Этот червивый, червивый мир...
АрхивКолонка ЗолотоваАнтивирусные разработчики, предупреждающие об эпидемии компьютерного червя Korgo, с сожалением констатируют: май стал месяцем рекордной активности вирусописателей.
Очередная напасть свалилась на головы многомиллионной армии пользователей Microsoft Windows: вирусное семейство Korgo, первый представитель которого было обнаружен в Сети в конце мая, насчитывает сегодня уже шесть (по крайней мере, зарегистрированных антивирусными компаниями) вариантов. Последний из племени, Korgo-F, назван экспертами самым агрессивным. И именно на него приходится большая часть заражений, общее число которых, по разным оценкам, варьируется от сотен тысяч до нескольких миллионов.
Korgo - крохотный, десятикилобайтный "червь", инфицирующий компьютер незаметно. Для своего проникновения вирус использует уязвимость в операционных системах MS Windows XP и Windows 2000, которая позволяет заставить удалённую машину выполнить произвольный код. Уже заражённые компьютеры беспорядочно сканируют адресное пространство Сети и, натыкаясь на Windows-машины с нужными открытыми портами (113, 445, 3067 или 6667), пытаются выполнить на этих компьютерах копию Korgo. В случае, если пользователь не потрудился установить соответствующую "заплатку", попытка заражения удаётся: операционная система сообщает о некой фатальной ошибке, после чего следует перезагрузка, и новая копия вируса принимается за своё чёрное дело.
Несмотря на то, что разновидности Korgo ходят по Сети уже пару недель, авторы (скорее всего, российская хакерская группа) потрудились на славу: алгоритмы работы Korgo пока до конца не раскрыты. Достоверно известно лишь, что Korgo открывает на инфицированной машине "чёрный ход", выполняя роль клиента удалённого управления. Посредством прямого обращения к заражённому компьютеру или подачи соответствующих команд через IRC-каналы авторы вируса могут руководить его работой, в частности, перехватывая пароли и финансовую информацию (номера кредитных карт и пр.). Здесь мнения экспертов расходятся: некоторые считают, что Korgo, заразив машину, сразу приступает к шпионажу за действиями пользователя, другие полагают, что авторы вируса сами инсталлируют дополнительную программу-шпион, используя "чёрный ход". В любом случае, этого с лихвой хватило, чтобы попавшим под эпидемию пользователям начали рекомендовать немедленно менять все свои пароли и блокировать кредитные карты. Что, собственно, и стало причиной повышенного внимания к семейству Korgo в Европе и США.
Способов защититься от Korgo два: поставить патч от Microsoft или активировать сетевой фильтр (судя по всему, встроенный в Windows XP брандмауэр тоже годится). Тем, кто уже стал жертвой, стоит воспользоваться обновлёнными программами-антивирусами либо специальными утилитами для удаления "червя" с машины.
Ирония всей этой истории и её единственный забавный момент заключаются в том, что Korgo - всего лишь клон другого вируса, нашумевшего в мае. Авторы Korgo произвели своё детище из "червя" Sasser, по некоторым данным (Sophos), виновного в половине всех выявленных в прошлом месяце случаев заражения компьютерными вирусами. И Korgo, и Sasser используют для проникновения одну и ту же уязвимость Windows, "заплатку" для которой Microsoft выпустила ещё в середине апреля. Однако эпидемии бушуют и по сей день...
К слову, автора Sasser поймали: им оказался некий немец, сознавшийся, помимо прочего, в разработке некоторых вариантов вируса NetSky (вторая по популярности после Sasser майская зараза). Но палочка в вирусной эстафете уже передана, и состязание кажется бесконечным. Апрель и май единодушно названы несколькими антивирусными разработчиками периодом пиковой активности вирусописателей. В частности, по данным Sophos, в мае были зарегистрированы почти тысяча новых вирусов, что является рекордным показателем за последние два с половиной года. "Лаборатория Касперского", Sophos и Symantec расходятся в цифрах, но согласны в общей оценке: обстановка с вирусной опасностью никогда ещё не была столь тяжёлой. Причин тому много. Сказывается популяризация выделенных интернет-соединений: инфицированный десктоп на "выделенке" оказывается превосходным рассадником заразы. Сказывается непонимание продавцов и безалаберность покупателей: новые компьютеры, как правило, оснащаются базовым дистрибутивом Windows, без каких-либо патчей. Всё больше проблем доставляет главная слабость корпоративных сетей: отгороженные от пертурбаций внешнего мира брандмауэром десятки и сотни персоналок в локальных сетях моментально инфицируются, когда один из сотрудников приносит в сеть заражённый ноутбук. А в скором времени обещает сказаться и естественный коммерческий эгоизм Microsoft: второй сервис-пак для Windows XP будет невозможно установить на значительную часть пиратских копий системы (копии, зарегистрированные на один из нескольких популярных у пиратов серийных номеров).
По оценке специалистов (уже упоминавшейся выше Sophos), компьютерных пользователей сегодня терроризирует армия примерно из девяноста тысяч разновидностей вирусов. Старые вирусы не умирают. Теряя популярность, они остаются в Сети навсегда, неизменно отыскивая слабые места. Благо, условия располагают...