Самое горячее: Европа признала соцсети опасными (50); "Фобос-Грунт" уже не спасти (11); Мобильники убивают детей (26); ЕЩЕ >>
РАЗДЕЛЫ
Архив
« июль 2020  
пн вт ср чт пт сб вс
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

Sasser: новый этап в эволюции вирусов

Анатолий Ализар
| архивная статья | 05.05.2004 13:03

Червь Sasser открыл принципиально новый этап в эволюции вирусов. Теперь, чтобы заразиться, достаточно просто подключить свой компьютер к интернету и подождать несколько минут.

Те, кто прогнозировал появление новых сверхопасных вирусов, оказались правы. 1 мая 2004 г. ведущие антивирусные компании сообщили о вирусной эпидемии принципиально нового типа. Червь Sasser самостоятельно копирует себя с компьютера на компьютер без малейшей помощи со стороны пользователя.

Среди пострадавших — банки, билетные кассы авиакомпаний, 1200 компьютеров в офисах Европейской комиссии, 300 тыс. компьютеров Федеральной почты Германии и даже, как сообщает Reuters, компьютеры на 19 станциях береговой охраны Великобритании. «Нам пришлось вспомнить прошлое и делать распечатки на плоттере вместо того, чтобы использовать компьютерную картографическую систему», — сообщил агентству Reuters представитель службы береговой охраны.

В отличие от всех предыдущих вирусных эпидемий, червь Sasser для заражения не требует помощи пользователя вроде открытия вложенных файлов. Он заражает компьютер незаметно и автоматически начинает дальнейшее распространение. Поэтому эпидемия распространилась в интернете значительно быстрее, чем примитивные почтовые эпидемии прошлого. Всего за несколько часов зараженными оказались миллионы компьютеров под управлением ОС Windows 2000, NT и XP (Win98 по-прежнему неуязвима).

Ни одна антивирусная компания не успела среагировать раньше начала необратимого массового заражения пользователей. Если администраторы корпоративных сетей могли оперативно отреагировать на появление аномального тарфика по определенным портам, то у домашних пользователей не было никаких шансов, и они пострадали больше всех. Среди домашних пользователей эпидемия сейчас в самом разгаре, и вирус ежедневно копирует свои копии на новые компьютеры, которые только сейчас появляются в онлайне. Это принципиально новый этап в эволюции вирусов. Теперь, чтобы заразиться, достаточно просто подключить свой компьютер к интернету и подождать несколько минут. И всё — больше ничего не надо! Спустя еще несколько минут компьютер начнет самостоятельно перегружаться. Для неопытных пользователей это будет выглядеть по-настоящему таинственно.

По мнению специалистов, эпидемия будет постепенно спадать, но обращение червя Sasser в сети продолжится еще несколько лет. Видимо, это первый шаг к образованию так называемого «супервируса», глобальной вирусной пиринговой сети, появление которой прогнозировали эксперты.

Червь Worm.Win32.Sasser.b распространяется по глобальным сетям, используя уязвимость в службе LSASS Microsoft Windows, обнаруженную 13 апреля 2004 г. Ее описание приведено в Microsoft Security Bulletin MS04-011.

Worm.Win32.Sasser.b написан на языке C/C++, с использованием компилятора Visual C. Он имеет размер около 15872 байт, упакован ZiPack. При запуске червь регистрирует себя в ключе автозапуска системного реестра такой строчкой:

avserve2.exe = %WINDIR%\avserve2.exe

По TCP-порту 445 червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04–011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку «cmd.exe» и принимает команду на загрузку копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию.

Подробное описание червя можно найти тут и тут. Для уничтожения червя нужно обновить антивирусную базу или скачать специальный патч.

разделы:

Другие

Последние комментарии
об издании | тур по сайту | подписки и RSS | вопросы и ответы | размещение рекламы | наши контакты | алфавитный указатель

Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.

хостинг от .masterhost