Эпидемия Win32.HLLM.Reteras вызывает серьезные проблемы с электронной почтой во всем мире

22 августа 2003

[22.08.2003]

Эпидемия червя LoveSan, которая была всю прошлую неделю темой номер один на страницах всех компьютерных изданий и даже заняла заметное место в сообщениях ведущих информационных агентств, померкла и практически забылась на фоне не утихающей уже несколько дней вирусной бури, начатой во второй половине дня 19 августа новой разновидностью почтового червя массовой рассылки Win32.HLLM.Reteras (Sobig.F). В считанные часы вирусная статистика, поступающая в Службу мониторинга вирусной активности ЗАО "ДиалогНаука" с почтовых серверов крупнейших российскиих интернет-компаний, защищенных антивирусом Dr.Web®, превратилась в своего рода "театр одного актера". Доля нового червя среди других вредноносных программ достигала в отдельные моменты 97%.

По скорости распространения и количеству распространяемых инфицированных почтовых сообщений этот вариант почтового червя Reteras не знает себе равных за всю историю компьютерной вирусологии. Массовость рассылки вирусных копий объясняется созданием червем 7 отдельных потоков (threads), каждый из которых занимается рассылкой. Перед началом массовой рассылки писем, червь определяет наличие соединения с Интернетом, посылая запросы на серверы a.root-services.net и b.root-services-net.

Такая реализация механизма массовой рассылки привела к небывалой завирусованности почтового трафика во всем мире. Компанией MessageLabs называются цифры 1 к 17, говорящие о соотновшении зараженных и незараженных писем. По данным ЗАО "ДиалогНаука", это соотношение в ряде регионов еще хуже, а рядом крупных компаний приводятся цифры 3:1 в пользу зараженных писем. Подобные нагрузки становятся фатальными для некоторых почтовых серверов. Даже если почтовый сервер и работает, скорость прохождения почтовых сообщений существенно замедляется. А поскольку электронная почта является, наверное, самой главной функцией всемирной сети с точки зрения многих компаний, такое положение вещей наносит их деятельности серьезный ущерб.

К трафику, сгенерированному непосредственно червем Win32.HLLM.Reteras добавились и уведомления от антивирусов на почтовых серверах, которые уведомляли мнимых отправителей писем, что якобы ушедшее от них письмо было заражено. На самом деле, вероятность того, что в письмах, рассылаемых червем, будет указан настоящий почтовый адрес владельца зараженного компьютера, настолько мала, что ею можно пренебречь. Это учитывается в реализации антивируса Dr.Web® для Linux/FreeBSD/Solaris, поэтому при обнаружении в письме зараженного червем файла, уведомление "отправителю" не посылается.

Как известно, важной деструктивной особенностью червя является попытка скачать с определенных сайтов троянский компонент, который до сих пор служил своего рода почтовым релеем для спам-рассылок. Если в первых версиях Reteras загрузка компонента велась с обозначенных в коде интернет-сайтов, то в последующих версиях эти ссылки стали всячески прятаться от бдительного ока антивирусных компаний. В нынешней версии червя сами ссылки отсутствуют, к ним планируется первое обращение в пятницу 22 августа, в 23 часа по московскому времени (19 часов UTC). С этого времени с зараженных компьютеров, которые будут в этот момент иметь доступ в интернет, начнется рассылка специальных запросов по порту 8998 по произвольно сгенерированным IP-адресам. При поступлении отклика на эти запросы, червь будет запрашивать непосредственно ссылку на сервер, с которого ему будет нужно скачать некий дополнительный компонент. До сих пор характер этого нового компонента не известен, поскольку червь определяет текущее время, обращаясь к специальным NTP-серверам - "хранителям времени" в интернете, и пока время на них не станет больше 19 часов, никаких компонентов с них червь загружать не будет.

Считаем необходимым еще раз обратить внимание пользователей, что червь, как и его предшественники распространяется без использования каких-либо уязвимостей в критикуемом на каждом шагу программном обеспечении. Фактически пользователи сами, своими собственными руками продолжают открывать не заслуживающие доверия сообщения, распространяя, таким образом, компьютерную заразу по всему миру. Удивительно простые заголовки сообщений, рассчитанные, пожалуй, на все категории пользователей, избранные в жертву червю ("Details" будет воспринято как письмо от коллеги по офису, тема "Re: Approved" - не вызовет сомнений у подчиненного, что это письмо от начальника, "Re: Wicked screensaver" убедит ребенка открыть письмо, "Thank you!" присланное, к тому же, как будто от знакомого вам корреспондента вообще не вызовет никаких сомнений у получателя) заставляют миллионы людей во всем мире открывать зараженные письма.

Как и предыдущие версии Reteras, нынешняя имеет ограничение по времени действия: она будет работать только до 10 сентября.

ЗАО "ДиалогНаука" настоятельно рекомендует пользователям интернета проверить свои компьютеры на предмет возможной зараженности их червем Win32.HLLM.Reteras. Пользователи антивируса Dr.Web защищены от новой версии червя, поскольку он определяется БЕЗ КАКИХ-ЛИБО ОБНОВЛЕНИЙ ВИРУСНЫХ БАЗ. Те, кто не имеет у себя на компьютере антивируса Dr.Web, могут скачать его, воспользовавшись специальной акцией ЗАО "ДиалогНаука", проводимой до 30 августа этого года. Для лечения компьютера достаточно лишь запустить сканер Dr.Web®, который сразу обнаружит присутствие червя в памяти компьютера.

221
;