`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Эпидемия

0 
 

Антивирусная команда Network Associates 27 января уже в первые часы распространения MyDoom охарактеризовала вирус как "масштабный". Сама компания за один час получила около 20 тыс. зараженных писем. Для многих фирм столь стремительное наступление MyDoom обернулось весьма серьезной проблемой -- отключением почтового сервера.

Открывая ZIP-архивы, пришедшие с темами сообщения "Hi", "Hello" и т. п., пользователи офисных и домашних ПК автоматически устанавливали на свои машины генератор новых почтовых сообщений и клиент, запрограммированный на атаку сайта компании SCO Group в период с 1 по 12 февраля. Кроме этого, на компьютере инсталлировался стандартный backdoor, открывающий доступ к зараженной машине неизвестному организатору. Если на ПК имелось приложение Kazaa, то вирус самостоятельно копировал себя в папки, открытые другим пользователям сети. Попадая в Kazaa, MyDoom представлялся под именами Winamp5, RootkitXP, Officecrack и Nuke2004. В список заражаемых операционных систем вошли практически все пользовательские ОС Microsoft -- Windows 95, 98, Me, а также Windows NT, 2000 и XP.

MyDoom присущи некоторые характерные черты Internet-"червя" Mimail, и поэтому первоначально многими антивирусными компаниями он был принят за его модификацию. MyDoom также имеет второе имя -- I-Worm.Novarg, включающее название команды (Novarg), после одновременного получения которой и предполагалось нанести атаку на Web-сервер SCO Group.

Стоит напомнить, что это не первое массированное наступление за последний год. В августе прошлого года много шума наделал вирус MSBlast, нацеленный против сайта поддержки Windows Update компании Microsoft, что, в принципе, привело даже к исчезновению адреса www.windowsupdate.com. Была организована DDoS-атака, если помните, и на сайт Белого дома, инициированная Internet-"червем" Code Red.

Что касается MyDoom, то свою долю в массовую истерию, передающуюся по каналам электронной почты, добавили и те почтовые службы, которые снабжали каждое зараженное сообщение ответом с упоминанием о факте обнаружения вируса. Поддельные адреса в поле отправителя, генерируемые MyDoom, также поспособствовали появлению огромного количества писем о недоступности адресата. По словам администратора компании Postini, обеспечивающей поддержку почтовых серверов для ряда корпоративных клиентов, масштабы распространения MyDoom не сравнить с теми, которые вызвал предыдущий массовый вирус -- Sobig.F. "Тогда в пиковый период эпидемии мы блокировали 3,5 млн. сообщений, -- заявил Скотт Петри (Scott Petry). -- Сейчас же, с началом эпидемии MyDoom, объем ежедневных сообщений достиг 8 млн.".

Нацеленность вируса на сайт SCO Group позволила многим аналитикам заявить о том, что его авторами стали представители Linux-сообщества. Не секрет, что в последнее время трения между компанией и движением open source усилились из-за заявлений SCO Group о нарушении авторских прав распространителями и покупателями операционной системы Linux. Сайт SCO и до этого подвергался DoS-атакам, которые, по утверждению компании, были инициированы безымянными программистами, поддерживающими движение open source.

В то же время подобная версия из-за своей очевидности заслуживает и немалой доли скептицизма. В отличие от таких корпораций, как Amazon, eBay и Yahoo, SCO Group не использует свой сайт для коммерческой деятельности. Web-страницы, размещенные по адресу www.sco.com, являются в большинстве своем информационными, за исключением нескольких разделов сайта, в которых нынешним клиентам предлагаются обновления. Проще говоря, потери SCO при падении сайта будут минимальными. Планировать столь масштабную атаку для столь ничтожной цели равносильно поднятию в воздух эскадрильи бомбардировщиков ради задержания нарушителя, переходящего улицу на красный свет.

Возможно, что ее организаторы, предпочитающие такой своеобразный способ распространения и рассчитывающие на присутствие на ПК клиента Kazaa, имели другие соображения. Вымогательство денег под угрозой срыва работы сайта в последнее время встречается все чаще. И если сегодня удастся "завалить" сайт SCO, то наличие миллионов зараженных машин с backdoor-программой позволит в дальнейшем шантажировать более крупных игроков на рынке электронной коммерции, азартных игр и онлайн-порнографии.

Но оказывается, все не ограничилось только MyDoom. 29 января появилась новая версия сетевого "червя", получившая имя MyDoom.B (по классификации некоторых компаний, Win32.HLLM. MyDoom.48128). Вирус не давал возможности скачать лечащие утилиты с сайтов многих известных антивирусных компаний, блокируя к ним доступ. Но самое главное, MyDoom.B уже был направлен на организацию атаки не только на SCO, но и на серверы Microsoft -- поэтому редмондский гигант был вынужден включиться в борьбу с ним еще энергичнее.

По данным фирмы MessageLabs, занимающейся изучением проблем безопасности электронной почты, и в частности распространения вирусов по этим каналам, к концу недели MyDoom уже не был так активен, как в ее начале, но, тем не менее, его эпидемия стала рекордной за последние годы. За пять дней, начиная с 27 января, было зафиксировано около 9 млн. инфицированных писем. MessageLabs оценивает уровень зараженности как 15:1, т. е. на пятнадцать отправленных писем одно содержало ту или иную разновидность MyDoom.

Стоит обратить внимание и на то, что, в отличие от многих своих предшественников, MyDoom использует несколько иной подход к инициированию своего запуска. Если раньше все сводилось к банальному обыгрыванию показа каких-то nude-картинок или посланий личного характера и нацеленность была на любопытство обычных пользователей, далеких от различных технических вопросов, то теперь дело обстоит иначе. "Ставка разработчиками MyDoom делалась именно на то, что посылаемая строчка очень похожа на некую техническую реплику и многие могут решить, что здесь все законно", -- отмечает Стив Триллинга, специалист Symantec.

Но вернемся к хронологии событий. "Лаборатория Касперского" в пятницу, 30 января, заявила, что автор MyDoom с вероятностью 80% находится на территории России. По крайней мере, первые адреса, с которых началось распространение вируса, принадлежат российским Internet-провайдерам. Однако представитель компании Денис Зенков выразил по этому поводу недоумение, заметив, что вирусы чаще всего пишут безработные программисты, в то время как сегодня в России компетентные разработчики "находятся при деле".

Споры о происхождении вируса пока не прекратились, однако те, у кого есть реальная информация о создателе MyDoom, имеют шанс получить сразу два чека по четверть миллиона долларов каждый. SCO Group и Microsoft объявили о выплате вознаграждения за любые сведения, которые приведут к поимке автора.

10 самых вредоносных вирусов (по оценкам агентства mi2g) 
Вирус  Убытки (млрд. долл.) 
Sobig  37,1 
MyDoom  22,6 
Klez  19,8 
Mimail  11,5 
Yaha  11,5 
Swen  10,4 
Love Bug  8,8 
BugBear  3,9 
Dumaru  3,8 
SirCam  3,0 
0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT