Источник: http://www.3dnews.ru/
Автор: Виталий
Крылов
Удивительная вещь - каждая последующая операционка становится все более неприступной
для хакерских атак, а между тем, эти самые атаки носят все более мощный
разрушительный характер и даже не думают слабеть.
Первую атаку новый компьютерный червь нанес 11
августа по компьютерным сетям США. За несколько часов работы червь побил все рекорды скорости
распространения. В штатах он долго не задержался и стал лавинообразно
распространяться дальше. Интернет-форумы тут и там
пестрели сообщениями о том, что машины начинают самопроизвольно
перезапускаться. В среду утром появилась информация о том, что новый вирус
успел уже поразить 400 компаний по всему миру и около 20 тыс. персоналок. Что
же это за зверь такой страшный?
За пару дней вирус успел приобрести несколько
имен (W32/Lovsan.worm [McAfee],
Win32.Poza [CA], Lovsan [F-Secure],
WORM_MSBLAST.A [Trend], W32/Blaster-A
[Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec
Security]) и стал определяться всеми антивирусными
программами. Для проникновения на компьютер Lovsan
использует обнаруженную 16 июля хакерской группой Last
Stage of Delerium уязвимость в системах Windows
NT 4.0, Windows 2000, Windows
XP и Windows 2003. Бреш
была обнаружена в службе DCOM RPC. Distributed Component Object Model (распределенная компонентная объектная модель) - это
модель обмена данными, служащая для совместной работы различных приложений. А
RPC (Remote Procedure Call) - это служба, обеспечивающая соединение между
клиентом и сервером, используемая архитектурой DCOM.
Незамедлительно после выхода в свет сообщения об
уязвимости, всеми любимая корпорация подтвердила эту информацию и
классифицировала дыру, как опасную. Через пять дней Microsoft
уже выпустила в свет заплатки, закрывающие бреш. Все
вроде хорошо, да вот только большинство пользователей не обратили внимания на
это происшествие и никаких заплаток на свой компьютер не ставили.
В первых числах августа появился первый червь,
проникающий в систему через вышеописанную бреш - Autorooter. Вирус имел
слабое место - система распространения практически не реализована. Поэтому шум
вокруг него затих, и должного внимания инциденту не уделили, а зря…
И вот, меньше чем через две недели появляется
новый червь с прекрасно реализованной системой распространения. Для того чтобы
заразиться новой болезнью, вам просто надо быть в интернете
- вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин,
висящих в инете. Если преград для внедрения в систему
жертвы нет (Windows подходящий, заплатки не стоят),
то червь начинает атаку. На порт 135 червь посылает запрос для предоставления
полного доступа к атакуемому. Если все
"хорошо", то на компьютере-жертве открывается порт 4444 для ожидания
последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально
зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос,
червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175
байт. Файл записывается в системную папку Windows и
запускается.
В системном реестре появляется следующая строка
для запуска червя после перезагрузки системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "windows
auto update" =
msblast.exe В коде червя была обнаружен следующий
текст: "Billy Gates why do you
make this possible? Stop making money and
fix your software!" (Билли Гейтс, почему ты
допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just
want to say
LOVE YOU SAN!! Bill (Просто хочу сказать - любите
свои системные сети).
Именно благодаря фразе "LOVE YOU SAN"
червь получил одно из своих названий "lovsan".
Некоторые отечественные СМИ букву "a"
заменили на "u", видимо подумав, что
название происхо-дит от
слова "sun".
Для простого юзера
главная опасность нового червя заключается в том, что он генерирует огромный
объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и
постоянные перезагрузки компьютера с появляющейся ошибкой вида:
Перезагрузка компьютеров в планы злоумышленников,
повидимому, не входила. Вирус не должен был никак
себя проявлять до часа Х, а именно до 16 августа. На этот день намечена
крупномасштабная DDoS атака всех копий червя на сайт
windowsupdate.com, содержащий обновления Windows.
Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его
недоступным. Но секрет раскрыт раньше времени. Похоже, теракт не удался. Массированная
атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели
предыдущего вируса Autorooter.
"Предупрежден - значит
вооружен!" - так то оно так, да вот только предупреждены, как всегда,
далеко не все. Позвонив свои знакомым, вы наверняка узнаете, что их компьютер
постоянно перезагружается и в чем проблема - для них не ясно. Поэтому говорить
о победе еще рано.
Итак: если ваш компьютер постоянно
перезагружается; если в папке windows\system32 появился файл msblast.exe; если
в реестре появилась вышеописанная надпись - вы тоже на крючке у нового червя.
Но избавится от него очень просто - либо всю эту гадость и удалить
самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm
Removal Tool, удаляющую
из системы самого червя и устраняющую все последствия его жизнедеятельности.
Никаких настроек - запустил и готово.
После удаления неплохо было бы
поставить заплатку на Windows с сайта
windowsupdate.com (пока он еще не умер :)) и с помощью межсетевого экрана
заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими
приложениями). И вам, как
говориться, серый волк совсем не страшен.
Мой компьютер исключением не стал. Все прелести
нового червячка я успел попробовать на себе.Теперь нам остается ждать, правда, совсем не долго.
Но даже если 16 августа ничего и не произойдет, то что-нибудь произойдет позже,
с появлением нового червя. Я не пессимист, но…
Черви были, есть и будут. А посему надо иметь
голову на плечах и свежий антивирус на компе, хоть
немного знать о сетевых атаках и защите и применять эти знания на практике. Вот
тогда вам все будет нипочем. Мы за безопасный инет! А вы?