Win32.HLLM.MyDoom.32768: эпидемия приняла чудовищные размеры

28 января 2004

[28.01.2004]

Итак, эпидемия. Можно сказать, ровно через год после опустошительного урагана под именем Slammer. Снова, как и в прошлом году, практически сразу после завершения празднеств по случаю восточного Нового года. Вы хорошо отдохнули? И хорошо погуляли? Тогда добро пожаловать на работу, а для разминки примите, пожалуйста, штук так 1000 писем, сообщающих о том, что сообщение пострадало при пересылке и его невозможно прочитать. Его действительно невозможно прочитать - но если Вы увидели, как у Вас на экране вдруг открылась программа "Блокнот" с весьма выразительным мусором в виде текста, то можете быть уверены, что в это самое время, если Вы постоянно подключены к сети Интернет, почтовый червь массовой рассылки под названием Win32.HLLM.MyDoom.32768 в несколько десятков потоков рассылает с себя с Вашего компьютера по всем адресам, которые он сумел у Вас найти.

Итоги минувшего дня весьма неутешительны. На 23:59 по московскому времени вирусная статистика, поступающая на сервер ЗАО "ДиалогНаука" с десятков серверов, защищенных антивирусной программой Dr.Web®, показывала, что доля этого червя превысила 83% от всех других вредоносных программ, а абсолютное число инфицированных почтовых сообщений, рассылаемых с зараженных компьютеров, перевалило за 1 миллион. Утешает, правда, что это - не достигший пользователей миллион. Хотя массовость распространения этого червя, который сам по себе запускаться ВООБЩЕ НЕ МОЖЕТ, говорит о том, что число инфицированных компьютеров по всему миру уже давно за миллион перевалило.

Статистика по вирусной online-проверке на сайте ЗАО "ДиалогНаука" также красноречиво свидетельствует об охватившей весь мир эпидемии. Если в обычные дни соотношение чистых и инфицированных файлов, проверяемых пользователями из разных стран, выглядит как 10 к 1, то 27 января это соотношение было 3 к 1 в пользу зараженных файлов, среди которых основное количество пришлось на Win32.HLLM.MyDoom.32768.

Почему же такой умудренный горьким опытом, немалая доля которого приобретена в 2003 году, компьютерный мир снова оказался на коленях перед парой десятков килобайт кода? Мы поинтересовались об этом у Игоря Данилова - создателя антивируса Dr.Web®.

"Как и в большинстве случаев глобальных эпидемий, в данном случае мы столкнулись с умелым сочетанием приемов социальной инженерии и сугубо технических, - отметил Игорь Данилов. - Противник, который нам противостоит на этот раз, безусловно, обладает высоким интеллектом - ведь каждый раз вирусописателям необходимо не просто безупречно составить вирусный код, чтобы он работал в любых системах "без сучка и задоринки", он должен придумать ту "изюминку", на которую попадутся сотни тысяч, миллионы пользователей во всем мире. Эта "изюминка" в случае с червем MyDoom - представление инфицированного письма неким ответом почтового сервера. Это не патч от Microsoft, это не фотографии, это не обнаженные знаменитости и не чьи-то личные заметки. Это просто не прошедшее к адресату письмо. Все люди, пользующиеся электронной почтой, прекрасно знакомы с этим явлением. И все не считают зазорным открыть этот ответ и посмотреть, что там в действительности написано. Эксплуатируется человеческое любопытство и доверие почтовым серверам - чему-то совершенно непонятному и потому не вызывающему сомнений. Именно это, как мне кажется, и приводит к миллионам "кликов" по вложению, которое является, увы, обычным исполняемым файлом, убедительности ради демонстрирующим в обычном блокноте несколько строк "мусора".

Что же касается технических приемов, использованных автором червя, - продолжил И.Данилов, - то здесь внимание привлекает следующее: червь часто пересылается в zip-архиве, что позволяет ему - особенно в первые часы его распространения - преодолевать антивирусную защиту, установленную на почтовых серверах провайдеров. Ведь известно, что провайдеры, использующие антивирусы для проверки почтового трафика, не любят включать проверку архивов - уж больно большая нагрузка на сервер при большом почтовом потоке. Кстати, именно поэтому мы выпустили 27 января специальное дополнение, которое позволяет определять MyDoom прямо в архивированном виде, чтобы упростить задачу провайдерам и повысить уровень детектируемости.

Но самое главное, что действительно позволяет червю рассылаться с такой скоростью и в таких масштабах - это его способность подбирать "правильные" SMTP-сервера, через которые он может отправлять себя соответствующим адресатам. Безусловно, самое простое средство - подсмотреть в системном реестре адрес "своего" SMTP сервера и отправить через него. Но MyDoom прибегает к этому способу только в крайнем случае. В основном он просто формирует имя пересылочного сервера, используя доменное имя адресата и прибавляя к нему стандартные значения, используемые во многих SMTP-серверах. Очень часто это дает положительный результат. И тогда в конкретный адрес письмо уходит, минуя длинную цепочку промежуточных серверов, каждый из которых потенциально может запросто "тормознуть" червя своим антивирусным фильтром. Ну и, безусловно, нельзя не упомянуть о том, что рассылка червем своих копий ведется в несколько потоков - то есть, фактически, "почтальонами" работает сразу несколько псевдо-копий червя.

Кстати, нелишне будет напомнить любителям файлообменных сетей, особенно, KaZaA, что червь использует для своего распространения и этот бесплатный транспорт, копируя себя в соответствующие директории. "

А тем временем компания SCO Group объявила о назначении вознаграждения в 250 000 американских долларов тому, кто поможет вычислить и осудить автора червя. Причина такой щедрости в том, что MyDoom фактически направлен против этой компании, которая недавно предприняла попытки прилечь к суду ряд крупных компаний, которые, по ее мнению, нарушили ее авторские права на часть кодов, которые включены в ОС Linux. 1 февраля, в воскресенье, серверы компании будут подвергнуты массированной DoS-атаке со всех компьютеров, которые будут еще на этот момент заражены червем. Вряд ли это количество будет таким уж большим - все-таки автор червя не был столь уж безжалостен к SCO Group, которая покусилась на самое святое для всего свободного компьютерного мира - открытые коды, и не стал начинать атаку на следующий день после начала распространения червя. Вряд ли, впрочем, это обеспечит ему снисхождение властей в случае поимки.

Пока же данные статистики обнадеживают. На 11:00 по московскому времени Win32.HLLM.MyDoom.32768 хоть и продолжал оставаться безусловным лидером, тем не менее, его давление на мировую почтовую систему существенно ослабло - на него приходилось "всего лишь" 66% всех обнаруженных в почте и остановленных вирусов. Есть вероятность, что за последующие сутки ситуация стабилизируется.

10
;