Эпидемия Win32.HLLM.Reteras.2: все гениальное просто, или торжество социального инжиниринга
[20.05.2003]
Стоило минуть году безраздельного властвования на вирусном Олимпе почтового червя Win32.HLLM.Klez.4, как вчерашний "король червей" оказался низвергнутым с пьедестала сразу двумя новыми собратьями. Сначала место Win32.HLLM.Klez.4 занял один из представителей семейства Yaha, а затем в течение почти суток Klez.4 был потеснен и со второго места, куда без особых усилий взошел злой гений двух последних дней - Win32.HLLM.Reteras.2. По данным Службы мониторинга вирусной активности ЗАО "ДиалогНаука", новый почтовый червь занимает около 13% всего зараженного трафика Рунета, что является очень высоким показателем.
Не понадобилось ни хитроумных уловок, ни изощренных технологических приемов, ни пресловутых уязвимостей компании Microsoft. Произошла непостижимая вещь! Люди послушно открывали сообщение, просто кричащее «Я – вирус!». Оказалось достаточным написать в адресе отправителя магические строки support@microsoft.com и никто уже не стал обращать внимание на то, что во вложении к письму находится исполняемый файл, чего никогда не стала бы делать ни одна уважающая себя и своих пользователей компания!
Стремительное распространение вируса началось в Восточном полушарии еще в воскресенье, 19 мая. Основной удар червя пришелся на Австралию и Новую Зеландию. В понедельник утром его нашествие продолжилось в Европе, где больше всего пострадала Великобритания. Утром того же дня второе место в скорбном списке наиболее пострадавших заняли США, хотя рабочий день там начался спустя несколько часов.
Компании, в которых пересылка исполняемых файлов по электронной почте считается дурным тоном, менее всего пострадали от этого агрессора, чьим единственным, но достаточно ощутимым негативным эффектом стала колоссальная нагрузка на почтовые сервера. Кроме того, по некоторым данным, мощный удар принял на себя почтовый сервер службы технической поддержки компании Microsoft. Поскольку обратный адрес зараженных писем прямо указывает на эту службу, многие антивирусные фильтры прилежно направляют туда уведомления, что отправленные письма не доставлены адресату, поскольку содержали вирус. Можно только представить, что происходит в эти дни в соответствующем подразделении компании Microsoft.
Остается только надеяться, что безраздельное властвование этого нового почтового червя в скором времени прекратится, поскольку в его коде содержится временное ограничение - червь будет жить до 31 мая.
Как бы то ни было, верхушка вирусного чарта сменилась. Надолго ли?