Когда б не комары да мухи… - Журнал "Компьютерра"

Судя по размаху августовской вирусной активности, к концу лета в раж впадают не только кровососущие. Сначала на вершинах чартов угнездился червь Lovesan (Blaster, см. «КТ» #503), заставивший многих Интернет-пользователей пересмотреть разгильдяйское отношение к заделыванию дырок на собственном компьютере.

Причем у кого-то эта здоровая тенденция оказалась чрезмерной и перехлестнула через край — в результате 19 августа на просторах Сети объявился борец с эпидемией — червь Welchia, который ищет компьютеры, зараженные Lovesan, лечит их и заботливо устанавливает заплатку на брешь в Windows¹. И все бы ничего, но практически в тот же день в теплый вирусный междусобойчик неожиданно вклинился старый знакомец Sobig в новой шкуре версии «f», и тут началась очередная свистопляска.

Но обо всем по порядку. Как мы уже писали, Lovesan проникает на компьютеры, используя брешь в службе DCOM RPC. В отличие от многих других червей он не уничтожает и не похищает данные; его главной целью является сайт Windowsupdate.com. 16 августа Lovesan должен был провести распределенную DoS-атаку на этот сайт со всех зараженных компьютеров, но не вышло. События развивались в несколько ином ключе. На появление Lovesan отреагировало множество компаний, в первую очередь — разработчики антивирусного ПО, быстро включившие защиту от червя в обновления своих программ. Microsoft тоже серьезно отнеслась к угрозе атаки: в качестве превентивной меры компания изменила адреса Windowsupdate.com в службе доменных имен DNS. При этом сервис обновлений продолжил работу на windowsupdate.microsoft.com. В результате атака Lovesan провалилась, темпы эпидемии начали понемногу спадать, а тут еще подоспела Welchia со своей «гуманитарной помощью».

Welchia, как и Lovesan, использует брешь DCOM RPC, кроме того, она атакует еще и уязвимость WebDAV в системе IIS 5.0 (через порт 80). В ходе атаки червь пересылает на машину свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE и создает сервис WINS Client. После этого Welchia начинает процедуру нейтрализации Lovesan: проверяет наличие в памяти процесса с именем MSBLAST.EXE, принудительно прекращает его работу и удаляет одноименный файл с диска. Далее червь сканирует системный реестр Windows на предмет установленных обновлений. Если обновление, закрывающее уязвимость в DCOM RPC, не обнаружено, Welchia инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и после успешной инсталляции перегружает компьютер. И наконец, червь содержит механизм самоуничтожения. Программа проверяет системную дату компьютера и, если текущий год равен 2004, деинсталлируется.

Учитывая широкое распространение Welchia по всему миру, можно предположить, что к концу августа вирус полностью погасит эпидемию Lovesan. Так что у нового «царя горы» — червя Sobig.f, письма которого буквально заполонили почтовые ящики миллионов пользователей, серьезных конкурентов пока нет. По мнению «Лаборатории Касперского», это крупнейшая эпидемия почтового червя за последние полтора года, сравнимая разве что с печально памятным разгулом Klez. Уже 20 августа число пораженных систем оценивалось в несколько сотен тысяч. При этом антивирусные эксперты не устают удивляться поведению масс: Sobig.f не атакует бреши в системах безопасности, для заражения пользователь должен сам запустить приложенный к письму pif- или scr-файл. И ведь запускают…

1 (назад)Самый известный пример подобного вируса-антидота был зарегистрирован в сентябре 2001 года: тогда сетевой червь CodeBlue искал и лечил компьютеры, зараженные другим червем, CodeRed.