SoBig.f — далеко не последняя версия червя
Следующая версия червя SoBig вызовет невиданные доселе поток спама. Хотя, казалось бы, интернет-каналы и так трещат по всем швам от "мусорной" почты. Тем не менее, всё большее число специалистов полагают, что SoBig — это спаммерский червь, и тому находятся фактические подтверждения: по сведениям компании Message Labs, примерно половина всех компьютеров, с которых регулярно осуществляется рассылка спама, заражены этим вирусом.
Каждая версия червя пытается создать на заражённом компьютере невидимый для его пользователя открытый прокси-сервер, не защищённый никакими паролями. Эти открытые прокси могут быть использованы спаммерами для перенаправления потоков мусорной почты — с тем, чтобы скрыть истинный источник рассылки и предотвратить его блокирование.
По словам Стива Линфорда (Steve Linford), создателя антиспаммерской системы Spamhaus, предыдущая версия SoBig.e вызвала рост количества спама, а от SoBig.f можно ожидать ещё худшего вала мусорной почты. Заметим, что невольным союзником SoBig.f стали антивирусные программы, рассылающие в ответ на получение письма с вирусом, бессмысленное извещение мнимому отправителю (мнимому, поскольку SoBig фальсифицирует исходный адрес). Таким образом, к потоку вирусосодержащих писем приплюсовывается поток "воплей" антивирусных средств, — и все эти никому не нужные данные значительно уменьшают пропускную способность интернет-каналов.
Как выяснили специалисты Message Labs, очень часто компьютеры, с которых во все концы расходятся вирусные сообщения, через некоторое время становятся источником бешеного количества спама. На самом деле, такой компьютер обычно — не источник, а всего лишь ретранслятор или ре-маршрутизатор спама.
Первый вариант Sobig.a нёс открытый прокси-сервер на себе (код сервера содержался в коде самого вируса). Все следующие версии пытались скачать серверное ПО уже после заражения с определённых IP-адресов. SoBig.e скачивал ещё и трояна, воровавшего личную информацию.
SoBig.f был запрограммирован на то, чтобы скачивать новый код с определённых адресов, но антивирусным специалистам удалось вовремя их заблокировать (большую часть, как утверждают борцы с вирусами),
Больше того, как известно, SoBig.f "умрёт" 10 сентября — очевидно, следующая версия не заставит себя долго ждать. Как полагает Линфорд, спаммерам необходимо будет открывать всё новые и новые прокси-серверы, для чего будут создаваться новые версии SoBig.
Справедливости ради следует сказать, что некоторые сетевые специалисты сомневаются в том, что черви SoBig делаются с прицелом на создание спаммерской мегасети. "Если бы SoBig.f успешно сработал [то есть, произвёл скачивание неизвестного кода], спаммеров начали бы бить с куда большим усердием, чем сейчас", — считает Метью Хэм (Mathew Ham), один из авторов Virus Bulletin.
membrana.ru
