По щекам
АрхивКомментарий дняВ арсенал компьютерных вирусов, наконец, попал и пиринговый обмен информацией.
Когда - редко-редко - в технике счастливая случайность встречается с оригинальным мышлением, рождается чудесное техническое решение. Хороший пример такого чуда, нашумевшего в последние несколько дней, - эпидемия вируса Slapper (или, как его величают целиком, Linux.Slapper.Worm), компьютерного червя, использующего случайную лазейку в программном обеспечении и классную технику сетевого взаимодействия со своими сородичами.
Slapper, ориентирующийся на x86-е машины, работающие под управлением ОС Linux, использует для проникновения на компьютер "дыру" в модуле OpenSSL веб-сервера Apache. Распространение вируса, начавшееся вечером пятницы, 13-го, в считанные дни привело к инфицированию тысяч серверов по всему миру: через двое суток им были заражены свыше 6 тысяч машин, к полудню понедельника счёт перевалил за 11 тысяч, а к вечеру того же дня была перейдена отметка в 13 тысяч заражённых серверов. И это в своём роде замечательно - поскольку большинство сетевых вирусов обычно испытывают сложности на начальном этапе своего распространения (так, Code Red за первые несколько суток заразил лишь несколько сотен компьютеров). Впрочем, Slapper отличился и другим: эпидемию удалось достаточно быстро - уже в понедельник - погасить, благодаря тому, что были оповещены большинство системных администраторов, заведующих инфицированными машинами. Узнать точное число жертв и их IP-адреса антивирусным исследователям в этот раз помогал сам вирус, благодаря использованию уникального для вирусологов механизма - собственной пиринговой сети.
В ходе анализа кода вируса (а над этим одновременно работали многие команды - включая и российскую Лабораторию Касперского, и западные антивирусные фирмы) было выяснено, что задача Slapper двояка. Заразив компьютер, вирус прежде всего пытается отослать своему хозяину адреса электронной почты, на нём обнаруженные. Но отсылка организована весьма хитро: Slapper использует для этого развёрнутую самостоятельно P2P-сеть: каждый инфицированный вирусом компьютер превращается в клиента такой сети, отсылая и получая информацию через соседей. Автор вируса включён в состав этой сети под видом такого же клиента, имитирующего заражённую машину, поэтому отыскать его вряд ли возможно. Через пиринговую сеть он получает краденые сведения, и через неё же даёт указания к действию. Дело в том, что у Slapper есть и второе предназначение: по команде хозяина, все вирусы организованно обрушиваются на какую-либо цель (в виде отдельного узла или целой сети машин), передавая на неё пустые пакеты. Называется это просто - распределённая атака "отказ от обслуживания" (DDoS), которая, учитывая большое число входящих в сеть Slapper клиентов, может быть очень эффективной.
Впрочем, удалось ли автору нового червя провести хоть одну такую атаку - неизвестно. Хитрая схема взаимодействия экземпляров вируса между собой сработала не только на благо самой инфекции, но и "докторов" - которые, дабы быть в курсе событий, внедрили в сеть Slapper своего агента: компьютер, имитирующий инфицированную машину, но на деле занимающийся лишь сбором информации о количестве заражённых машин и их адресах. Так поступили, в частности, в F-Secure - и такая разведка принесла ощутимую пользу: по IP-адресам заражённых машин определялись их сетевые имена, после чего владельцы компьютеров предупреждались по почте. Результат стал заметен уже к четвергу (кстати, вся хронология - по Гринвичу, что хорошо вяжется с началом распространения эпидемии в Европе), когда число машин, несущих активные копии Slapper, снизилось до пары сотен.
Из каждой громкой истории следует делать выводы - и Slapper в этом отношении чрезвычайно удобен. Новый червь - живое подтверждение того факта, что просто выпустить "заплатку" для какой-то дыры в программном продукте мало: для используемой Slapper лазейки патч был выпущен ещё в августе, но и по сей день сотни тысяч серверов во всём мире (из, примерно, миллиона первоначально обладавших этой дырой) работают на старых версиях программного обеспечения. Их администраторы либо поленились, либо просто не слышали о необходимости провести апгрейд…