[19.08.03]
Итак, конец света не состоялся. Мир подсчитывает ущерб, нанесенный эпидемией червя LoveSan. Пик эпидемии пришелся на вторник, когда на протяжении 5 часов были инфицированы более 328 тысяч компьютеров. Оценки общего количества компьютеров, которые оказались поражены червем, весьма разноречивы, однако максимальная цифра, которая за прошедшую неделю фигурировала в информационных сообщениях - 1,4 млн. компьютеров. Следует, однако, учесть, что речь идет о компьютерах - источниках заражения, при этом серьезные проблемы были и у тех, к кому червь не сумел попасть, но кто при этом был лишен возможности нормально работать в силу бесконечных атак извне (как известно, червь вызывал спонтанную перезагрузку непропатченных систем еще до того, как непосредственно заражал компьютер).
Однако не менее важной темой прошедшей недели стало напряженное ожидание прописанной в коде червя атаки на сайт автоматического обновления компании Microsoft, запланированное на 16 августа. Однако 16 августа наступило, а никакой катастрофы не произошло. Словно по законам жанра, наступила счастливая развязка - софтверный гигант в последний момент нашел выход из положения и запретил перенаправление запросов с несуществующего на самом деле www.windowsupdate.com на реальные серверы обновновлений. Таким образом, все пакеты, выпущенные червем 16 августа с зараженных компьютеров, ушли в никуда, не причинив никому вреда. На память невольно пришла пресловутая "проблема 2000 года".
Незамедлительно последовали восторженные статьи - опасность миновала, авторы червя совершили грубые просчеты, что позволило компании Microsoft избежать катастофических последствий DoS-атаки. Складывалось впечатление, что червь изчез - так же внезапно, как и появился.
Общеизвестная формула - "Кто владеет информацией, тот владеет миром"- в реалиях наших дней трансформируется в постулат "Кто обеспечивает безопасность информации, которой пользуются миллионы, - тот владеет миром". На нынешнем витке развития цивилизации, когда планета изобилует атомными станциями и другими, чрезвычайно важными для жизнеобеспечения человека объектами, управление и контроль за которыми осуществляется компьютерными системами, цена ошибок в повсеместно распространенном программном обеспечении становится непомерно высокой.
Хотелось бы напомнить, что 16 августа не состоялось победы человечества на червем LoveSan. Всего-навсего провалилась атака на сайт компании Microsoft. Сам червь никуда не делся, он по-прежнему атакует компьютеры, хотя его присутствие, безусловно, сократилось. Кроме того, существует вероятность появления последующих, более опасных червей, использующих ту же самую уязвимость в операционных системах, и поэтому актуальность установки рекомендованного Microsoft патча не уменьшается.
dialognauka.ru
Червь использует две уязвимости Windows
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении новой разновидности червя LoveSan.based, несущего в себе весьма любопытные функции. Новый интернет-червь, известный также под именами W32/Nachi.worm и W32.Welchia.Worm, способен распространяться, используя все ту же уязвимость DCOM RPC операционных систем MS Windows NT/XP/2000 и Microsoft Windows 2003 Server, что и его грозный предшественник. Однако на этот раз червь не ограничивается скачиванием самого себя на уязвимый компьютер. В меню этой вредоносной программы появился "общественно полезный труд". Вы не успели установить патч? Мы сделаем это за Вас! Заразив уязвимый (непропатченный компьютер), червь стремится, как и раньше, скачать свои программные модули с компьютера, который он уже успел заразить. Однако затем начинается самое интересное. Червь предпринимает попытку скачать с сайта компании Microsoft патч, устраняющий вышеупомянутую уязвимость, и если ему это удается, он перезапускает компьютер,
чтобы завершить процесс устано вки патча. При этом червь ищет запущенный процесс msblast.exe и останавливает его, а сам файл с таким именем удаляет с диска. После этого он начинает жить обычной жизнью - сканирует сеть в поисках уязвимых компьютеров и направляет либо запрос по порту 135, используя уязвимость DCOM RPC, либо по порту 80, используя другую уязвимость - WebDav, и пытается заслать себя на эти компьютеры. Логично предположить, что со временем сеть, куда проник новый вариант червя LoveSan.based, будет состоять только из пропатченных компьютеров, но при этом будет являться источником заражения других компьютеров во всемирной сети. Основным признаком заражения компьютера новым вариантом червя LoveSan.based является наличие в системной директории Windows файла dllhost.exe размером 10240 байт. Внимание! В Windows 2000/XP имеется системный файл с этим же именем, но другого размера.