01 Сентября 2003 18:09 | 01 Сен 2003 18:09 | |

Поделиться

Самый разрушительный вирус продолжает шествие

В компьютерном мире бытует поговорка, что между преступниками и преследователями стоят всего лишь несколько строк программного кода. Хорошей иллюстрацией этого высказывания стали события минувшей пятницы.

Пока новый компьютерный вирус SoBig бродил по почтовым ящикам пользователей и разрушал корпоративные сети, специалисты по информационной безопасности во всем мире пытались предупредить серьезную опасность со стороны так называемой «бомбы замедленного действия» - вложенный в письма SoBig файл при открытии подключал компьютер к одному из 20 серверов, на которых были установлены вредоносные программы.

Однако специалистам не было известно, как должны были развиваться события в дальнейшем. Поэтому необходимо было как можно оперативнее обнаружить эти 20 серверов и изолировать их от глобальной Сети, предотвращая дальнейшее распространение вредоносных программ. Первая атака была зафиксирована в 3 часа дня (по времени восточного побережья США).

В пятницу вечером экспертам по компьютерной безопасности при содействии интернет-провайдеров и юридических организаций удалось одержать относительную победу. Вредоносный код был взломан, 20 компьютеров обнаружены и, как минимум, 17 из них отключены от Сети. ФБР даже направило судебную повестку одному интернет-провайдеру в Фениксе, который, по мнению властей, мог оказаться источником вируса.

Эксперты опасались, что серверы, к которым подключались зараженные компьютеры, могли дать системам инструкции об уничтожении жесткого диска или начать новую атаку. Тем не менее, представители Symantec Security Response утверждают, что оставшиеся в сети 3 машины всего-навсего переадресуют подключаемые компьютеры на порносайты. Неизвестен, правда, сценарий развития событий при подключении к 17 остальным серверам.

«Те, кто занимались решением этой проблемы, действительно предотвратили очередную атаку или ее потенциальную угрозу», - комментирует Джимми Куо (Jimmy Kuo), осуществляющий аналитические исследования в компании Network Associates. SoBig – второй за этот месяц вирус, представляющий серьезную опасность персональным и корпоративным компьютерам. Немногим ранее по сети распространилась программа Blaster, а также ее аналоги Nachi или Welchia, которые заразили сотни тысяч компьютеров, хотя и не нанесли серьезного ущерба. Вирус SoBig появлялся во входящих сообщениях почтовых ящиков в письмах с наиболее частыми заголовками «Thank You!» или «Re: Details». Заражение компьютера начиналось только в случае открытия получателем вложенного приложения.

Хотя и называемый вирусом, SoBig является, скорее, червем, поскольку действует независимо, не присоединяясь к существующим в компьютере файлам. Впервые SoBig появился в январе прошлого года, однако с тех пор постоянно модифицировался. Сейчас специалисты столкнулись с его 6-й реинкарнацией, в которую была вложена электронная «бомба замедленного действия».

Почти всю прошлую неделю новая версия вируса распространялась по электронной почте, проникая даже в те сети, которые были защищены специальными экранами (firewall).

Непосредственно со вторника, когда была зафиксирована первая атака, группа специалистов по безопасности компании F-Secure (г. Хельсинки, Финляндия), распространяющей антивирусное ПО, вступили в борьбу. Над взломом кода работали 8 инженеров.

К 3 часам дня в четверг после нескольких дней практически круглосуточной работы инженеры из Хельсинки расшифровали код и обнаружили список из 20 интернет-протоколов или IP-адресов, ведущих к компьютерам, физически расположенным в США, Канаде и Южной Корее.

Затем были обнаружены вредоносные вложения. В 3 часа дня в пятницу десятки тысяч зараженных SoBig компьютеров должны были подключиться к 20 машинам-посредникам, которые перенаправили бы их по списку веб-адресов, откуда инфицированные системы скачали бы некую программу. Что произошло бы затем, никто не мог предсказать.

«Мы не знаем, что может произойти после запуска этой программы, поскольку прекратили расследование», - комментирует Тони Магалланес (Tony Magallanez), системный инженер F-Secure в San Jose.

С целью предотвращения угрозы инженеры F-Secure уведомили ФБР и тех интернет-провайдеров, к которым были подключены обнаруженные 20 компьютеров. Их адреса были удалены из Сети. Кроме того, по словам Куо, крупные телекоммуникационные компании также должны были заблокировать все попытки связаться с указанными IP-адресами.

К 3 часам дня в F-Secure подтвердили, что 18 из 20 компьютеров изолированы и отключены от Сети. На данный момент еще одна машина выведена в офлайн.

Специалисты утверждают, что SoBig, вероятно, можно назвать одним из крупнейших вирусов, с точки зрения количества разосланных писем, содержащих код. Это утверждают, в частности, представители Symantec Secure Response.

Хотя о серьезных сбоях в работе систем сообщило незначительное количество компаний, вирус SoBig произвел массивную атаку. К концу недели всего было разослано несколько десятков миллионов зараженных писем.

По материалам Mi2g.com, AP, Herald Tribune, The Ledger.

CNews.ru

Учебные курсы по теме:   Экономическая безопасность предприятия   Применение межсетевых экранов для защиты корпоративных сетей   Система анализа содержимого электронной почты MAILsweeper for SMTP

Поделиться

Короткая ссылка