Атака на Microsoft - компьютерный червь Lovesun
Две недели назад «всемирную паутину» поразил новый вирус. На охоту по Сети отправился червь W32.Blaster, более изестный под названием LovSan. Пикантная подробность – его добычей стали наиболее распространенные на данный момент операционные системы концерна Microsoft – Windows NT, 2000 и XP. Лазейка под названием «порт 135», возникшая из-за ошибки в коде, позволила вирусу оставаться незамеченным всеми антивирусными программами. Говорит специалист-антивирусник немецкой фирмы Trend Micro Михаель Тантс:
«Основная проблема заключается в том, что антивирусные сканнеры не располагают защитными функциями на этапе, когда атака уже началась. Нападение стартует с «порта 135» после проникновения в систему стартовых файлов червя. Короче говоря, антивирусные программы способны засечь паразита, когда тот уже поселился в компьютере.»
Вред, причиняемый вирусом зараженному компьютеру, относительно невелик. Собственно и задуман червь был, судя по всему, как неприятный сюрприз для Microsoft'a, а не для ни в чем не повинного пользователя. Дело в том, что целью анонимных хакеров была подготовка плацдарма для грандиозной атаки на сайт концерна, которая должна была начаться 16-го августа в 0 часов 00 минут. О том, чем всё это кончилось – немного позднее. Ну а то, что жертвами вируса стали обыкновенные пользователи и не имеющие никакого отношения к Microsoft'у фирмы, объясняется тем, что и сам паразит страдает недугом – в его код тоже закралась ошибка. В тот момент, когда LovSan наталкивается на уже зараженную им же самим систему, он не распознает этого и пытается установить себя на компьютере или сервере вновь и вновь. В результате он вызывает загадочные для пользователей многократные перезагрузки компьютеров.
«После процесса инфицирования W32.Blaster пытается в определенное время связаться по Интернету с сервисными серверами Windows для того, чтобы через так называемый Denial of Service вывести их из строя, завалив гигантским числом запросов.»
А ведь появление вредителей, подобных LovSan, можно было предсказать заранее. Ещё пару месяцев назад группа хакеров называющая себя Last stage of Delirium открыла, что «порт 135» не защищен. 16 июля Microsoft официально признал существование «дыры» в Windows и выпустил Patch - W32.Blaster.Worm Removal Tool – небольшую программку для устранения вируса, которую любой желающий мог скачать из Интернета. Затем появились и Exploits – помощники системных разработчиков. Эти специальные программы, демонстрирующие, как можно использовать уязвимое место в операционной системе, стали своебразным приглашением для тех, кто испытывает слабость к конструированию всякого рода электронных паразитов. Кто именно состряпал LovSan неизвестно. Есть предположения, что родина вируса – Япония. На зараженных компьютерах червь оставляет сообщение I just want to say LOVE YOU SAN, что можно перевести как «Я только хочу сказать Я ЛЮБЛЮ ТЕБЯ САН». «Сан», как известно, вежливая форма обращения в Японии. Возможно неслучайно, именно из «страны восходящего солнца» до недавнего времени поступали сообщения, что там распространяется новая разновидность вируса LovSan, известная как MS Blast D. Модифицированный червь также атакует операционные системы компании Microsoft, но использует для проникновения другие «дыры» в программах обеспечения безопасности. Помимо «признания в любви» в W32.Blaster эксперты обнаружили и еще одно зашифрованное послание. Неизвестный программист – автор вируса – обращается ни к кому иному, как Биллу Гейтсу: «Эй Билли, почему ты позволяешь мне делать это? Прекрати думать о деньгах и исправь свои программы». Несмотря на то, что обращение к главе Microsoft'a звучит несколько по-детски, Михаель Тантс уверен, что автором вируса стал кто угодно, но никак не вредный подросток, недавно освоивший азы программирования:
«Исходя из того, что слабое место в системе безопасности было найдено совсем недавно, я не думаю, что для создателей червя хакерство – это всего лишь хобби. Чтобы спровоцировать и грамотно использовать ошибку в программном коде Windows на таком уровне, да и к тому же отказаться при распространении вируса от электронной почты Email – для этого необходимо располагать солидным ноу-хау.»
Если уж речь зашла о ноу-хау, то его, судя по вему, явно не достает концерну Microsoft. «Дыра» в безопасности операционной системы Windows NT зияет уже долгие годы, но до последних пор специалисты концерна не могли её обнаружить. Но, несмотря на это, руководство Microsoft'a уверено, что почти всё было сделано правильно. Ведь был же создан Patch – антивирусная «вакцина»... Говорит представитель пресс-службы концерна в Германии Томас Баумгертнер:
«То, что нам действительно не слишком удается, так это наладить взаимопонимание с клиентами. Мы должны убедить всех, кто использует наши системы, в необходимости своевременной установки разработанных нами антивирусных утилитов. Установить тот или иной Patch совсем несложно. Достаточно зарегистрировать свой Windows XP в системе сервисной службы Windowsupdate – и тогда обновление происходит автоматически.»
Однако многие клиенты избегают автоматической актуализации. Скачивание утилитов – особенно при связи через модем – требует времени. Пребывание онлайн становится более длительным, соответствено растут и расходы за пользование Интернетом. Кроме того, недоверие объясняется ещё и тем, что никто ведь точно не знает, что именно Microsoft решит установить на компьютеры своих клиентов.
Так что же произошло 16 августа? Несметные полчища инфицированных компьютеров (по оценкам экспертов, их было более 200 тысяч) обрушили на серверы службы Windowsupdate шквал запросов. Однако цунами, порожденное распространившимся по всему миру паразитом, рассеялось в пустоте. Трюк, к которому вынуждены были прибегнуть сотрудники Misrosoft'a, довольно прост. Просто интернет-адрес www.windowsupdate.com стал на время как бы железнодорожной стрелкой, переводящей весь поток запросов на другую колею (то есть – на другие адреса концерна).
«Получив предупреждения от разработчиков антивирусных программ и собственных программистов, нам удалось своевременно подвергнуть вирус всестороннему анализу и установить адрес, который должен был быть подвергнуться нападению. Всё это позволило нам заблаговременно подготовиться к отражению атаки.»
- поведал нам Томас Баумгертнер. Однако не только серверы Misrosoft'a, но и Интернет неожиданно легко справился с потоком информации во время нападения. Несмотря на то, что на электронных магистралях наблюдалось некоторое усиление трэфика данных, до возникновения пробок дело так и не дошло.
И всё же, как же возникают подобные ошибки в программах, казалось бы, «всемогущего» Microsoft'a? Неужели специалистам концерна выделяется не достаточно времени на проверку программ?
«Мы проверяем системные коды крайне тщательно и нам удается выявлять большую часть ошибок, но, к сожалению, не все...»
- признался Томас Баумгертнер. И действительно новые нашествия электронных паразитов не заставили себя ждать. Недавно был обнаружен новый червь Welchia. Хотя он преследует самые благие цели, способ, который он использует для их достижения, всё портит. По замыслу авторов, Welchia должен разыскивать компьютеры, зараженные червем Blaster (LovSan), излечивать их и устанавливать «заплатку» для Windows.
Распространение Welchia привело к помехам в работе авиакомпании Air Canada. Вирус попросту парализовал работу компьютерной сети телефонной службы компании в Торонто и сеть регистрационных пунктов по всей Канаде. "Червь замедляет работу сети, что приводит к заметному ухудшению связи серверов и организаций", - прокомментировал произошедшее исполнительный директор компании Symantec Винсент Вифер. Специалисты известной российской антивирусной компании
"Лаборатория Касперского" тоже призывают не обманываться по поводу добрых намерений Welchia. "Полезных вирусов не бывает. Эти два понятия несовместимы... Настоящее значение этой вредоносной программы скрывается под водой и может остаться незамеченным", - сказано в пресс-релизе, распространённом компанией. В конце прошлой недели почтовые ящики многих пользователей наводнило огромное количество спама. На сей раз в этом повинна распространяющаяся с невиданной доселе быстротой эпидемия вируса Sobig. Один из крупнейших интернет-провайдеров в мире - AOL - сообщил, что уже перехватил более 23 миллиона зараженных сообщений. Впервые этот вирус появился в январе 2003 года. Сейчас в сети свирепствует уже шестая его версия под названием Sobig F. Сообщения, полученные по электронной почте не вызывают подозрения у многих пользователей, которые сами их открывают и запускают приложенный к ним файл. Таким образом, распространение вируса объясняется скорее доверчивостью потребителей, чем техническими ухищрениями.
За последние годы становится всё более отчетливой странная тенденция: компьютерные вирусы активизируются в летний сезон – период отпусков и каникул. Так в августе 2001-го года системным администраторам доставил немало хлопот печально известный вирус Code Red. Летом появился знаменитый Loveletter, летом была совершена атака на серверы одной из крупнейших служб электронной почты в мире Hotmail. С тем, что наиболее благоприятные условия для размножения вирусов возникают во время отпусков, компьютерные эксперты не согласны:
«Можно лишь строить догадки, почему авторы вирусов и червей становятся столь продуктивными именно в это время года. Кроме того, мотивы, побуждающие к этому программистов могут от случая к случаю быть совершенно разными.»
- резюмирует Олаф Линднер, эксперт концерна Symantec, специализирующегося на выпуске антивирусных программ. Одной из возможных причин этого феномена могут быть так называемые Skriptkiddies, подростки, владеющие началами программирования и использующие каникулы для создания новых электронных вредителей. По мнению многих специалистов, в излишнем ажиотаже вокруг компьютерных вирусов, который возникает как правило в летний период, скорее всего, виноваты и СМИ. Летом, в период отпусков и острой нехватки новостей, журналисты зачастую излишне драматизируют ситуацию, привлекая к этой сфере компьютерного мира повышенный интерес. Озабоченность у экспертов вызывает и тот факт, что из года в год количество вирусных атак возрастает. Согласно данным Интерпола, в этом году уже зарегистрировано около 82-х тысяч подобных случаев, в то время как за весь прошлый год их число составило «лишь» 21 тысячу. Ну и в заключении – как же спастись от этой вирусной напасти обычному пользователю? Единственное, что можно посоветовать, так это установку какой-либо антивирусной программы. Разумеется необходимо следить за её постоянным обновлением. И кроме того, никогда не открывайте приложения к электронным сообщениям автоматически.