Вирус "lovsan"

Источник: http://www.3dnews.ru/

Автор: Виталий Крылов

Удивительная вещь - каждая последующая операционка становится все более неприступной для хакерских атак, а между тем, эти самые атаки носят все более мощный разрушительный характер и даже не думают слабеть.

Первую атаку новый компьютерный червь нанес 11 августа по компьютерным сетям США. За несколько часов работы червь побил все рекорды скорости распространения. В штатах он долго не задержался и стал лавинообразно распространяться дальше. Интернет-форумы тут и там пестрели сообщениями о том, что машины начинают самопроизвольно перезапускаться. В среду утром появилась информация о том, что новый вирус успел уже поразить 400 компаний по всему миру и около 20 тыс. персоналок. Что же это за зверь такой страшный?

За пару дней вирус успел приобрести несколько имен (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) и стал определяться всеми антивирусными программами. Для проникновения на компьютер Lovsan использует обнаруженную 16 июля хакерской группой Last Stage of Delerium уязвимость в системах Windows NT 4.0, Windows 2000, Windows XP и Windows 2003. Бреш была обнаружена в службе DCOM RPC. Distributed Component Object Model (распределенная компонентная объектная модель) - это модель обмена данными, служащая для совместной работы различных приложений. А RPC (Remote Procedure Call) - это служба, обеспечивающая соединение между клиентом и сервером, используемая архитектурой DCOM.

Незамедлительно после выхода в свет сообщения об уязвимости, всеми любимая корпорация подтвердила эту информацию и классифицировала дыру, как опасную. Через пять дней Microsoft уже выпустила в свет заплатки, закрывающие бреш. Все вроде хорошо, да вот только большинство пользователей не обратили внимания на это происшествие и никаких заплаток на свой компьютер не ставили.

В первых числах августа появился первый червь, проникающий в систему через вышеописанную бреш - Autorooter. Вирус имел слабое место - система распространения практически не реализована. Поэтому шум вокруг него затих, и должного внимания инциденту не уделили, а зря…

И вот, меньше чем через две недели появляется новый червь с прекрасно реализованной системой распространения. Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в инете. Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается.

В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "windows auto update" = msblast.exe В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети).

Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происхо-дит от слова "sun".

Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой вида:

Перезагрузка компьютеров в планы злоумышленников, повидимому, не входила. Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день намечена крупномасштабная DDoS атака всех копий червя на сайт windowsupdate.com, содержащий обновления Windows. Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его недоступным. Но секрет раскрыт раньше времени. Похоже, теракт не удался. Массированная атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели предыдущего вируса Autorooter.

"Предупрежден - значит вооружен!" - так то оно так, да вот только предупреждены, как всегда, далеко не все. Позвонив свои знакомым, вы наверняка узнаете, что их компьютер постоянно перезагружается и в чем проблема - для них не ясно. Поэтому говорить о победе еще рано.

Итак: если ваш компьютер постоянно перезагружается; если в папке windows\system32 появился файл msblast.exe; если в реестре появилась вышеописанная надпись - вы тоже на крючке у нового червя. Но избавится от него очень просто - либо всю эту гадость и удалить самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, удаляющую из системы самого червя и устраняющую все последствия его жизнедеятельности. Никаких настроек - запустил и готово.

После удаления неплохо было бы поставить заплатку на Windows с сайта windowsupdate.com (пока он еще не умер :)) и с помощью межсетевого экрана заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями). И вам, как говориться, серый волк совсем не страшен.

Мой компьютер исключением не стал. Все прелести нового червячка я успел попробовать на себееперь нам остается ждать, правда, совсем не долго. Но даже если 16 августа ничего и не произойдет, то что-нибудь произойдет позже, с появлением нового червя. Я не пессимист, но…

Черви были, есть и будут. А посему надо иметь голову на плечах и свежий антивирус на компе, хоть немного знать о сетевых атаках и защите и применять эти знания на практике. Вот тогда вам все будет нипочем. Мы за безопасный инет! А вы?

 

На главную

Раскрутим.Ру - Добавь свой сайт в каталоги и поисковые машины Много рефератов Много рефератов
Hosted by uCoz