19.02.2004 Эксплуатация ваших естественных реакций

версия для печати

Вячеслав Соболев, Александр Тыренко

10.02.2004

Каждый раз вирусописателям необходимо придумать ту «изюминку», на которую попадутся сотни тысяч, миллионы пользователей во всем мире

Первая масштабная эпидемия нынешнего года подтвердила опасения экспертов по информационной безопасности — сетевые черви становятся изощреннее, и вряд ли в ближайшее время следует ожидать, что их авторы оставят ИТ-сообщество в покое. Вирус MyDoom (в иных классификациях Novarg и Mimail.R) распространился по миру довольно быстро. Начало эпидемии пришлось на понедельник, 26 января. Практически сразу же MyDoom/Nov­arg объявился чуть ли не во всех частях света — в США, России, Японии, Новой Зеландии. Представители компаний, разрабатывающих антивирусные программы, сош­лись во мнении, что скорость распространения этого червя оказалась выше, чем у рекордсмена прошлого го­да — Sobig.F.

«Как и в большинстве случаев глобальных эпидемий, в данном случае мы столкнулись с умелым сочетанием приемов социальной инженерии и сугубо технических, — отметил автор программы Dr. Web Игорь Данилов. — Каждый раз вирусописателям необходимо не просто безупречно составить вирусный код, чтобы он работал в любых системах «без сучка без задоринки», они должны придумать ту «изюминку», на которую попадутся сотни тысяч, миллионы пользователей во всем мире. Эта «изюминка» в случае с червем MyDoom — представление инфицированного письма неким ответом почтового сервера. Все люди, пользующиеся электронной почтой, прекрасно знакомы с этим явлением. И все не считают зазорным открыть этот ответ и посмотреть, что там в действительности написано».

MyDoom/Novarg прибывал в прикрепленном файле с расширением EXE, SCR, ZIP или PIF. Тема и содержание письма-носителя варьировались

MyDoom/Novarg прибывал в прикрепленном файле с расширением EXE, SCR, ZIP или PIF. Тема и содержание письма-носителя варьировались. Заражению оказались подвержены системы под управлением Windows 95, 98, Me, NT, 2000 и XP. В случае запуска вложенного файла вирус саморассылался по адресам из локальной адресной книги и в случае присутствия в системе клиента P2P-сети Kazaa копировал себя в каталог доступных для «скачивания» файлов.

Как утверждает Аллан Белл, директор по маркетингу Network Associates Asia-Pacific, основным результатом деятельности червя стало засорение очередей исходящих сообщений на почтовых серверах. «Данный почтовый вирус самостоятельно генерировал исходящие адреса. Это приводило к ошибкам и возврату писем, за счет чего генерировался дополнительный трафик», — пояснил он.

Внедряемый червем «троянец» открывал в поражаемых системах порты в диапазоне 3127-3198. Этим немедленно воспользовались хакеры. По данным ряда компаний, специализирующихся в сфере ИТ-безопасности, в первые дни после начала эпидемии MyDoom/Novarg заметно возросла активность по сканированию упомянутых портов.

Кроме того, MyDoom/Novarg был запрограммирован на организацию DDoS-атаки, в своей первой версии — на сайт www.sco.com. Следом появилась модификация, атакующая еще и сайт www.microsoft.com. The SCO Group объявила, что предлагает награду в сумме до 250 тыс. долл. «за любую информацию, которая поможет арестовать индивидуума или индивидуумов, ответственных за создание MyDoom». Еще столько же предложила и Microsoft.

«Опасность сращивания вирусных и спам-технологий, формирования объединенной, мотивированной сети киберпреступников становится реальностью, — отметил в своем комментарии Евгений Касперский, руководитель антивирусных исследований компании «Лаборатория Касперского». — Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями».