На все руки мастер
АрхивКолонка ЗолотоваСотни тысяч Windows-машин по всему миру стали жертвами эпидемии очередного интернет-червя. И Phatbot, терроризирующий в эти часы Сеть, даст фору многим своим конкурентам.
Хайтек-индустрия в последнее время скупится на хорошие подарки (ждём CeBIT), и на общем сером фоне звёздочками кажутся даже самые неприятные сюрпризы судьбы. Одна из таких новинок - сетевой червь Phatbot, переживший взрывной всплеск сутки тому назад и к настоящему моменту победоносно шествующий по планете. Phatbot в некотором смысле - произведение искусства: пресса пока пишет о нём немного, но пройдёт еще пара дней, и вирус, который назван специалистами Symantec "швейцарским ножом в мире цифровой заразы", обязательно сорвёт причитающиеся ему овации.
Две уникальные черты выделяют впервые обнаруженный в понедельник Phatbot среди многочисленных конкурентов. Первая - чрезвычайно богатая функциональность вируса. Phatbot - червь, проникающий на машину жертвы самостоятельно, через уязвимости в операционной системе. Однако его набору "отмычек" позавидовали бы многие: здесь и ключи к "дырам" в системе, оставленным разработчиками (DCOM, DCOM2 и др.), здесь и средства взлома слабых мест в защите, оставленных пользователем (к примеру, Phatbot умеет подбирать пароли к "расшаренным" ресурсам Windows), здесь же и инструмент для проникновения через чёрный ход, оставленный другим вирусом - MyDoom.
Заразив компьютер, Phatbot развивает бурную деятельность по преобразованию инфицированной машины под свои нужды. Прежде всего, он меняет собственный код, чтобы избежать обнаружения антивирусными программами. Затем отключает найденные на компьютере антивирусы, блокирует соединения с сайтами их производителей, самостоятельно излечивает компьютер от некоторых известных ему вирусов (MSBlast, Welchia и др., очевидно, чтобы не мешали "нормальной" работе), устанавливает слежку за IRC-, FTP- и HTTP-трафиком для перехвата паролей и информации об аккаунтах пользователя в системе PayPal, извлекает продуктовые ключи к программам Microsoft и, наконец, по приказу своих авторов может рассылать спам. Этим функциональность Phatbot не ограничивается: список его команд насчитывает несколько десятков позиций, предоставляя авторам вируса полный контроль над инфицированными машинами. Но уже сейчас очевидно, что ребята потрудились на славу - счёт заражениям идёт на сотни тысяч.
Любопытно, что Phatbot является потомком другого, сравнительно малоизвестного вируса Agobot, от которого он унаследовал часть функций. Главная же разница между ними - и вторая уникальная черта Phatbot - в механизме удалённого управления и связи вируса с его авторами. Если Agobot использовал в качестве соединительного канала IRC-сети, то Phatbot развёртывает собственную децентрализованную пиринговую сеть. В качестве P2P-движка авторы Phatbot использовали скандально известную разработку компании Nullsoft под названием WASTE (её история была рассказана здесь в прошлом июне): эта программа позволяет наладить защищённый обмен данными между подключенными к Сети компьютерами без необходимости наличия выделенного сервера. Изначально WASTE предназначалась для организации небольших онлайновых сообществ (несколько десятков пользователей), но авторы Phatbot переработали открытый код программы, упростив его (в частности, удалив шифрование) и масштабировав вверх. Для координации действий копии Phatbot используют также промежуточное звено в виде серверов свободной файлообменной сети Gnutella, маскируясь под них. Таким образом, в настоящий момент в Сети фактически оказалась развёрнута ещё одна P2P-сеть с сотнями тысяч клиентов в ней, предоставляющих (по незнанию владельцев) не файлы, а свои вычислительные ресурсы. И достаточно одной команды, чтобы заставить всё это машинное стадо работать над решением общей задачи: рассылать спам, организовать DoS-атаку и т.п.
К сожалению, подать такую команду могут только авторы Phatbot, применившие для ограждения своей P2P-сети от посторонних лиц простой, но надёжный механизм: для подключения к сети необходим особый клиент WASTE, но главное - пароль. В теле Phatbot хранится только контрольная сумма правильного пароля, так что угадать его совсем непросто. По той же причине не удастся использовать вирусную P2P-сеть для оповещения её ничего не подозревающих участников о том, что их компьютеры инфицированы.
Чем завершится эпопея Phatbot, предположить сложно: несмотря на быструю реакцию антивирусных компаний, многие из которых уже добавили в свои продукты соответствующие средства противодействия, зараза продолжает расползаться, и не в последнюю очередь, благодаря выдающимся способностям самого вируса. Конечно, рано или поздно и его одолеют, но как и прежде, конец одной эпидемии будет означать всего лишь начало следующей...