|
|
|
|
Новости о вирусах и антивирусах |
"Теперь не нужны и файлы" - новый принцип распространения представляет вирус-червь Code Red Worm
На этой неделе представители некоторых американских служб информационной безопасности и корпорации Microsoft выступили с обращением к компьютерной общественности, предупреждая о новой волне эпидемии вируса-червя Code Red Worm. Напомним, впервые вирус появился 19 июля 2001 г. и за 9 часов успел поразить 250 тысяч компьютеров в Северной Америке и Европе. В начале августа специалисты ожидают новый всплеск активности этого червя. При этом не исключается возможность появления новых, более деструктивных модификаций Code Red Worm.
Чем же интересен вирус Code Red? Главная его особенность, резко выделяющая его среди остальных вирусов, заключается в его полной "бестелесности". Вирус не существует в виде файла ни на зараженном компьютере, ни в процессе своего распространения. Code Red Worm - первый в мире вирус, избавившийся от привязки своего кода к файлу.
Вирус на зараженном компьютере существует только в памяти компьютера в виде работающего процесса. Из-за этой особенности обнаружение и лечение вируса обычными методами затруднено. Современные антивирусные программы не способны бороться с Code Red, поскольку они контролируют на наличие вирусов файлы и операции работы с файлами, а этот "червь" существует только в виде сетевых пакетов и программного кода в памяти компьютера.
Единственный антивирус, который может обнаружить его в памяти, это Doctor Web. Да и он блокировать повторные появления Code Red на компьютере не может, а скорее лишь удовлетворяет любопытство системного администратора, да лишний раз напоминает ему о необходимости залатать брешь в системе.
Doctor Web опознает (и обезвреживает) этот вирус под именем Win32.CodeRed.3569, начиная с 22 июля (DrWeb версии 4.25 с третьим дополнением к вирусной базе). При этом обнаруживаются и модификации вируса.
До появления Code Red Worm сетевые вирусы распространялись в виде файлов, используя электронную почту или новостные службы (News group) сети Интернет как средства доставки файла с вирусным кодом потенциальным жертвам. Далее вирусу нужно было спровоцировать пользователя открыть полученный файл. Для этого в основном используются уже психологические, а не программистские приемы. Hybris, Matrix, Love Letter, SirCam - лидеры вирусных хит-парадов - применяют для этого разные подходы. Но общая идея у них одна.
Вирусу Code Red все эти методы не нужны. Для своего распространения он использует дыру в защите пакета Microsoft Internet Information Service, что позволяет вирусу активизироваться, прийдя на атакуемый сервер в виде обычного сетевого TCP-пакета. Заголовок пакета подправлен таким образом, что содержимое пакета получает возможность загрузиться в оперативную память сервера и получить управление. Между прочим, со времен легендарного червя Морриса ни один из вирусов-червей не заражал сервера. Code Red Worm - первый вирус-червь за прошедшие 13 лет, который успешно атакует сервера сети Интернет.
Вирус поражает только компьютеры под управлением операционной системы Windows NT/2000, на которых установлен Microsoft Internet Information Service 4.0 или 5.0. Брешь в защите этого пакета была обнаружена еще в июне с.г., и компания Microsoft оперативно выпустила заплатку (она доступна по этому адресу:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms01-033.asp).
Тем не менее, за месяц, прошедший с момента выпуска заплатки и появления Code Red Worm, эта заплатка была установлена далеко не на всех серверах. Что и вызвало такую масштабную эпидемию.
В принципе, уже были вирусы, которые умели запускать себя без участия пользователя (например, почтовый вирус BubbleBoy, используя дыру в защите MS Outlook, запускался автоматически при получении письма, для этого нужно было только получить почту). Существование таких вирусов всегда обуславливается наличием каких-либо ошибок, недочетов и дыр в программном обеспечении. Современные программы настолько сложны, что всегда можно гарантировать наличие таких "лазеек". И чем популярнее тот или иной пакет, тем больше вероятность, что "лазейка" будет обнаружена и ей воспользуются вирусописатели.
Как же проявляется вирус Code Red? После успешного заражения сервера, вирус запускает на нем 100 процессов. 99 из них занимаются дальнейшим распространением в сети. Для этого каждый такой процесс случайным образом генерирует цифровой IP-адрес, по которому пытается провести атаку. Если по сгенерированному адресу обнаруживается компьютер Windows NT/2000 с установленным MIIS (без заплатки) - атака успешно проходит. И уже этот новый зараженный сервер начинает попытки дальнейшего распространения. В результате процесс распространения вируса развивается лавинообразно. Пакеты с запросами, которые передает вирус, значительно нагружают сеть и приводят к понижению ее пропускной способности и к перегрузке серверов.
По некоторым оценкам, такой способ распространения может привести к заражению полумиллиона (!) серверов в день.
Процесс с номером 100 сначала проверяет, является ли система, в которой он работает, английской версией English (US) Windows NT/2000. Если это так, то вирус подменяет головную страницу локального web-сервера страницей со следующим текстом:
Через
10 часов вирус возвращает web-страницу в ее исходное состояние.
Если же система не является английской версией Windows NT/2000, тогда процесс 100 работает как и остальные 99 процессов.
Кроме этого, во временной интервал с 20.00 до 23.59 вирус Code Red проводит атаку на сервер Белого Дома www.whitehouse.gov с целью перегрузить сервер обработкой своих пакетов и сделать сервер недоступным другим пользователям (так называемая DDoS-атака). Для этого вирус посылает пакеты длиной 100 Кб в адрес 80-го порта этого сервера, используя его прямой цифровой IP-адрес. После первой волны атак адрес сервера Белого Дома был изменен и тем самым выведен из-под прямой атаки.
Вирус активен только с 1 по 27 числа месяца включительно. После этого вирус прекращает свою активность и "засыпает".
В России вирус Code Red, по данным службы технической поддержки ДиалогНауки, широкого распространения не получил.
Вирус абсолютно не опасен пользователям Windows 95/98/Me и тем, кто работает в Windows NT/2000, но не использует Microsoft Internet Information Service. Системным администраторам мы рекомендуем установить заплатку (см. выше).
|
Получить информацию о других интересных вирусах |