Ни дня без нового MyDoom - интрига завязывается

29 января 2004

[29.01.2004]

Эпидемия MyDoom продолжается (см.нашу информацию от 27 и 28 января). Сотни тысяч зараженных компьютеров по всему миру ежесекундно воспроизводят все больше и больше инфицированных этим червем писем, которые, попадая на антивирусные фильтры на почтовых серверах, дают умопромрачительную статистику, которую специалисты не видели уже давно (по нынешним вирусным понятиям) - целых пять месяцев. К концу вторых суток эта буря начала стихать, однако неожиданно появился новый клон "рокового" червя (по английски doom - рок, судьба). Он во многом повторял своего старшего брата, правда, немного прибавил в весе, имея размер 29 184 байт. В антивирусной Лаборатории Игоря Данилова он получил имя Win32.HLLM.MyDoom.48128.

Единственное, чем новое дьявольское создание не может похвастаться - это распространением в интернете. В первые часы, когда только-только был проведен анализ нового червя, были сделаны предположения, что он удвоит нагрузку на почтовые системы и все мы на несколько дней распрощаемся с интернетом, но этого не произошло. Через несколько часов после выпуска в свет нового экземпляра MyDoom вирусная статистика показывала всего лишь 74 случая детектирования его против 800 тысяч Win32.HLLM.MyDoom.32768. Это исключает возможное распространение вируса с зараженных его предшественником машин, поскольку в этом случае результаты были бы совершенно другими.

Червь по-прежнему использует два, как показали события последних трех дней, самых эффективных канала распространения - электронную почту и файлообменную сеть KaZaA. Основной удар червя все также направлен против ненавистной его автору группы SCO, но в этот раз к списку нелюбимых компаний прибавилась еще и корпорация Microsoft. Против этих двоих у его автора нет ничего личного – так возвещает всему миру (всем заразившимся) перефразированная строка из фильма «Крестный отец», содержащаяся в теле червя.

Оказавшаяся неимоверно успешной маскировка под текстовый файл применяется и сейчас. Вот только снисходительности его создатель проявил меньше, чем в первом своем детище – червь не дает пострадавшему скачать лечащие утилиты с сайтов антивирусных компаний, а блокирует к ним доступ. Отрадно отметить, что в "черном" списке сайта ЗАО «ДиалогНаука» нет. И тому есть разумная причина. Дело в том, что Dr.Web® в который раз оказался единственным антивирусом, который не требует для лечения зараженного червем компьютера дополнительных утилит. Примененнный при составлении вирусной базы специально разработанный Игорем Даниловым язык программирования позволяет антивирусу справиться с заражением самостоятельно. Соответственно, и скачивать лечащие утилиты не нужно. А раз не нужно - зачем закрывать пользователю доступ к сайту.

Примененный разработчиками Dr.Web® метод лечения обоих червей чрезвычайно эффективен - при проверке системной памяти сканером (а этот режим включен по умолчанию) антивирус, обнаружив присутствие червя в сегменте, отведенном под ключевую программу Windows - Explorer, - не останавливает процесс, а "патчит" его таким образом, что процедура-люк, которая запускается червем как дочерний процесс Explorer, не имеет возможность принимать информацию извне через открытые ею порты. Таким образом смысл существования backdoor-процедуры сводится на нет.

Теперь остается только гадать - останется ли автор верен себе и выпустит ли еще один экземпляр MyDoom до контрольной даты - 1 февраля или же затаится, любуясь на "плоды" своего преступного труда. Или его арестуют...

10
;