Mydoom: вторая серия
АрхивКак и предсказывали разные умные люди, 12 февраля эпопея с вирусом Mydoom не закончилась. Напомним, что по истечении этой даты червь прекращает собственное распространение и DoS-атаки на сайты SCO и Microsoft. Однако свято место пусто не бывает: уже 8 января в Сети появился наследник Mydoom — червь Doomjuice, предположительно написанный тем же автором.
Как и предсказывали разные умные люди, 12 февраля эпопея с вирусом Mydoom не закончилась. Напомним, что по истечении этой даты червь прекращает собственное распространение и DoS-атаки на сайты SCO и Microsoft. Однако свято место пусто не бывает: уже 8 января в Сети появился наследник Mydoom — червь Doomjuice, предположительно написанный тем же автором.
За пару дней Doomjuice, по данным «Лаборатории Касперского», успел заразить более ста тысяч компьютеров по всему миру. Такая резвость новой заразы объясняется тем, что Doomjuice использует для размножения машины, уже инфицированные одной из версий Mydoom. Проникновение осуществляется через порт TCP 3127, открываемый троянским компонентом Mydoom для приема удаленных команд. Если зараженный компьютер отвечает на запрос червя, то Doomjuice устанавливает соединение и пересылает свою копию на очередную жертву. А троянец из комплекта Mydoom организует «теплую встречу» гостя и запускает его на исполнение.
Прописавшись в ключе автозапуска системного реестра, Doomjuice начинает вытворять самое интересное: червь извлекает из себя файл с именем SYNC-SRC-1.00.TBZ и копирует его в несколько директорий (в том числе в пользовательский каталог Documents and Settings). В этом файле находится TAR-архив с исходными текстами штамма Mydoom.a1. По всей видимости, делается это для того, чтобы распространив оригиналы Mydoom.a на большое число компьютеров, замести следы и сделать невозможным поимку настоящего автора червя (попробуй-ка докажи, что исходные образцы кода червя подозреваемый написал сам).
Ну и конечно, Doomjuice нельзя было бы назвать полноценным наследником Mydoom, если бы он не подхватывал основную пиар-миссию предшественника — DoS-атаку на сайт Microsoft.com (SCO быстро уклонилась от битвы, изменив DNS-записи, так что автор, видимо, счел, бодаться с ней и дальше скучно). До 12 февраля атаки производились в «легком режиме» (с паузами между GET-запросами), а после того, как Mydoom вышел из игры, Doomjuice пришлось работать уже «по-взрослому», безостановочно бомбардируя ложными пакетами сайт Microsoft. Строка «червивого» запроса полностью имитирует формат обращения Internet Explorer, так что отфильтровать ложный трафик практически невозможно.
Эпидемия Mydoom оставила после себя не только червя-наследника, но и целый шлейф слухов и домыслов. Так, в конце января на множестве сайтов было опубликовано якобы новое открытие, сделанное в ходе анализа кода Mydoom.a неким «независимым исследователем» Юари Босниковичем (Juari Bosnikovich). Согласно его высказываниям, антивирусные компании скрывают правду о ряде функций, присутствующих в коде вируса. Так, Юари утверждает, что червь создан на ассемблере, но таким образом, чтобы выглядеть написанным на языке C++. А из этого якобы следует, что большая часть функциональности Mydoom осталась нераспознанной борцами с вирусами. Для окончательного запугивания читателей «аналитик» приводит следующие факты: червь внедряется в BIOS компьютера и записывает туда код длиной 624 байта. При превышении системной датой 12.02.2004 код открывает один из TCP-портов компьютера. В конце концов, Босникович выдвигает предположение о всемирном заговоре антивирусных компаний, которые «пытаются что-то скрыть».
Верится с трудом. Во-первых, при антивирусном исследовании язык программирования образца не имеет никакого значения. Объект внимания антивирусных аналитиков — результаты работы дизассемблера, которые отражают свойственные зловредному коду функциональные возможности независимо от языка программирования, при помощи которого этот код был создан. Во-вторых, записать в CMOS BIOS вредоносный код длиной 624 байта попросту невозможно. Даже если теоретически допустить такую возможность, то для внесения в BIOS новых данных придется удалить из прошивки какую-либо информацию для высвобождения места, а после этого запустить компьютер вряд ли удастся. Наконец, для открытия порта TCP/IP нужен соответствующий сетевой протокол, управляющийся не BIOS, а исключительно операционной системой. Иначе говоря, «открыть TCP-порт из BIOS» принципиально невозможно.
Четвертьмиллионные награды, объявленные за голову автора Mydoom компаниями SCO и Microsoft, породили массу спекуляций относительно страны происхождения вируса. Авторы большинства публикаций практически не сомневаются, что червь написан в России. Действительно, первые перехваченные электронные письма, содержащие копии Mydoom.a, были направлены с компьютеров, расположенных в нашей стране. Однако в последующие минуты поток зараженной Mydoom корреспонденции распределился — источниками сообщений стали территориальные зоны со всего мира, преимущественно относящиеся к европейскому региону. Из нашей страны были получены и первые образцы следующей версии червя — Mydoom.b. Но может ли это стопроцентно свидетельствовать о принадлежности авторов программы к российскому компьютерному андеграунду?
То, что огромная скорость распространения Mydoom.a была вызвана применением спам-технологий, не подлежит сомнению. А значит, версия вирусописателя-одиночки исключена. Сегодня организация рассылки спама — достаточно сложный и дорогостоящий бизнес. Для успеха массовой рассылки необходимо сложное программное обеспечение, генерирующее уникальные сообщения для каждого получателя. А для создания большого количества вариантов одного и того же сообщения нужно привлечь профессиональных редакторов. Таким образом, только подготовка и реализация почтовой рассылки, подобной эпидемии Mydoom.a, требует участия целой группы. Обязанности членов сообщества обычно распределены по видам деятельности: хостинг серверов и сопровождение программного обеспечения, сбор и проверка адресов, написание программ для рассылки, захват пользовательских машин и управление ими и т. д..
Следовательно на данном этапе нельзя говорить о какой-либо территориальной принадлежности источника эпидемии. То, что первые зараженные Mydoom.a сообщения исходили из России, может лишь указывать на российское происхождение ряда участников группы. Более того, вполне возможно, что с целью дезориентации следствия злоумышленники удаленно использовали зараженные троянскими компонентами компьютеры, находящиеся в России. Поэтому базовая информация об источниках первых писем с червем не может служить основанием для обвинения в отцовстве Mydoom исключительно отечественных вирусописателей.
1 Через три дня после появления исходной версии вышла модификация Doomjuice.b, которая сосредоточена исключительно на DoS-атаках, а исходники Mydoom уже не распространяет.