Ежемесячный вирусный обзор ЗАО "ДиалогНаука" - август 2003

01 сентября 2003

[01.09.2003]

Кому уж точно не пришлось скучать в августе 2003 года, так это антивирусным компаниям и корреспондентам всевозможных IT-изданий. Сложно припомнить в истории борьбы с вирусами еще одну ситуацию, когда одна крупномасштабная эпидемия перерастает в другую, а за нею сразу накатывает волна третьей, такой, что на ее фоне забываются две предыдущие. Когда сообщения об ущербе, нанесённом вирусами, напоминают фронтовые сводки, а определить "виновника" той или вирусной атаки становится невозможным, потому что все списывается на некий "Вирус", ставший единым в трех лицах.

Прелюдия была довольно заурядна - почтовый червь Win32.HLLM.Foo.26432 начал свое шествие по интернету в первый день августа, и за несколько дней отобрал себе 6% в общей вирусной статистике. Червь распространялся благодаря использованию уязвимости в программных продуктах Microsoft и непобедимому человеческому любопытству. Но несмотря на довольно широкий масштаб этой новой эпидемии, основные позиции в вирусной статистике занимали привычные "гранды" - Win32.HLLM.Yaha.4 и Win32.HLLM.Klez.4. И вместе с тем антивирусная пресса начала августа в основном обсуждала возможность появления в "дикой природе" нового червя, использующего для распространения уязвимость операционных систем Microsoft Windows NT/2000/XP/2003 Server, обнаруженную незадолго до этого. Появились даже некоторые экземпляры такого червя, не получившие при этом широкого распространения (см. нашу новость от 5 августа).

11 августа навечно войдет в историю вирусов. В этот день по миру начал свое триумфальное шествие сетевой червь LoveSan, известный также под названием Msblast. На целую неделю мир оказался вовлеченным в захватывающую драму "Microsoft против LoveSan". Используя уязвимость наиболее распространенных в настоящее время операционных систем Microsoft, червь при этом содержал в себе код, говорящий о его намерении начать 16 августа (в субботу) DoS-атаку на сервер автоматического обновления компании. Ожидаемая атака на сервер Microsoft заняла, пожалуй, больше места в новостях, чем само распространение червя по сотням тысяч непропатченных компьютеров во всем мире. Масштабы заражения были поистине катастрофические, особенно если учесть, что страдали не столько зараженные компьютеры, сколько те, которые червь пытался заразить. Червь был в основном ориентирован на машины, работающие под Windows XP, в результате чего их пользователи фактически не могли работать, пока эти компьютеры были подключены к сети, и не могли поэтому установить ставший таким популярным патч Microsoft.

Одновременно стали поступать сообщения о появлении новых вариантов LoveSan, которые, однако, не получили такого большого распространения (видимо, именно один из этих вариантов и создал 18-летний Джефри Ли Парсон (Jeffrey Lee Parson), арестованный 30 августа ФБР). А в субботу 16 августа мир вздохнул с облегчением - Microsoft с честью отразила атаку, которая, как оказалось, была изначально неверно спланирована, и все практически сразу вздохнули с облегчением, видимо, посчитав, что червь исчез сам собой. Но LoveSan никуда исчезать не собирался (об этом свидетельствуют данные, полученные во второй половине августа Службой мониторинга вирусной активности ЗАО "ДиалогНаука"), а в дополнение к нему в понедельник 18 августа начал не менее стремительное распространение по всемирной сети новый червь Welchia, внесенный в вирусную базу Dr.Web® под названием Win32.HLLW.LoveSan.2. Названный сразу "антивирусным" вирусом, новый червь делал в точности то же самое, что и оригинальный LoveSan, за одним исключением - заражая компьютер, он останавливал процесс msblast.exe (этот процесс принадлежит первому LoveSan), если находил его в памяти, и стирал с диска исходный файл. Кроме того, новый червь довершал свои антивирусные действия попыткой скачать патч MS03-26 с сайта Microsoft и установить его на зараженной машине.

Результаты этих двух эпидемий были поистине впечатляющими. Однако реально оценить масштабы ущерба от вирусов, использующих уязвимость DCOM RPC, оказалось непросто, потому что вслед за эпидемией LoveSan.2 мир в считанные часы захлестнула эпидемия нового варианта почтового червя Win32.HLLM.Reteras, также известного под именем Sobig.F (см. наши новости за 20, 22, и 23 августа).

На следующий день после начала этой самой масштабной за всю историю противостояния вирусов и антивирусов эпидемии, почтовый трафик во всем мире вырос, по некоторым оценкам, в 30-40 раз. Нет, люди не стали писать больше. Трафик генерировался, с одной стороны, самим червем, а с другой - многочисленными антивирусными фильтрами, которые послушно рассылали уведомления фиктивным отправителям вируса, что их письмо не доставлено до адресата. Некоторые почтовые серверы не выдержали колоссальных нагрузок, что привело к серьезным перебоям в работе электронной почты. По данным Службы мониторинга вирусной активности, в течение первых дней эпидемии вирус занимал от 95 до 97% среди других вредоносных программ, остановленных на почтовых серверах антивирусными средствами семейства Dr.Web®.

Диаграмма хода эпидемии Win32.HLLM.Reteras
Число выявленных в августе экземпляров червя в соотношении с общим числом вирусов в почтовом трафике

По опубликованным в последнее время данным, общий экономический ущерб от эпидемии Reteras в августе 2003 года оценивается приблизительно в 5,6 миллиарда долларов. Безусловно, эти данные нельзя считать вполне достоверными, поскольку по поводу самой методики оценки ущерба нет единого мнения. Однако в сравнении с другими эпидемиями (Klez.H, Yaha), нынешняя эпидемия Reteras стоит четвертой по своим разрушительным последствиям. Правда, она не кончилась в августе. В последний день лета на долю этого почтового червя приходилось по-прежнему 93% всех вирусов, обнаруженных в Интернете.


Статистика

За август 2003 года вирусная база Dr.Web® пополнилась 410 новыми записями. По типам вирусов они распределялись следующим образом:

  • Троянские программы - 334
  • из них - программы-люки (backdoor) - 117
  • Сетевые черви - 39
  • Почтовые черви - 15
  • FDOS-вирусы - 17
  • Скрипт-вирусы - 10
  • BAT-вирусы - 10
  • Вирусы-паразиты - 5
  • DDOS-вирусы - 22
  • Макро-вирусы - 4
  • 1432 вируса 578 различных типов были обнаружены в течение месяца в файлах пользователей, которые были загружены на сайт ЗАО "ДиалогНаука" для онлайн-проверки на вирусы.

    Ниже приводится краткая таблица результатов онлайн-проверки за месяц:

    Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в августе. Всего за прошедший месяц антивирусными фильтрами Dr.Web было обнаружено более 7,3 млн. вирусов 625 видов (для сравнения - в июле было 2,17 млн. 1006 видов, в июне - 3,39 млн. 993 видов, в мае - 4,28 млн. 734 видов).

    ВирусКоличество%
    1 Win32.HLLM.Reteras 6106256 81,52
    2 Win32.HLLM.Yaha.4 722330 9,64
    3 Win32.HLLM.Klez.4 365809 4,88
    4 Win32.HLLM.Bugbear.2 91990 1,23
    5 Win32.HLLM.Foo.26432 57676 0,77
    6 Win32.HLLM.Yaha.64000 24391 0,33
    7 VBS.Redlof 15467 0,21
    8 Win32.HLLM.Yaha.5 14289 0,19
    9 Win32.Roger.45056 13345 0,18
    10 Win32.HLLM.Klez.1 12436 0,17
    11 Win32.HLLM.Yaha.1 10659 0,14
    12 Win32.HLLM.SirCam.1 6092 0,08
    13 Win32.HLLM.Fear 5902 0,08
    14 W97.Thus 4119 0,06
    15 Win32.HLLM.Fear.3 3202 0,04

    7
    ;