Win32.HLLW.LoveSan.11296: хватит делать деньги, исправьте свое ПО!
[13.08.2003]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" следит за развитием ситуации, связанной с крупнейшей за последнее время эпидемией, вызванной интернет-червем Win32.HLLW.LoveSan.11296, также известный, как Lovsan и Msblast. В течение последних двух суток эта тема не сходит с лент новостей, она является главенствующей во всех изданиях, посвященных информационным технологиям. Служба технической поддержки ЗАО "ДиалогНаука" постоянно получает все новые и новые сообщения о случаях заражения этим червем. Судя по этим сообщениям, масштаб эпидемии достиг колоссальных размеров.
Вместе с тем, то, что принято называть эпидемией, не совсем соответствует тому, что наблюдается в связи с распространением этого опаснейшего червя. Если исходить из того, что признаком эпидемии считают широкомасштабное распространение вредоносного кода, его репликацию по сотням тысяч, даже миллионам компьютеров во всем мире, то Win32.HLLW.LoveSan.11296 не совсем подпадает под эти признаки. Правильнее сказать, что при поражающих воображение масштабах его распространения, ущерб, который он наносит компьютерным сетям самого разного уровня, существенно превосходит объемы его присутствия непосредственно на компьютерах пользователей.
В основном от червя страдают компьютеры под управлением Windows 2000 и Windows XP, то есть, поражаются самые распространенные в настоящее время операционные системы, созданные компанией Microsoft. Вместе с тем, судя по получаемым сообщениям, степень ущерба неодинакова и зависит от использования той или иной операционной системы. Если в сети, куда проник червь, работают в основном машины под управлением Windows 2000 (разумеется, без установленного патча Microsoft MS03-026), то пользователи таких машин будут постоянно сталкиваться с ошибкой программы svchost.exe, которая будет существенным образом ограничивать работоспособность системы (невозможность послать почту, проблемы с буфером обмена, с открытием новых страниц броузера и т.д). Однако при этом пользователь сможет самостоятельно принимать решение о перезагрузке компьютера и не будет терять своих данных.
Если же на машинах установлена Windows XP, то результатом атаки червя будет самопроизвольное закрытие системы и рестарт компьютеров со всеми вытекающими последствиями. Причина этого таится в том запросе по порту 135, который посылается червем на все уязвимые (непропатченные) компьютеры с целью получения доступа к их системе. Именно ошибки (если только это можно назвать ошибками!) в этом запросе и приводят к сбою в атакуемых системах. С одной стороны, это мешает червю распространяться по сети, с другой - не позволяет владельцам компьютеров установить необходимый патч, межсетевой экран и обновить другие системы безопасности, в том числе, антивирусы.
Как и при любой другой широкомасштабной эпидемии, в эти дни снова и снова муссируется тема безопасности продуктов компании Microsoft. Масла в огонь подлила и фраза, которая находится в коде червя LoveSan - "billy gates why do you make this possible ? Stop making money and fix your software!!". Надо заметить, что многие солидарны в этом упреке с автором вируса. Хотя об использованной на этот раз уязвимости в операционных системах компания Microsoft объявила почти месяц назад.
Угроза появления нового опасного червя, эксплутирующего эту уязвимость, и, главное, масштабы возможного ущерба были настолько очевидны (особенно после публикации всего через несколько дней после выпуска бюллетеня группой китайских хакеров кода, эксплуатирующего данную уязвимость), что Министерством внутренней безопасности США были обнародованы сразу два предупреждения о возможной угрозе скорого появления полнофункционального червя и призыв немедленно установить на компьютерах патч, закрывающий этот дефект в операционных системах Microsoft.
Прогнозировалось, что инфицированию будут подвергнуты не менее 75% компьютеров под управлением ОС Windows 2000 и Windows XP (как уже сказано выше, меньше страдают пользователи ОС Windows 2000 и намного больше - Windows XP). Подчеркивалось, что наибольшей опасности поражения подвергаются корпоративные пользователи, чьи сети постоянно подключены к интернету, а также домашние пользователи, пользующиеся для путешествия по Сети услугами доступа через ADSL.
По скорости распространения и используемому алгоритму инфицирования нынешний червь, получивший меткое название Blast (взрывная волна, взрывчатка) сродни, хотя и значительно уступает, другому опасному, правда, в отличие от него, "бестелесному" вирусу CodeRed (этот червь не существует в виде файла), который и спустя несколько лет после своего появления продолжает жить на тысячах компьютерах по всему миру, а также червю Slammer.
Вместе с тем, обращает на себя внимание и то, что в коде червя явно сознательно заложены элементы, препятствующие его еще более быстрому распространению, в частности, задержки перед посылкой пакетов на уязвимые машины в сети. Кроме того, в отличие от червя Slammer, LoveSan начинает свое распространение с локальной сети, а только на третьем этапе уже начинате сканировать произвольные IP-адреса в интернете.
На ближайшую субботу планируется главный удар вредоносного заряда, заложенного в коде червя, когда, по замыслу его создателя должна произойти крупномасштабная DOS-атака на сайт windowsupdate.com, принадлежащий компании Microsoft и используемый пользователями ее продуктов для автоматической загрузки патчей и обновлений, в которую будут вовлечены все компьютеры, инфицированные червем.
Компания Microsoft известила своих пользователей о том, что она проводит собственное исследование действия червя, а также опубликовала рекомендации по защите компьютеров от проникновения новой угрозы, в число которых входят установка соответствующего патча, обновление антивирусных баз и использование межсетевого экрана.
Нельзя отделаться от ощущения, что несмотря на масштабы эпидемии, компьютерному миру опять невероятно повезло. Ему еще раз весьма эффективно напомнили - с безопасностью не шутят! Напомнили, бесспорно, очень жестко. Но царящая во всем мире безалаберность того стоит. А вот если бы автор червя вместо упрека Биллу Гейтсу поместил туда какой-нибудь разрушительный код...