Крупнейшая в истории Интернета эпидемия?

На протяжении последних дней Интернет охватила эпидемия, по своим масштабам имеющая все шансы стать крупнейшей в истории существования Сети. Вызвана она появлением и распространением (с сумасшедшей скоростью) нового почтового червя, именуемого Novarg (Mydoom). Далее приведем хронологическую последовательность связанных с этим событий.

26 января начали поступать первые сведения об обнаружении опасного интернет-червя Novarg. Всего за несколько часов своего существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей, которая заключалась в создании распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки Novarg. Эта технология уже была применена ранее в почтовом черве Sobig.F. Подробный анализ географии распространения вредоносной программы позволяет утверждать, что Novarg был создан в России.

Novarg распространяется по Интернету двумя способами: через электронную почту и через файлообменные сети KaZaA. Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того: с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняет пользователям задачу самостоятельного выявления зараженных писем. В сети KaZaA Novarg присутствует под различными именами (к примеру, winamp5, icq2004-final) и различными расширениями (.bat, .exe, .scr, .pif).
Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, червь начинает процедуру внедрения на компьютер и дальнейшего распространения. Сразу же после запуска Novarg открывает текстовый редактор Notepad и показывает произвольный набор символов. Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.

Затем червь начинает процедуру своего дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями .htm, .wab, .txt и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

Novarg имеет весьма опасные побочные эффекты. Во-первых, он устанавливает на зараженный компьютер прокси-сервер-модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и пр. В-третьих, в Novarg заложена функция организации DoS-атаки на сайт www.sco.com. Функция активна в период с 1 февраля по 12 февраля 2004 г., в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

После того, как стало очевидным зарождение новой эпидемии, "Лаборатория Касперского" выпустила бесплатную утилиту для обнаружения и удаления данной вредоносной программы. Утилита CLRAV производит поиск и нейтрализацию червя в оперативной памяти и жестком диске зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows.

Не прошло и нескольких дней, как была обнаружена новая версия червя — Mydoom.B, содержащая минимум технологических отличий от своей предшественницы. Она также распространяется по электронной почте и файлообменной сети KaZaA. При e-mail-рассылке используется другой набор текстовых строк для создания тела письма. Файл-носитель червя имеет размер около 28 Кб и содержит текстовую строку "sync-1.01; andy; I'm just doing my job, nothing personal, sorry". Mydoom.B в период с 1 по 12 февраля проводит DoS-атаку сразу на два веб-сайта: www.sco.com и www.microsoft.com. Кроме того, червь модифицирует операционную систему таким образом, что пользователь зараженного компьютера не в состоянии соединиться с сайтами многих антивирусных компаний, новостными лентами, различными разделами сайта Microsoft и загружать данные из баннерных сетей.

И последним событием, связанным с появлением Novarg (Mydoom), стало распространение информации о нанесенном им ущербе, а также о сумме, которую получит тот, кто поспособствует поимке его автора. По различным данным червь за время своего действия в Сети способен нанести ущерб мировой экономике порядка $250 млн, что не идет ни в какое сравнение с показателями прошлогоднего лидера в данной номинации червя Sobig (его показатель практически в 5 раз меньше). Именно поэтому за поимкой автора программы стоит сумма в $500 тыс., которая будет представлена корпорацией Microsoft и компанией SCO (доля каждой — 50%).

30.01.04 — "Лаборатория Касперского"

©1997-2024 Компьютерная газета