10 лет назад 10 мая 2009 в 14:21 60

Угроза тотальной вирусной эпидемии

Чем ближе подходила вроде бы вполне веселая и безобидная дата 1 апреля, тем сильнее напрягалось сетевое сообщество, озабоченность которой подогревалась тревожными новостями из антивирусных компаний. Именно в этот день прогнозировалось срабатывание мины замедленного действия, заложенной в новом и крайне опасном черве.

Ожидалось, что 1 апреля кардинально возрастет число DDoS- и спам-атак, исходящих из крупнейшей в истории интернета бот-сети, созданной семейством червей Conficker (он же – Downadup, Downup, Kido). Антивирусные компании заявляли, что бороться с такой киберпандемией почти невозможно, ведь управляющий пул червя состоит из 50 тыс. доменов, а при таком количестве постоянно обновляемых URL-адресов блокировать команды от владельцев бот-сети компьютерам-зомби чрезвычайно сложно.

Впервые Conficker (название можно перевести как “насильник конфигураций”) был замечен в октябре-ноябре 2008 года, и все это время весьма успешно распространялся. Причем самыми разными путями: через уязвимость в Windows (используя дыру в службе Server, червь сам себя закачивает из Сети даже на ПК с самой последней на сегодня Windows 7 Beta), с помощью внешних носителей, через p2p-сети и общие папки внутри локальных сетей. Червь оказался способен даже подбирать пароли к имеющимся почти на всяком ПК скрытым ресурсам общего пользования – папкам ADMIN$. Попав же на ПК жертвы, червь блокирует работу антивирусов, запрещает доступ к сайтам их производителей, отключает некоторые службы (например, Windows Defender), вносит изменения в работу локальной службы DNS, может скачивать и устанавливать другое вредоносное ПО. Червь способен даже защищать себя от конкурентов, устанавливая в системе заплатку для уязвимости, через которую в нее могут проникнуть другие вирусы.

Благодаря столь мощным возможностям ему и удалось создать самую крупную на сегодня бот-сеть: по наиболее параноидальным оценкам уже поражено до 15 млн компьютеров во всем мире (говорят, что ранние версии червя обходили стороной Украину, возможно, родину его создателей). Даже Бундесвер и Минобороны Великобритании не избежали заражения – вирус нашли чуть ли не на подлодках. Дело дошло до того, что в Microsoft пообещали награду в $250 тыс. за информацию об авторах вируса. Но пока награда ждет своего героя, звучат версии о том, что создатели зловреда все же родом из Китая.

И вот именно на 1 апреля эксперты пророчили активизацию всего этого кошмара. Что именно должна была сделать гигантская зомби-сеть, было неясно, но ожидалось, что каждый экземпляр уже несколько раз модифицированного и усложненного червя подгрузит и согласованно запустит что-то уж совсем оригинальное.

К счастью для всех, никакого ужаса вроде бы пока не произошло и аномального повышения активности ботнета не обнаружено. Как говорят эксперты Microsoft (technet.microsoft.com/en-us/security/dd452420.aspx), на 1 апреля в черве было запрограммировано лишь обновление базы управляющих доменов и, возможно, обновление версии самого червя, что, впрочем, вполне может происходить и в любой другой день.

Значит ли это, что можно расслабиться? Наоборот. То, что никакого интернет-армагеддона на этот раз не произошло, совсем не повод забыть о защите. Миллионы зараженных Conficker компьютеров никуда не делись и, возможно, все еще ждут своего часа. Причем червь постоянно совершенствуется и становится все опаснее, все неуязвимее. Например, последние его версии уже не требуют существования единого управляющего центра, работая по пиринговым технологиям, а разрушить пиринговую зомби-сеть невероятно сложно. Например, как бы ни хотели поборники авторских прав похоронить навек все эти емули и торренты, им это до сих пор не удалось. Что же будет, если подобным образом начнут плодиться и ботнеты? А будет как минимум то, что их владельцам совсем не обязательно будет встраивать в черви таймеры, поднимающие “зомбаков” в час икс. Согласованную атаку можно будет проводить в любой момент – когда пожелаешь! И первая такая сеть – Shadow – уже создана благодаря чрезвычайно профессиональным авторам Conficker, первого вируса, использующего алгоритм MD6.

Так что вполне возможно, продолжение истории не за горами – ботнету-миллионнику можно при желании найти весьма интересные способы применения. Особенно если пользователи будут все так же беспечны, как те, кто уже подцепил эту заразу и в основной своей массе даже не подозревает об этом. Впрочем, наши читатели, скорее всего, успели изучить руководство по защите и борьбе с червем, например от Лаборатории Касперского – support.kaspersky.ru/faq/?qid=208636215. Главное, чтобы паника, поднятая прессой по поводу 1 апреля, не cработала в очередной раз (как, например, в случае с ужасной проблемой 2000 года) так же, как в сказке про пастушка, который любил кричать без повода “волки, волки!” Мы, в конце концов, перестанем во все это верить, и вот тогда-то нас и съедят…

Цитата

По наиболее параноидальным оценкам червем Conficker поражено до 15 млн компьютеров во всем мире

Факты:

<china>

Канадские исследователи из SecDec Group установили масштабы влияния китайской хакерской машины на Интернет и ужаснулись. Оказывается, сетевые шпионы из КНР в настоящее время имеют доступ к компьютерам более чем в ста странах мира. Одновременно китайские хакеры следят примерно за 1300 ПК!