LoveSan: главной жертвой стала Windows XP

15 августа 2003

[15.08.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" продолжает отслеживать ситуацию с едва ли не крупнейшей в этом году компьютерной эпидемией, вызванной интернет-червем Win32.HLLW.LoveSan.11296. По последним данным, количество зараженных этим червем компьютеров перевалило во всем мире за 300 тысяч. Как считают эксперты, более половины из них находятся в Соединенных Штатах. Скорее всего, приведенные цифры далеко не полностью отражают действительное состояние вещей. Практически во всех странах мира червь посеял панику не только среди домашних пользователей, но и в корпоративном секторе. Немало крупных частных компаний и государственных учреждений во всем мире пострадали от этой эпидемии, многие вынуждены были на 1-2 дня прекратить свою деятельность, которая невозможна без нормального функционирования вычислительной техники.

Несмотря на то, что в настоящее время пик роста числа инфицированных компьютеров пройден, присутствие червя в интернете по-прежнему очень велико. Кроме того, приближается 16 августа - день, когда червь предпримет атаку с сотен тысяч зараженных им компьютеров на сайт компании Microsoft, специально созданный для автоматических обновлений операционных систем семейства Windows.

Специалисты антивирусной лаборатории Игоря Данилова в Санкт-Петербурге провели обстоятельный анализ кода червя LoveSan и механизма заражения им компьютеров под разными операционными системами. Самый важный вывод, который был сделан, говорит о том, что автор червя изначально планировал основной удар по операционной системе Windows XP. При формировании кода эксплоита, который посылается червем на удаленные компьютеры, с вероятностью 8 к 2 выбирается эксплоит, который предназначен для атаки именно на Windows XP. В 20% случаев, таким образом, посылается эксплоит, сформированный для Windows 2000. Совершенно очевидно, что автор вируса оценил соотношение операционных систем на рынке, как 8 к 2 в пользу Windows XP.

Что касается самопроизвольной перезагрузки, которая происходит при атаке компьютера под управлением Windows XP, то вызвана она, по нашим данным, двумя причинами. С одной стороны, если на порт 135 Windows XP поступает "правильный" запрос-эксплоит, червь проникает в систему, запускает свой код и в момент разрыва установленного с атакуемым компьютером соединения в силу наличия ошибки в коде червя возникает сбой, приводящий к перезагрузке. Если же компьютер атакован "неправильным" эксплоитом, то такая атака вызывает ошибку в программе svchost.exe, которая может привести к непредсказуемым последствиям, в том числе и к "падению" всей системы.

Отсюда следует, что основной ущерб червь наносит, не находясь в системе, а пытаясь ее атаковать. Это предопределяет тот факт, что можно сколь угодно успешно лечить зараженный компьютер антивирусными средствами, но пока не будут закрыты соответствующие порты (прежде всего, порт 135), атаки на компьютер будут продолжаться извне, и заражение может повторяться до бесконечности.

Скандал в благородном семействе
В связи с эпидемией LoveSan все внимание в эти дни сосредоточено на компании Microsoft, причем теперь уже не столько в связи с тем, что именно из ее стен вышло уязвимое программное обеспечение, сколько в связи с предстоящим уикендом, когда на сайт компании обрушатся миллионы одновременных запросов. Это сделает невозможным нормальное обновление Windows, а главное - не допустит скачивания спасительного патча теми, кто еще это не успел сделать. Кстати, именно в связи с этим патчем накануне разыгрался скандал.

Четыре недели тому назад, помимо опубликования соответствующих патчей для уязвимых версий ОС Windows, как это уже стало практикой в компании Microsoft при обнародовании бюллетеней, также были опубликованы рекомендуемые разработчиком меры, позволяющие устранить, или, по крайней мере, уменьшить степень поражения систем в следствие возможной атаки на них. Не секрет, что не редки случаи, когда установка рекомендуемого компанией патча приводила к проблемам в функционировании или даже к полному краху систем. Поэтому, во многих компаниях системными администраторами практикуется первоначальное тестирование воздействия патча на работоспособность машин и только потом их установка.

Среди прочих рекомендаций по временном устранению возможного ущерба до установки патча в бюллетене MS03-26 были опубликованы рекомендации по отключению DCOM. По вчерашнему признанию официальных лиц компании, данная мера оказалась не действенной на машинах под управлением Windows 2000 версии Gold и с установленными Service Pack 1 и 2. Это произошло в силу того, что сейчас Microsoft больше не осуществляет поддержку этих версий, т.к. в настоящее время политика компании направлена на поддержание версий с Service Pack только одной или двух последних версий. В виду обнаруженной ошибки в бюллетень были внесены изменения, оговаривающие отключения DCOM только на компьютерах с Windows 2000 Service Pack 3 или более поздних версий. Однако эта поправка явно запоздала, многие, выполнив рекомендации Microsoft, оказались на деле незащищенными перед атаками червя.

7
Подписаться на новости
;