Архивы: по дате | по разделам | по авторам

Выше только небо

АрхивКомментарий дня
автор : Евгений Золотов   25.08.2003

Не прошло и недели после эпидемии вируса Blaster, а миллионы компьютеров уже инфицированы новым червем: Sobig.F собирает свой страшный урожай по всему миру.

Едва схлынувшая эпидемия компьютерного вируса MSBlast оказалась лишь прелюдией к пришествию в виртуальность ещё более тяжёлой инфекции: всю минувшую неделю и по сей день почтовые ящики пользователей Интернет по всему миру терроризирует червь Sobig.F, паразитирующий на всех версиях Windows, начиная с 95, и использующий в качестве главного канала распространения электронную почту. На прошлой неделе антивирусными компаниями, ведущими мониторинг почтовых серверов, перехватывались от одного до трёх миллионов писем в сутки, содержащих послания с Sobig.F - и эксперты (MessageLabs, BRTS) уже называют новую эпидемию не просто крупной, но самой крупной за всю историю существования Сети.

Алгоритм работы нового вируса лишён каких-то хитростей. Больше того, он не предусматривает даже использования "дыр" в программном обеспечении, всецело полагаясь на необъяснимую безалаберность современных компьютерных пользователей. На компьютер Sobig.F попадает обычно в виде исполняемого файла с расширением .pif или .scr, прикреплённого к письму. Текст письма содержит предложение открыть этот файл для просмотра неких важных деталей ("See the attached file for details") и, несмотря на явную уловку, многие - очень многие, как вы увидите позже - получатели открывают злополучный документ, предоставляя вирусу полную свободу действий. Sobig.F копирует себя в системный каталог, прописывает в реестр для автоматического запуска, и приступает к репликации. Червь перерывает содержимое жёстких дисков компьютера на предмет обнаружения текстовых, HTML и файлов некоторых других форматов, могущих содержать адреса электронной почты, после чего осуществляет по ним массовую рассылку своих копий. Важный момент: Sobig.F использует встроенный SMTP-движок, благодаря чему может формировать заголовки писем по своему желанию. В частности, вирус подставляет в поле адреса отправителя один из найденных на компьютере жертвы адресов. Поэтому если вам придёт письмо от лучшего друга с Sobig.F, не торопитесь устраивать разборки. Впрочем, чаще письма с вирусом блокируются на серверах провайдеров и уведомление о недоставленном письме уходит на тот адрес, который Sobig.F прописал вместо обратного. Те из вас, чьи адреса электронной почты достаточно часто публикуются в Сети, наверняка уже ощутили на себе последствия такого тупого поведения серверных антивирусов - в виде сотен сообщений о "невозможности доставить письмо" (в один из дней буйства эпидемии мне привалило аж четыре мегабайта этой бесполезной почты).

Помимо почтовой рассылки, Sobig.F проверяет все сетевые ресурсы, доступные с инфицированной машины, и записывает в удалённые каталоги exe-файлы со случайными именами - естественно, содержащие его копию. Так заражаются пользователи локальных сетей. Наконец, 22 августа Sobig.F пытается скачать с одного из 20 Интернет-серверов некий файл, который, как опасались эксперты, может быть и обновкой самого вируса, и "трояном". К счастью, когда час Х наступил, таинственый файл, полученный сотнями тысяч заражённых машин, оказался всего лишь ссылкой на порносайт.

Интересно, что Sobig.F запрограммирован на прекращение работы после 10 сентября. Однако менять системную дату на компьютере, похоже, бесполезно: для синхронизации вирус использует сигналы точного времени с особых серверов в Сети.

Но неужели же тысячи антивирусных специалистов спокойно ждут естественного окончания эпидемии? Конечно, нет. Да вот только успехи их весьма скромны. Когда анализ кода Sobig.F показал, что большая часть вышеупомянутых 20 серверов расположены в Штатах и Канаде, за дело взялось ФБР. К 22-му числу удалось остановить 19 серверов, вскоре после начала вирусом процедуры скачки обновления остановили и 20-й. Но личности владельцев этих машин ничего не дали: все они - обычные компьютерные пользователи, которые даже не подозревали о происходящем. Компьютеры их были заражены в ходе одной из пяти предыдущих эпидемий Sobig (нынешняя версия вируса с индексом F - уже шестая по счёту, появившаяся с января). Тем временем Sobig.F шагал по планете: западные агентства разрозненно рапортовали о сотнях тысяч зарегистрированных случаев заражений, мешая составлению общей картины. Помогли специалисты из Китая - проанализировавшие состояние одного миллиона пользователей электронной почты и экстраполировавшие результаты на всю массу китайских сетян: оказалось, что только в этой стране инфицировано больше 20 миллионов машин (одна треть от общего числа).

Последние новости с фронта неутешительны. Эпидемия продолжает свирепствовать, а следопыты зашли в тупик: ловкий автор (впрочем, многие полагают, что за вирусами Sobig стоит целая шайка, методично оттачивающая своё оружие) впервые разместил Sobig.F 18 августа в одной из конференций Usenet - но след, приведший к аккаунту у американского Интернет-провайдера Easynews.com, оказался ложным. Как выяснилось, вирусописака зарегистрировал данный аккаунт всего за несколько минут до выпуска вируса, воспользовавшись чужой (скорее всего, украденной) кредитной картой. Так что можно ждать новых эпидемий. Но пока наши машины работают, предлагаю обсудить необычайную эффективность вируса: ведь вроде бы все мы не дети и знаем, что запускать присланные по почте файлы нельзя, так почему же процветает Sobig.F?

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.