котором была обнаружена уязвимость в компоненте Plug-and-Play Windows 2000. Также был доступен код для исправления лазейки». [2]
  • Написание вирусов
    "За несколько дней, прошедших после анонса Microsoft, вирусописатели выпустили несколько вариантов Zotob и RBot, а также обновленные версии старых червей, названных SD-Bot и IRC-бот, созданный для того, чтобы воспользоваться недавно обнаруженным недостатком ". [3]
  • 13 августа 2005 г .: появился в субботу.
    «Черви под названием Zotob и Rbot, а также их варианты, начали появляться в субботу, - сказали специалисты по компьютерной безопасности, - и продолжали распространяться, когда в начале недели ожили корпоративные сети». [4]
  • 16 августа 2005 г .: снял прямой эфир CNN
    «Около 17:00 проблемы начались на объектах CNN в Нью-Йорке и Атланте, а спустя 90 минут были устранены». [5]
    «Си-эн-эн, вторгаясь в регулярные программы, сообщила в прямом эфире, что персональные компьютеры под управлением Windows 2000 в кабельной сети новостей были поражены червем, заставившим их неоднократно перезагружаться».[6]
    "Internet Storm Center, отслеживающий влияние компьютерных червей во всем мире, указал на своем веб-сайте, что никаких серьезных интернет-атак не проводилось. Скорее всего, это единичное событие, о котором стало известно из-за заражения CNN. На данный момент мы не видим никаких новых угроз, сайт прочитал. " [7]
  • 17 августа 2005 г .: CIBC и другие банки, затронутые компании
    «CIBC заявляет, что червь Zotob вызвал отдельные отключения, но не затронул банкоматы, Интернет или телефонный банкинг. Вирус также поразил другие канадские предприятия, но не вызвал массовых отключений».[8]
  • 26 августа 2005 г .: Подозреваемый арестован в г. Марокко
    "По просьбе ФБР, Марокканская полиция арестовала 18-летнего Фарид Эссебр, а Марокканский, подозреваемых в распространении вируса ". [9]
  • 16 сентября 2006 г .: приговор
    "Создатели червя Zotob Windows Фарид Эссабар и его друг Ахраф Бахлул были приговорены судом в Марокко.[10]

Арест кодеров

26 августа 2005 г. Фарид Эссебр и Атилла Экичи были арестованы в Марокко и индюк, соответственно. Считается, что именно они написали код червя.

Подпись в коде червя Zotob предполагала, что он был закодирован Diabl0 и IRC сервер, к которому он подключается, тот же, что и в предыдущей версии Mytob. Считается, что Diabl0 включает в себя код русский по прозвищу Houseofdabus [11] чей журнал был закрыт властями,[12] сразу после ареста Diabl0. Кодер (Экичи), вероятно, заплатил Diabl0 (Эссебар) за написание кода.

"Он говорит, что все дело в зарабатывании денег, и что его не волнует, удалят ли люди червя, потому что это шпионское ПО, которое он устанавливает, приносит ему деньги. Тейлор сказал в разговоре со мной ". [13]

30 августа 2005 г. появились противоречивые сообщения из разных антивирус фирмы. Sophos заявили, что несколько человек имеют доступ к исходному коду Mytob (вариант червя). С другой стороны, F-Secure заявил, что обнаружил несколько вариантов Mytob, закодированных после ареста Эссебра. Эти заявления предполагают, что Эссебр является лишь частью большой группы Темные хакеры за распространением вредоносное ПО.[14]

Смотрите также

Рекомендации

Внешние ссылки и источники

Информация об уязвимостях безопасности

Информация о червях

Освещение новостей