Специалисты по безопасности корпорации Microsoft поздно вечером в пятницу сообщили о том, что старый, но малоизвестный червь начал копировать некоторые из способов распространения Conficker.
Червь Neeris, первые упоминания о котором датируются маем 2005-го года, начал использовать тот же баг, которым вдоволь попользовался широко известный червь Conficker. Кроме того, как пишут специалисты Microsoft Malware Protection Center Зив Мэйдор и Аарон Путнэм, Neeris взял на вооружение и другую особенность Conficker – способность распространяться через flash-накопители.
По их данным, авторы червя недавно добавили в него эксплоит для уязвимости MS08-067, которую компания Microsoft в срочном порядке пропатчила в октябре прошлого года. Помимо этого, червь получил возможность распространяться через функцию Autorun, используя при этом ту же ее особенность, что и червь Conficker.
Conficker распространяется с машины на машину, добавляя в корневой каталог USB-накопителя файл autorun.inf, который при переносе копирует экземпляр червя на ранее незараженный компьютер. Авторы публикации выразили предположение, что создатели Conficker и Neeris сотрудничают, или по крайней мере знакомы с работами друг друга. Тем не менее, они отмечают, что несмотря на совпадение времени активизации червя Neeris (31.03-01.04), он никогда не скачивался ни одним из вариантов Conficker и свидетельств связи Neeris с первоапрельской активностью Conficker.c не имеется.
Отметим, что хотя Neeris был обнаружен впервые почти четыре года назад, его сигнатура до сих пор отсутствует в базе Средства удаления вредоносных программ (MSRT) от Microsoft, хотя "отпечаток" Conficker присутствует там с середины января этого года.
Принимая во внимание сходство этих двух опасных программ, исследователи советуют бороться с Neeris установкой того же патча MS08-067. Они также рекомендуют с осторожностью пользоваться функциями автоматического воспроизведения или отключить их вообще.