В интернете с угрожающей
быстротой распространяется новый
компьютерный вирус W32.Blaster.Worm (другое
название LoveSun). Согласно экспертным оценкам,
вирус уже успел поразить сети 400 компаний в
США и Европе, в том числе и в России, всего -
около 20 тыс. персональных компьютеров. В МВД
Австрии сообщают, что в ночь на среду LoveSun
атаковал компьютерные системы многих
австрийских компаний.
Специалисты считают, что
реальное количество зараженных
компьютеров может быть значительно больше,
и уже достигает сотен тысяч. Однако их
владельцы пока не подозревают об опасности
- новый вирус находится в "спящем"
состоянии и пока не дает о себе знать.
Особенностью LoveSun является том, что он как
бы заранее создает "плацдарм" для
самой большой в истории интернета атаки
против программ Microsoft, которая начнется 16
августа в 00:00 часов. В тексте вируса
содержится обращение к главе компании
Биллу Гейтсу с призывом "прекратить
делать деньги и исправить программное
обеспечение".
Червь существует в виде файла msblast.exe
длиной 6176 байт, упакованного утилитой
сжатия UPX. Проявление червя характеризуется
резким увеличением трафика по порту 135 (DCOM RPC),
а также самопроизвольным перезапуском
компьютеров, находящихся в сети и
работающих под Windows XP (в компьютерах под Windows
2000 возможно появление сообщения об ошибке
системной программы svchost.exe).
Поразив компьютер, червь
производит сканирование произвольных IP-адресов
по порту 135 (сначала в локальной подсети, а
затем за ее пределами) в поисках новых
потенциальных жертв, то есть систем с
уязвимостью DCOM RPC.
Найдя такой компьютер, червь
посылает на его 135 порт специально
сконструированный запрос, который имеет
целью предоставить "атакующему"
компьютеру полный доступ к "атакуемому",
а в случае удачи - открыть порт 4444 для
прослушивания и ожидания последующих
команд.
Одновременно червь слушает порт
69 UDP на первоначально зараженном компьютере
и, когда от новой жертвы к нему поступает TFTP-запрос,
посылает в ответ команду загрузить свой
собственный код (файл msblast.exe).
Этот код помещается в системный
каталог Windows и запускается, при этом
прописывая ссылку на самого себя в
системный реестр Windows c целью
автоматического запуска червя при старте
последующих сессий Windows.
С этого момента новая жертва
начинает действовать, как самостоятельный
источник заражения.
"LoveSun использует технологию
распространения, схожую с нашумевшим в
январе этого года сетевым червем Slammer, -
говорит эксперт "Лаборатории Касперского". - Правда, в его
распространении заложена некоторая
задержка, поэтому глобального хаоса
ожидать не приходится".