1.8 секунды, которые спасли Интернет

Anton \"Ariokh\" Zhbankov написал(а) к All в Aug 03 13:39:56 по местному времени:

Welcome to Darkness, All.

www.viruslist.com/index.html?tnews=1001&id=2728073.htm

12.08.2003

1,8 секунды, которые спасли интернет

"Лаборатория Касперского" сообщает о начале крупномасштабной эпидемии нового
сетевого червя Lovesan. За несколько часов он сумел достичь вершины списка
самых опасных вредоносных программ и вызвать многочисленные заражения
компьютеров.

Lovesan проникает на компьютеры через недавно обнаруженную брешь в сервисе DCOM
RPC операционной системы Microsoft Windows и потенциально способен производить
на подконтрольном компьютере любые манипуляции. Ошибке, которая была обнаружена
лишь недавно, подвержены все серверные версии Windows NT, начиная с 4.0 и
заканчивая Server 2003, что и обусловило взрывной характер эпидемии.

Lovesan - не первая вредоносная программа, атакующая компьютеры через эту
брешь: лишь неделю назад в интернете был обнаружен червь Autorooter не имевший,
в отличие от своего последователя, полнофункциональной системы автоматического
распространения. "Лаборатория Касперского" прогнозировала подобное развитие
событий и рекомендовала пользователям принять необходимые меры
предосторожности.

"Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой
информационной шумихой, поднятой вокруг нее две недели назад, и наличием
готовых примеров проведения атаки, которые доступны на многих маргинальных
web-сайтах",
- комментирует Евгений Касперский, руководитель антивирусных исследований
"Лаборатории Касперского".

В процессе распространения Lovesan сканирует порт 135 TCP/IP в поисках уязвимых
компьютеров и проверяет возможность проведения атаки. Если соответствующее
обновление Windows не установлено, червь осуществляет закачку на компьютер
своего файла-носителя MSBLAST.EXE. Этот файл затем регистрируется в секции
автозагрузки системного реестра Windows и запускается.

Опасность червя заключается даже не столько в несанкционированном проникновении
на компьютеры пользователей, сколько в генерации огромного объема "мусорного"
трафика, переполняющего каналы передачи данных интернета.

"На этот раз интернет спасла запрограммированная в Lovesan 1,8-секундная
задержка между попытками заражения других компьютеров. В черве Slammer,
вызвавшем в январе этого года десегментацию и замедление сети, такой задержки
не было",
- продолжает Евгений Касперский.

Основной вредоносной функцией Lovesan является активизирующийся 16 августа
механизм DDoS-атаки на сайт windowsupdate.com, на котором находятся те самые
обновления для операционных систем семейства Windows. В этот день веб-сайт
подвергнется массированной бомбардировке пакетами данных с зараженных
компьютеров, в результате чего может стать недоступным.

В целях противодействия угрозе необходимо немедленно установить обновление для
Windows, закрывающее брешь, и по возможности заблокировать с помощью
межсетевого экрана TCP/IP-порты 135, 69 и 4444, если они не используются
другими приложениями.

Более подробная техническая информация доступна в "Вирусной энциклопедии":

Worm.Win32.Lovesan

Вирус-червь. Распространяется по глобальным сетям, используя для своего
размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание
приведено в Microsoft Security Bulletin MS03-026...


Worm.Win32.Autorooter

Является набором Win32 EXE-файлов (компонент). По своей функциональности схож с
сетевым Win32-червем: распространяется по локальным или глобальным сетям,
однако в данной версии червя эта функция полностью не реализована...
Данил Гридасов

Источник:
Разработчик антивирусного ПО - Лаборатория Касперского

... Вокруг Галилея постоянно вертелась Земля, норовя стать ему пухом.
--- Darkness is waiting for you, mortal...