Судный день для интернета [ Редагувати ]
Мировой Интернет постигла новая напасть. Интернет-червь Mydoom бьет все рекорды по скорости распространения. Некоторые эксперты уже называют эпидемию самой массовой в истории Интернета. Техническими новшествами вирус похвастаться не может, зато его автору удалось найти новый метод "социального инжиниринга". Даже опытные пользователи заражают свои компьютеры собственными руками.
На прошлой неделе мировой Интернет столкнулся с очередной угрозой. В понедельник на прогулку по Сети вышел новый компьютерный вирус - интернет-червь Mydoom (варианты перевода - "Моя погибель", "Мой рок", "Приговор", "Страшный суд"), он же Novarg , он же Shimgapi.
Погулять зараза решила с размахом. Как правило, основная волна заражений новым вирусом спадает после первых 24 часов с момента его появления - к этому времени многие пользователей уже успевают обновить свои антивирусные программы. Mydoom, по разным оценкам, за первые 36 часов успел сотворить более 100 млн зараженных писем без малейшего намека на спад активности. Предыдущий рекордсмен, червь Sobig.F, эпидемия которого прокатилась по Сети в августе прошлого года, за первую неделю своего существования поразил около миллиона компьютеров, разослав 300 млн инфицированных писем. Ожидается, что Mydoom побьет этот рекорд. По данным американской антивирусной компании MessageLabs, новый вирус уже живет в каждом 12-м электронном письме, пересылаемом по Интернету, в то время как Sobig.F на пике своей "популярности" содержался лишь в каждом 17-м послании.
"Вирусный взрыв был хорошо подготовлен, - рассказывает руководитель информационной службы "Лаборатории Касперского" Денис Зенкин. - В течение нескольких месяцев вирусописатели создавали по всему миру сеть зараженных зомби-компьютеров, которые ждали команды "хозяина". Когда их число достигло нескольких десятков тысяч, эти компьютеры получили централизованную команду разослать Mydoom. По этой причине эпидемия с самого начала приняла характер взрыва, мгновенно распространившись по всему миру".
Прошлый год, оказавшийся ударным с точки зрения вирусных эпидемий, многому научил интернет-провайдеров и частных пользователей. Большинство зараженных писем не доходит до конечных пользователей, оседая на фильтрах почтовых серверов. Однако косвенный ущерб, вызванным общим замедлением работы Сети из-за паразитного трафика, уже сегодня оценивается экспертами в $ 2-3 млрд. Компания SCO Group, обвиняющая Linux-сообщество свободных программистов в нарушении своих прав на операционную систему Unix , пострадает от эпидемии больше других. Ее сайт становится мишенью атаки (см. справку). SCO уже предложила награду в размере $250 000 за информацию, "ведущую к аресту и заключению лиц, ответственных за это преступление".
Интересно, что с точки зрения технической реализации Mydoom не несет в себе ничего нового и сверхъестественного, он даже не использует каких-либо "дыр" в операционной системе Windows. По словам экспертов, его автором может быть не очередной "злой гений", а вполне заурядный программист, воспользовавшийся опытом своих "коллег" по вирусописанию. Но в чем ему нельзя отказать, так это в тонком понимании человеческой психологии. Большинство интернет-пользователей уже привыкли не глядя удалять незнакомые письма, содержащие вложения и призывающие оценить прелести очередной порнодивы или красоты "хранителя экрана" ("скринсейвера"). На подобную завлекаловку большинство людей сегодня уже не клюет. Зато почти каждый человек хотя бы раз получал на свой электронный адрес автоматически сгенерированные почтовым сервером ответы, смысл которых сводится к тому, что ваше письмо не может быть доставлено до получателя по той или иной причине. Mydoom умело маскируется под такие отчеты, вызывая законный интерес пользователя. Как это ни странно, особо падкими на такие чисто технические письма оказываются наиболее продвинутые пользователи, а зачастую и администраторы сетей, компьютеры которых по понятным причинам являются для вируса самым лакомым кусочком.
Как и положено любому уважающему себя вирусу, Mydoom быстро мутировал. Спустя пару дней после начала эпидемии в Сети появилась новая модификация червя. Она содержит минимум технологических отличий, однако вдобавок к сайту SCO Group атаке будет подвержен и главный сайт корпорации Microsoft. Кроме того, по данным российской антивирусной компании "Лаборатория Касперского", червь модифицирует операционную систему таким образом, что пользователь зараженного компьютера не в состоянии соединиться с сайтами многих антивирусных компаний, новостными лентами и т. п. Прогнозы антивирусных экспертов как всегда мрачны: не исключено, что вторая волна вируса по масштабам многократно превзойдет свою предшественницу.
Справка
I-Worm.Mydoom за работой
Mydoom - интернет-червь, существующий в среде Windows и распространяющийся в виде файлов, прикрепленных к зараженным электронным письмам, а также через файлообменную сеть Kazaa . Вирус активизируется только в том случае, если пользователь сам откроет и запустит зараженный файл (например, "кликнув мышкой" на вложении). После активации червь запускает программу Windows Notepad ("Блокнот") с произвольным набором символов, одновременно копируя себя в системный каталог Windows и записываясь в системный реестр для автозапуска после перезагрузки Windows.
Вирус сканирует жесткий диск компьютера в поиске адресов электронной почты, по которым будет вестись дальнейшая рассылка зараженных писем. При этом сами послания в поле "отправитель" будут иметь произвольный адрес. Тема письма, его содержание и имя вложенного файла также выбираются произвольно из небольшого списка. Кроме того, вирус "оборудован" функцией backdoor и позволяет злоумышленникам получить дистанционный доступ к зараженной системе.
С 1 по 12 февраля 2004 года червь будет пытаться провести DoS-атаку (Denial of Service, отказ в обслуживании) на сайт www.sco.com.