Архивы: по дате | по разделам | по авторам

Клинический случай

АрхивКомментарий дня
автор : Евгений Золотов   20.08.2003

Эпидемия червя Blaster стала следствием хронической лени пользователей Windows. Случай клинический, требующий принудительного лечения.

Едва месяц назад, 16 июля, пресс-служба компании Microsoft опубликовала сообщение критической важности: в одном из компонентов операционной системы Windows, используемом в нескольких её реинкарнациях (Windows NT 4, Windows 2000, XP и Server 2003) была обнаружена "дыра", теоретически могущая быть использованной для перехвата управления компьютером. Оставим в стороне технические подробности - важно другое: пользователи Windows дружно и привычно проигнорировали анонс. Старое "пока гром не грянет..." оказалось верным и для россиян, и для американцев, и для корейцев, и для китайцев - и лишь когда в начале прошлой недели этот самый гром грянул, юзеры озаботились защитой своих машин. Впрочем, было уже поздно: напавший вероломно, используя для своего распространения по Сети вышеупомянутую дыру, червь MSBlast (он же Blaster, он же Lovesan) всего за неделю успел натворить немало бед.

История распространения Blaster, впрочем, в подробностях и живо представлена множеством сетевых изданий, поэтому повторять жизнеописание не имеет смысла. Червь этот, слепо тычущийся в случайно находимые им в Сети машины, пытается запустить на них свою копию, после чего - в случае успеха - повторяет всё заново. Blaster не страдает особой кровожадностью, довольствуясь посылкой множества пустых запросов на сервер системы Windows Update (windowsupdate.com) c 16-го по последнее число каждого месяца (автору MSBlast явно не по душе корпоративная политика Билла Гейтса - в вирус даже вставлено послание к нему: мол, хватит делать деньги, пора подумать и о деле) и незаметным запуском на инфицированной машине командной оболочки, допускающей удалённое управление. В процессе своей работы Blaster нередко вызывает перезагрузку системы, но главное его негативное свойство проявляется всё же в другом: ведя работу по обнаружению новых жертв, червь генерирует большой объём трафика, приводя к заторам в локальных сетях. Ситуация усугубляется тем, что параллельно с основным вирусом действуют два его конкурента (тоже MSBlast, но с индексами B и C), не распознающие друг друга и потому способные инфицировать одну и ту же машину по отдельности.

Почти полное отсутствие внешних проявлений червя и массовая лень пользователей Windows сделали своё чёрное дело: за неделю с небольшим Blaster сумел заразить около 570 тысяч машин по всей планете (данные Symantec). Среди жертв - не только рядовые сетяне, но и крупные, а главное серьёзные компании и организации: шведский Интернет-провайдер TeliaSonera, американские Федеральный резервный банк Атланты и автопроизводитель Maryland Motor, многие другие (только в Японии зафиксировано около полутысячи заражений корпоративных систем, включающих порой сотни компьютеров). Сказался Blaster и на быстродействии Сети: Keynote Systems отметила массовые потери пакетов и большие задержки в работе отдельных крупных Интернет-магистралей в США.

Избежать заражения вроде бы просто - нужно всего лишь поставить на систему заплатку, которую Microsoft выпустила ещё в середине июля. Но и здесь есть свои подводные камни, поспособствовавшие развитию эпидемии. Прежде всего, отсутствует патч для Windows NT, поддержку которой Microsoft прекратила. Кроме того, устанавливая патч, необходимо тщательно следить за этим процессом, поскольку в ряде случаев (нехватка свободного места на жёстком диске и т.п.) сам патч не устанавливается, а вот запись об успешном завершении инсталляции в системном реестре делается. В дальнейшем, проверка системы через службу Windows Update (которая, кстати, переехала на адрес windowsupdate.microsoft.com) выдаёт положительный результат, хотя заплатка на самом деле не установлена - и компьютер остаётся подвержен заразе. Из-за этой недоработки незащищёнными (и, в конце концов, павшими жертвами червя) остались тысячи машин, в том числе и один из крупных серверов армии США.

На борьбу с эпидемией вышли не только профессионалы из антивирусных компаний. Неким добропорядочным вирусописателем был создан и выпущен на волю ещё один вариант вируса Blaster - MSBlast.D Известный также под именем Welchia, он самостоятельно обнаруживает и уничтожает копию Blaster, если таковая имеется на машине. Помимо этого, Welchia скачивает с сервера Microsoft и устанавливает на компьютер нужную заплатку. Наконец, в 2004-м Welchia должен самоустраниться с компьютера. Несмотря на понятный ореол романтики, которым окружена эта история, MSBlast.D отнюдь не идеальный лекарственный препарат: для своего распространения вирус использует тот же механизм, что и сам Blaster, порождая дополнительную волну трафика.

Впрочем, сам факт того, что идея автоматического обновления программного обеспечения появилась в такой момент, показательна. Пользовательская лень, о которую разбиваются все потуги специалистов по компьютерной безопасности, лень, которая служит одним из главных факторов, способствующих вспышкам эпидемий - это уже клинический случай, требущий лечения в принудительном порядке. Эпидемия Blaster стала последней каплей - и в Microsoft серьёзно задумались над реализацией в следующей версии Windows механизма автоматической установки заплаток. Окончательного решения насчёт Windows Longhorn пока нет, но, если судить по высказываниям высших чинов компании, идею считают своевременной и перспективной. Кроме того, согласно тем же высказываниям, пользователи Windows, владеющие скоростным подключением к Сети, сегодня и сами не против такого решения. Сколь полезной окажется автоматический апдейт на самом деле и согласитесь ли вы активизировать его на своей машине? Подключайтесь к дискуссии, обсудим!

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.