Эпидемия Win32.HLLM.Reteras - второго пришествия пока не состоялось

23 августа 2003

[23.08.2003]

Как мы уже сообщали, в ночь с пятницы на субботу ожидалось второе действие во всемирной интернет-драме, главным действующим лицом в которой был почтовый червь Win32.HLLM.Reteras (Sobig.F). Начиная с 23 часов по московскому времени (19 часов по всемирному интернет-времени UTC), червь, до этого времени только рассылавший себя по всему миру, начал пытаться соединиться с серверами во всемирной сети с целью услышать сигнал от своего создателя с дальнейшими инструкциями, которые должны были поступить к нему в виде исполняемого файла. Опрос компьютеров по всему миру велся по случайно сгенерированным IP-адресам по порту 8998, и, видимо, по этой причине до сих пор не поступило информации о том, что червю удалось что-либо скачать с какого-либо сайта.

Мир (вернее, его бодрствующая часть в Западном полушарии), затаив дыхание следила за развитием событий. Но время шло, а ничего экстраординарного так и не происходило. Однако, это, скорее всего, и входило в замыслы автора червя, поскольку в нынешних условиях, когда спецслужбы всего мира делают все, чтобы определить источники нескольких последних эпидемий, любой непродуманный шаг может выдать автора этого дьявольского творения с головой. Вполне вероятно, что на каких-то зараженных компьютерах Reteras смог установить загруженную из интернета троянскую процедуру неизвестного характера. Возможно также и то, что ожидаемая в ночь с воскресенья на понедельник новая попытка червя найти в интернете "свою половину" принесет ему больше успеха. При этом совершенно очвевидно, что как только загруженный программный модуль будет обнаружен антивирусными компаниями или спецслужбами, это даст может серьезно продвинуть поиски источника этой самой нашумевшей за всю историю вирусной атаки.

Тем временем в прессе появились сообщения об отключении разбросанных по всему миру 20 серверов, при этом говорилось, что такая мера не позволит червю установить с ними соединение и закачать троянский компонент на инфицированные компьютеры. Связь с этими серверами устанавливается червем после проверки текущего времени UTC - если это время находится в промежутке между 19 и 22 часами, червь начинает попытки послать запрос на один из указанных 20 серверов, которые зашифрованы в его теле. Для определения текущего времени червь связывается с одним из 19 NTP серверов, IP-адреса которых также находятся в теле червя.

ЗАО "ДиалогНаука" напоминает всем пользователям персональных компьютеров о необходимости своевременного обновления вирусных баз своих антивирусов и проведения регулярного сканирования компьютера. О возможном наличии в локальной сети зараженных червем Win32.HLLM.Reteras компьютеров может свидетельствовать трафик по порту 8998, а также существенно возросший почтовый трафик изнутри сети. Хотя если на компьютерах установлена последняя версия антивируса Dr.Web® с активным резидентным сторожем SpIDer Guard, заражение этим червем не произойдет.

139
;