Зотоб

«Червь Zotob и несколько его разновидностей, известных как Rbot.cbq, SDBot.bzh и Zotob.d, заразили компьютеры таких компаний, как ABC , CNN , The Associated Press , The New York Times и Caterpillar Inc. » — Бизнес Неделя , 16 августа 2005 г.

Zotob — это компьютерный червь , который использует уязвимости безопасности в Microsoft операционных системах , таких как Windows 2000 , включая MS05-039 уязвимость Plug-and-Play . Известно, что этот червь распространяется через Microsoft-ds или TCP-порт 445.

Было заявлено, что черви Zotob стоят в среднем 97 000 долларов, а также 80 часов очистки на каждую затронутую компанию. ^[1]

Rbot variant

Zotob произошел от червя Rbot. Rbot может заставить зараженный компьютер постоянно перезагружаться . Вспышка заболевания 16 августа 2005 г. транслировалась в прямом эфире по телевидению CNN , поскольку были заражены собственные компьютеры сети. Zotob будет самовоспроизводиться каждый раз при перезагрузке компьютера, в результате чего к моменту очистки на каждом компьютере будет множество копий файла. Это похоже на червя Blaster (Lovesan). ^{[ нужны разъяснения ]}

Последовательность событий

9 августа 2005 г.: Рекомендации по безопасности.
«9 августа Microsoft выпустила важные рекомендации по безопасности MS05-039, в которых выявлена уязвимость в компоненте Plug-and-Play Windows 2000. Также был доступен код для исправления этой лазейки». ^[2]
Написание вирусов
«За несколько дней, прошедших с момента объявления Microsoft, авторы вирусов выпустили несколько вариантов Zotob и RBot, а также обновленные версии старых червей под названием SD-Bot и IRC-Bot , разработанные с целью воспользоваться недавно обнаруженной уязвимостью». ^[3]
13 августа 2005 г.: появилось в субботу.
«Черви, называемые Zotob и Rbot, а также их варианты, начали появляться в субботу, — сообщили специалисты по компьютерной безопасности, — и продолжили распространяться по мере того, как в начале недели оживали корпоративные сети». ^[4]

16 августа 2005 г.: снят прямой эфир CNN.
«Около 17:00 проблемы начались на объектах CNN в Нью-Йорке и Атланте, но были устранены примерно через 90 минут». ^[5]
«CNN, вторгаясь в регулярные программы, сообщил в эфире, что персональные компьютеры под управлением Windows 2000 в сети кабельных новостей были заражены червем, из-за которого они неоднократно перезагружались». ^[6]
«Центр интернет-штормов, который отслеживает глобальное воздействие компьютерных червей, указал на своем веб-сайте, что никаких крупных интернет-атак не было. Вероятно, это изолированное событие, которое стало заслуживающим освещения в печати, потому что CNN был заражен. Мы не видим никаких новых угроз. в этот момент сайт прочитал». ^[7]
17 августа 2005 г.: пострадали CIBC и другие банки и компании.
«CIBC сообщает, что червь Zotob вызвал некоторые отдельные сбои в работе, но не затронул банкоматы, Интернет или телефонные банковские операции. Вирус также поразил другие канадские предприятия, но не привел к массовым остановкам работы». ^[8]
арестован подозреваемый. 26 августа 2005 г.: в Марокко
«По запросу ФБР марокканская полиция арестовывает 18-летнего Фарида Эссебара , марокканца , подозреваемого в причастности к распространению вируса». ^[9]
16 сентября 2006 г.: вынесение приговора.
«Создатели Windows-червя Zotob Фарид Эссабар и его друг Ашраф Бахлул были приговорены судом в Марокко . ^[10]

Арест кодировщиков

26 августа 2005 года Фарид Эссебар и Атилла Экичи были арестованы в Марокко и Турции соответственно. Считается, что именно они стояли за программированием червя.

Сигнатура в коде червя Zotob предполагает, что он был написан Diabl0, а IRC- сервер, к которому он подключается, тот же, что использовался в предыдущей версии Mytob. Считается, что Diabl0 вобрал в себя код русского человека по прозвищу houseofdabus. ^[11] чей журнал был закрыт властями, ^[12] сразу после ареста Diabl0. Программист (Экичи), вероятно, заплатил Diabl0 (Эссебар) за написание кода.

« Он говорит, что все дело в зарабатывании денег, и что его не волнует, удалят ли люди червя, потому что именно шпионское ПО, которое он устанавливает, приносит ему деньги », — сказал Тейлор в разговоре со мной. ^[13]

30 августа 2005 г. от различных антивирусных компаний появились противоречивые сообщения. Компания Sophos заявила, что несколько человек имели доступ к исходному коду Mytob (вариант червя). С другой стороны, F-Secure заявила, что обнаружила несколько вариантов Mytob, закодированных после ареста Эссебара. Эти заявления предполагают, что Эссебар является лишь частью более крупной группы хакеров Темной стороны, стоящих за распространением вредоносного ПО . ^[14]

См. также

Хронология известных компьютерных вирусов и червей

Ссылки

^ «Зотоб стоит 97 тысяч долларов на компанию» . Красная селедка . Архивировано из оригинала 21 февраля 2006 г. Проверено 27 октября 2005 г.
^ «Червь Windows 2000 поразил американские компании» . 17 августа 2005 г.
^ Новости NBC
^ Рихтель, Мэтт (17 августа 2005 г.). «Вирус атакует компьютеры Windows в компаниях» . Нью-Йорк Таймс .
^ «CNN.com — Червь поражает системы Windows 2000 — 17 августа 2005 г.» . CNN .
^ Рейтер ^{[ мертвая ссылка ]}
^ Новости NBC
^ CTV.ca
^ «Maghreb Arabe Presse: Молодой марокканский хакер арестован за веб-вирус» . Архивировано из оригинала 12 ноября 2005 г.
^ «Создателям вируса Zotob грозит тюрьма» . 14 сентября 2006 г.
^ «milw0rm.com — н/д» . Архивировано из оригинала 29 марта 2006 г.
^ http://www.livejournal.com/users/houseofdabus/ ^{[ мертвая ссылка ]}
^ Кребс, Брайан (29 августа 2005 г.). «Разговор с автором-червем» . Вашингтон Пост (блог). Архивировано из оригинала 14 марта 2006 г.
^ «Аресты Зотоба открывают торговлю скомпрометированными компьютерами» .

Внешние ссылки и источники

Информация об уязвимостях безопасности

Бюллетень Microsoft по безопасности MS05-039 (Microsoft)
Рекомендации Microsoft по безопасности (899588) (Microsoft)
Примечание об уязвимости сертификата США VU#998653 (US-CERT)
Консультативная информация Secunia SA16372 (Secunia)
CAN-2005-1983 (Распространенные уязвимости и уязвимости)
Идентификатор ошибки 14513 (SecurityFocus)

Информация о червях

Что следует знать о Zotob (Microsoft)
Средство удаления W32.Zotob (Symantec Security Response)
WORM_ZOTOB.D (Trend Micro)
Зотоб.А (F-Secure)
Zotob.C (F-Secure)
WORM_RBOT.CBR (Trend Micro)
Полная хронология (блогер по безопасности)
Инструкции по удалению Zotob

Освещение новостей

BBC News Червь Windows 2000 поразил американские компании
BBC News Ошибка Windows 2000 начинает вирусную войну
BBC News Двое задержаны за компьютерный червь в США
BBC News Денежный мотив привел к появлению подозреваемых в вирусе
Вирус New York Times атакует компьютеры Windows в компаниях
Червь CNN поражает системы Windows 2000
MSNBC Компьютерные черви атаковали СМИ
Рейтер ^{[ мертвая ссылка ]} Компьютерный вирус поразил американские СМИ
Червь Slashdot Zotob появился на CNN и стал глобальным
Информационная неделя Zotob доказывает, что исправления «окна» не существует
Безопасность сейчас! Подкаст — Эпизод № 1: «Когда червь поворачивается» [1]

[1] «Зотоб стоит 97 тысяч долларов на компанию» . Красная селедка . Архивировано из оригинала 21 февраля 2006 г. Проверено 27 октября 2005 г.

[2] «Червь Windows 2000 поразил американские компании» . 17 августа 2005 г.

[3] Новости NBC

[4] Рихтель, Мэтт (17 августа 2005 г.). «Вирус атакует компьютеры Windows в компаниях» . Нью-Йорк Таймс .

[5] «CNN.com — Червь поражает системы Windows 2000 — 17 августа 2005 г.» . CNN .

[6] Рейтер ^{[ мертвая ссылка ]}

[7] Новости NBC

[8] CTV.ca

[9] «Maghreb Arabe Presse: Молодой марокканский хакер арестован за веб-вирус» . Архивировано из оригинала 12 ноября 2005 г.

[10] «Создателям вируса Zotob грозит тюрьма» . 14 сентября 2006 г.

[11] «milw0rm.com — н/д» . Архивировано из оригинала 29 марта 2006 г.

[12] ttp://www.livejournal.com/users/houseofdabus/ ^{[ мертвая ссылка ]}

[13] Кребс, Брайан (29 августа 2005 г.). «Разговор с автором-червем» . Вашингтон Пост (блог). Архивировано из оригинала 14 марта 2006 г.

[14] «Аресты Зотоба открывают торговлю скомпрометированными компьютерами» .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]