Каждый раз вирусописателям необходимо придумать ту «изюминку», на которую попадутся сотни тысяч, миллионы пользователей во всем мире
Первая масштабная эпидемия нынешнего года подтвердила опасения экспертов по информационной безопасности — сетевые черви становятся изощреннее, и вряд ли в ближайшее время следует ожидать, что их авторы оставят ИТ-сообщество в покое. Вирус MyDoom (в иных классификациях Novarg и Mimail.R) распространился по миру довольно быстро. Начало эпидемии пришлось на понедельник, 26 января. Практически сразу же MyDoom/Nov?arg объявился чуть ли не во всех частях света — в США, России, Японии, Новой Зеландии. Представители компаний, разрабатывающих антивирусные программы, сош?лись во мнении, что скорость распространения этого червя оказалась выше, чем у рекордсмена прошлого го?да — Sobig.F.
«Как и в большинстве случаев глобальных эпидемий, в данном случае мы столкнулись с умелым сочетанием приемов социальной инженерии и сугубо технических, — отметил автор программы Dr. Web Игорь Данилов. — Каждый раз вирусописателям необходимо не просто безупречно составить вирусный код, чтобы он работал в любых системах «без сучка без задоринки», они должны придумать ту «изюминку», на которую попадутся сотни тысяч, миллионы пользователей во всем мире. Эта «изюминка» в случае с червем MyDoom — представление инфицированного письма неким ответом почтового сервера. Все люди, пользующиеся электронной почтой, прекрасно знакомы с этим явлением. И все не считают зазорным открыть этот ответ и посмотреть, что там в действительности написано».
MyDoom/Novarg прибывал в прикрепленном файле с расширением EXE, SCR, ZIP или PIF. Тема и содержание письма-носителя варьировались |
MyDoom/Novarg прибывал в прикрепленном файле с расширением EXE, SCR, ZIP или PIF. Тема и содержание письма-носителя варьировались. Заражению оказались подвержены системы под управлением Windows 95, 98, Me, NT, 2000 и XP. В случае запуска вложенного файла вирус саморассылался по адресам из локальной адресной книги и в случае присутствия в системе клиента P2P-сети Kazaa копировал себя в каталог доступных для «скачивания» файлов.
Как утверждает Аллан Белл, директор по маркетингу Network Associates Asia-Pacific, основным результатом деятельности червя стало засорение очередей исходящих сообщений на почтовых серверах. «Данный почтовый вирус самостоятельно генерировал исходящие адреса. Это приводило к ошибкам и возврату писем, за счет чего генерировался дополнительный трафик», — пояснил он.
Внедряемый червем «троянец» открывал в поражаемых системах порты в диапазоне 3127-3198. Этим немедленно воспользовались хакеры. По данным ряда компаний, специализирующихся в сфере ИТ-безопасности, в первые дни после начала эпидемии MyDoom/Novarg заметно возросла активность по сканированию упомянутых портов.
Кроме того, MyDoom/Novarg был запрограммирован на организацию DDoS-атаки, в своей первой версии — на сайт www.sco.com. Следом появилась модификация, атакующая еще и сайт www.microsoft.com. The SCO Group объявила, что предлагает награду в сумме до 250 тыс. долл. «за любую информацию, которая поможет арестовать индивидуума или индивидуумов, ответственных за создание MyDoom». Еще столько же предложила и Microsoft.
«Опасность сращивания вирусных и спам-технологий, формирования объединенной, мотивированной сети киберпреступников становится реальностью, — отметил в своем комментарии Евгений Касперский, руководитель антивирусных исследований компании «Лаборатория Касперского». — Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями».