MyDoom сражается с пользователями Интернета

29.01.2004 12511   Комментарии (0)

MyDoom сражается с пользователями Интернета

(статья написана для издания Hostinfo.ru)

Утром 27 января многим пользователям стало понятно, что в Интернете началась новая вирусная эпидемия. Все приметы были налицо - в почтовые ящики сыпалась всякая дрянь, перемежаемая ложными сообщениями от антивирусов, некоторые ящики вообще не отвечали или отвечали с большими задержками, до некоторых серверов вообще не удавалось достучаться. К сожалению, это уже стало печальной традицией - в реальном мире свирепствуют различные штаммы гриппа, в виртуальном мире свирепствуют различные штаммы продуктов жизнебездеятельности вирусописак.>

Мы сейчас не будем пылко рассуждать о том, что вообще движет вирусописаками, которые просто так, играючись, наносят ущерба на миллиарды долларов и создают проблемы миллионам людей во всем мире. Мы также не будем говорить о том, что нужно сделать с этими вирусописаками, если их удастся вычислить и поймать.

Наша задача на данный момент - выяснить, что это за вирус и как он действует, кто от него может пострадать больше всего, а главное - что нужно сделать, для того чтобы затормозить распространение этой заразы, ибо проблем она доставляет массу.

Итак, что это за вирус? Назвали данную модификацию MyDoom или Novarg. Для своего взрывообразного распространения по всему миру вирус использовал технологию, которая применялась в знаменитом почтовом черве Sobig.F - сначала вирус аккуратно внедрялся на компьютеры пользователей, подготавливая, так сказать, плацдарм для распространения, а когда количество зараженных компьютеров достигло определенной величины, по ним была разослана команда "Novarg" (давшая название вирусу), и началось мгновенное распространение этого вируса по всему миру.

Обратите внимание на тот факт, что вы могли и не подозревать о том, что вирус уже сидит на вашем компьютере и готовится к атаке на Сеть, потому что до определенного момента он никак не давал о себе знать.

Что делает вирус, попав на ваш компьютер и активизировавшись?

Сначала он открывает "Блокнот" (Notepad), в котором показывается произвольный набор символов (если вы на своем компьютере видели что-то подобное, значит, ваш компьютер уже заражен). Затем создает некоторые выполняемые файлы и обеспечивает передачу управления себе при перезагрузке компьютера.

Ну, а далее - схема довольно типичная: он сканирует файлы на вашем компьютере (расширения dbx, tbb, adb, pl, wab, txt, htm, sht, php, asp), выцепляет оттуда e-mail адреса и рассылает по ним и от их имени письма, к которым приложен замаскированный вирус. Достаточно на компьютере получателя открыть приложенный к письму файл - и машина получателя также будет заражена!

Кроме того, вирус для распространения использует знаменитую файлообменную сеть KaZaA, копируя себя в публичный каталог для обмена файлами, маскируясь при этом под какую-нибудь из популярных программ.

Как выглядят рассылаемые письма?

По-разному. Идентифицировано примерно десять вариантов темы письма: test, hi, hello, Status и так далее.

В теле письма содержится или случайный набор символов, или одна из следующих строчек:
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

К письму прикреплен файл с одним из следующих расширений: pif, scr, exe, cmd, bat, zip. Если попытаться открыть приложенный файл - компьютер заражается, и вирус получает управление.

Кому приходят эти письма?

Учитывая механизм распространения, письма приходят тем пользователям, чьи адреса в тех или иных видах содержатся на зараженных компьютерах (не только в адресной книге Outlook'а, кстати). Если ваш адрес (адреса) есть на многих компьютерах - значит, вас может ожидать довольно бурный поток всей этой дряни. Если ваш адрес мало у кого есть, а кроме того, компьютеры этих пользователей не заражены - радуйтесь, вам может вообще ничего не прийти.

Мне, например, в течение всего дня 27 января каждую минуту (!) приходило по 20-50 писем. Причем 50 писем тянули на полтора мегабайта, так что все это было достаточно весело.

Кроме того, вирус подделывает исходящие адреса поля "От кого", подставляя туда все те же e-mail'ы, полученные с локального компьютера, поэтому несчастные получатели большого количества писем с вирусами также получают не меньшее количество ложных писем от всяких антивирусов, которые гордо сообщают, что, цитирую, "ваш компьютер, возможно, заражен вирусом".

Как бороться с письмами?

Если их приходит мало, тогда у вас одна задача - немедленно их удалять и ни в коем случае не пытаться открыть приложенные файлы. А вот если писем приходит много, тогда перед вами встает вопрос, каким образом их фильтровать, чтобы можно было прочитать остальную корреспонденцию... К сожалению, фильтровать по теме письма эту дрянь нельзя - слишком общие слова, а уж "hi" и "hello" могут содержаться в каких угодно письмах. Можно, конечно, фильтровать по одной из трех строчек, содержащихся в теле письма, однако для этого письма все равно придется скачивать с сервера, а кроме того, часть писем приходит со случайным набором символов и подобной фильтрации не поддается.

Таким образом, единственный, хотя и далеко не идеальный вариант фильтрации в том случае, когда эти письма идут мегатоннами - убивать все письма, размер которых больше 30 килобайт (письма с вирусами имеют размер где-то от 32 до 35 килобайт). Конечно, при этом можно грохнуть и какую-то нужную почту, однако лично у меня другого выхода вообще не было, потому что 50 писем в минуту, общим объемом в полтора мегабайта - это уж слишком...

Что еще делать?

Прежде всего, абсолютно всем нужно немедленно скачать обновления к своему антивирусу и тут же прошерстить компьютер от первого до последнего файла. Потому что - еще раз подчеркиваю - даже если нет никаких внешних проявлений, ваш компьютер может быть заражен и спокойно рассылает от вас вирусы, используя собственный встроенный протокол SMTP.

Если вас не волнуют окружающие - подумайте о себе: вирус, получивший управление на компьютере пользователя, открывает один из портов, через который можно получить почти полный доступ к этому компьютеру и использовать его для хищения конфиденциальной информации, запуска каких-то программ и так далее. А вам оно нужно? Поэтому провериться - обязательно. Не откладывая.

Что происходит сейчас?

В настоящий момент (на вечер 27 января) масштабы распространения этого бедствия создают огромную нагрузку на интернетовские каналы. В результате этого у многих крупных провайдеров и хостеров наблюдаются задержки в хождении почты и в быстроте доступа к определенным ресурсам и сервисам. Вирусы распространяются в невиданных количествах, иногда практически парализуя некоторые направления. Поэтому бессмысленно сейчас теребить провайдеров и требовать от них мгновенно решить возникшие проблемы - они этого сделать не в состоянии чисто физически, потому что именно пользователи, чьи компьютеры заражены вирусом, забивают каналы. Хотя, конечно, провайдеры как могут стараются ограничить распространение троянов.

Что будет дальше?

Как обычно, в течение ближайших двух-трех дней вирус будет бушевать по полной программе, а потом, когда народ все-таки сподобится проверить компьютеры и вычистить заразу, начнет стихать. Обычно пик активности подобных вирусов приходится на первый день, на следующий день атаки потихоньку начинают спадать, дня через три активность падает на порядок, а где-то через неделю идут единичные всплески от наиболее тормозных пользователей, на компьютере которых вирус по-прежнему делает свое черное дело.

Какие сделать выводы?

Ничего сверхъестественного. Все то же самое: никогда не открывать выполняемые приложения, подозрительные письма тут же убивать на месте, не забывать скачивать обновления антивируса, компьютер шерстить антивирусом в хвост и гриву как можно чаще. Ну и плюс - обязательно устанавливать на компьютер файрвол!

Но самое главное - действительно делать это, а не считать, что раз предупрежден - значит, вооружен. Тут предупреждения не помогут, тут надо действовать. Запомните, практически все известные вирусные эпидемии возникали почти исключительно из-за беспечности пользователей. Так что все в ваших руках.

© 1998–2024 Alex Exler
29.01.2004

Комментарии 0