Вирус "lovsan"
|
|
Удивительная вещь - каждая последующая операционка становится все более неприступной для хакерских атак, а между тем, эти самые атаки носят все более мощный разрушительный характер и даже не думают слабеть. |
|
Первую атаку новый компьютерный червь нанес 11 августа по компьютерным сетям США. |
|
За несколько часов работы червь побил все рекорды скорости распространения. |
|
В штатах он долго не задержался и стал лавинообразно распространяться дальше. |
|
Интернет-форумы тут и там пестрели сообщениями о том, что машины начинают самопроизвольно перезапускаться. |
|
В среду утром появилась информация о том, что новый вирус успел уже поразить 400 компаний по всему миру и около 20 тыс. персоналок. |
|
Что же это за зверь такой страшный? |
|
За пару дней вирус успел приобрести несколько имен (W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], W32.Blaster.Worm [Symantec Security]) и стал определяться всеми антивирусными программами. |
|
Для проникновения на компьютер Lovsan использует обнаруженную 16 июля хакерской группой Last Stage of Delerium уязвимость в системах Windows NT 4.0, Windows 2000, Windows XP и Windows 2003. |
|
Бреш была обнаружена в службе DCOM RPC. |
|
Distributed Component Object Model (распределенная компонентная объектная модель) - это модель обмена данными, служащая для совместной работы различных приложений. |
|
А RPC (Remote Procedure Call) - это служба, обеспечивающая соединение между клиентом и сервером, используемая архитектурой DCOM. |
|
Незамедлительно после выхода в свет сообщения об уязвимости, всеми любимая корпорация подтвердила эту информацию и классифицировала дыру, как опасную. |
|
Через пять дней Microsoft уже выпустила в свет заплатки, закрывающие бреш. |
|
Все вроде хорошо, да вот только большинство пользователей не обратили внимания на это происшествие и никаких заплаток на свой компьютер не ставили. |
|
В первых числах августа появился первый червь, проникающий в систему через вышеописанную бреш - Autorooter. |
|
Вирус имел слабое место - система распространения практически не реализована. |
|
Поэтому шум вокруг него затих, и должного внимания инциденту не уделили, а зря… |
|
И вот, меньше чем через две недели появляется новый червь с прекрасно реализованной системой распространения. |
|
Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. |
|
Происходит это так. |
|
Червь проверяет 135-й порт машин, висящих в инете. |
|
Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. |
|
На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. |
|
Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. |
|
Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. |
|
Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. |
|
Файл записывается в системную папку Windows и запускается. |
|
В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe |
|
В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети). |
|
Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". |
|
Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происходит от слова "sun". |
|
Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. |
|
Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой. |
|
Перезагрузка компьютеров в планы злоумышленников, по-видимому, не входила. |
|
Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день намечена крупномасштабная DDoS атака всех копий червя на сайт |
|
windowsupdate.com, содержащий обновления Windows. |
|
Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его недоступным. |
|
Но секрет раскрыт раньше времени. |
|
Похоже, теракт не удался. |
|
Массированная атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели предыдущего вируса Autorooter. |
|
"Предупрежден - значит вооружен!" - так то оно так, да вот только предупреждены, как всегда, далеко не все. |
|
Позвонив свои знакомым, вы наверняка узнаете, что их компьютер постоянно перезагружается и в чем проблема - для них не ясно. |
|
Поэтому говорить о победе еще рано. |
|
Итак: если ваш компьютер постоянно перезагружается; если в папке windows\system32 появился файл msblast.exe; если в реестре появилась |
|
вышеописанная надпись - вы тоже на крючке у нового червя. |
|
Но избавится от него очень просто - либо всю эту гадость и удалить самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, удаляющую из системы самого червя и устраняющую все последствия его жизнедеятельности. |
|
Никаких настроек - запустил и готово. |
|
После удаления неплохо было бы поставить заплатку на Windows с сайта windowsupdate.com (пока он еще не умер :)) и с помощью межсетевого экрана заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями). |
|
И вам, как говориться, серый волк совсем не страшен. |
|
Мой компьютер исключением не стал. |
|
Все прелести нового червячка я успел попробовать на себе. |
|
Теперь нам остается ждать, правда, совсем не долго. |
|
Но даже если 16 августа ничего и не произойдет, то что-нибудь произойдет позже, с появлением нового червя. |
|
Я не пессимист, но… |
|
Черви были, есть и будут. |
|
А посему надо иметь голову на плечах и свежий антивирус на компе, хоть немного знать о сетевых атаках и защите и применять эти знания на практике. |
|
Вот тогда вам все будет нипочем. |
|
Мы за безопасный инет! А вы? |
