Центр исследования компьютерной преступности

home контакты

Почему случился Mydoom?

Дата: 16.02.2004
Источник:
Автор: Наталья Сергеева


27 января Интернет охватила глобальная эпидемия, вызванная новым червем MyDoom. По силе и скорости распространения эта вспышка бьет все рекорды прошлых лет, что говорит о серьезной подготовке вредоносной акции ее инициаторами. Вирус автоматически распространяется по миллионам электронных адресов во всем мире, представляя большую угрозу для компьютеров. Предугадать новую вирусную эпидемию и безошибочно спрогнозировать, откуда ждать следующего удара кибер-преступников, так же невозможно, как и заранее спрогнозировать террористическую атаку в реальной жизни. Например, многие антивирусные эксперты с большой долей вероятности прогнозировали появление 27-28 января новой версии червя Bagle, однако вместо него пришел Mydoom. Почему не была отслежена и заблокирована сеть зараженных компьютеров, из которых рассылался новый червь? Почему эта рассылка достигла своих получателей? Почему столько пользователей соблазнилось "отказами" почтовиков? Какие меры принимаются по предотвращению подобных эпидемий? Что делать пользователю, чтобы не заразиться в опасный период? Почему вообще возникают в Сети эпидемии? Кто в этом виноват, и что нужно делать, чтобы прекратить, наконец, эти бедствия?


На эти и другие вопросы согласился ответить Александр Гостев, ведущий антивирусный эксперт "Лаборатории Касперского". Проблемами вирусов и антивирусов Александр занимается с 1996 года. В "Лаборатории Касперского" он специализируется на анализе глобальных вирусных эпидемий. Еще одна область работы - анализ скриптовых и макровирусов. В рамках работы в "Лаборатории" Александр также является координатором проекта WildList Russia.



Мы знаем, что постоянно в Интернете вирусописателями ведутся "работы" по созданию новых сетей из сотен и тысяч "зомби"-машин. Например, в начале января мы столкнулись с одной из таких попыток, когда при помощи широковещательных рассылок в ICQ, а также спам-рассылок по почте, определенная группа вирусописателей, российско-германская по составу, пыталась распространить в Интернете новую троянскую программу Mitglieder. С ее помощью через зараженный компьютер можно рассылать спам, воровать любые данные с этого компьютера или устанавливать на него различные троянские программы.


Число таких сетей, по нашим оценкам, может исчисляться десятками. Каждая из них "управляется" какой-либо вирусописательской или спамерской группой. Любая из этих сетей в любой момент может быть использована для организации очередной эпидемии. Что касается принимаемых нами мер по предотвращению... Если нам становится достоверно известно, что какая-либо из машин в Интернете заражена, мы стараемся выйти на контакт либо с ее владельцем, либо с его провайдером с целью устранения проблемы.


Кроме этого, поскольку такие компьютеры принимают участие в рассылке спама, специальные организации по борьбе со спамом ведут так называемые "черные списки". В эти списки попадают адреса компьютеров, рассылающих спам. После попадания в список почта с этой машины не будет приниматься почтовыми серверами, которые используют "черные списки" для защиты от спама. Благодаря этому удается в течение двух-трех месяцев полностью "забанить" большинство "зомби"-машин, входящих в одну из таких "сетей". К сожалению, это же означает начало создания новой.



В случае с Mydoom, видимо, была использована заранее подготовленная сеть, через нее не рассылался спам, она тщательно скрывалась и тестировалась какое-то время. За пару недель до начала эпидемии появилось предупреждение о возможном появлении "суперчервя", для рассылки которого будет использована сеть из компьютеров, зараженных Backdoor.Sinit. Действительно ли именно эта сеть была использована для массовой рассылки Mydoom - сказать сложно, но то, что это было сделано при помощи аналогичной технологии - несомненно. Мы были готовы к появлению 27-28 января новой версии червя Bagle, однако вместо него случился Mydoom.


Kомпьютерная преступность


Картина возникновения эпидемии понятна - в один прекрасный момент в эту сеть была отправлена централизованная команда рассылки Novarg, и Интернет захлестнул поток зараженных писем. Интересует вопрос - почему этот поток достиг своих адресатов? Ведь почтовый сервер без установленного на нем антивируса сейчас большая редкость - будь то сервер провайдера или бесплатный почтовый сервис. Можно, конечно, допустить, что не все "почтовики" удосужились обновить свои вирусные базы, но почему приходили инфицированные письма с почтового ящика Mail.ru? И продолжалось это 27 января с самого утра до 2-х часов дня.


Я не берусь судить о работе антивирусных фильтров, установленных на Mail.ru. Насколько мне известно, до недавнего времени там была установлена антивирусная защита от Dr.Web, использовалась ли она во время эпидемии - мне не известно.


Еще более любопытным можно назвать то обстоятельство, что зараженные письма до сих пор продолжают приходить, хотя, по идее, должны обезвреживаться прямо на почтовых серверах. Причем обезвреживаться "молча", а не так, как происходит сейчас - поток сообщений об уничтоженной заразе превышает число доставленных инфицированных писем. Кроме того, приходят уведомления о том, что я сама послала сообщение с вирусом, причем, с адреса [email protected]. А это невозможно сделать в принципе, поскольку сервис на "Спамтесте" служит лишь для разметки почты на спам и пересылки на реальные адреса.


Kомпьютерная преступность



К фальшивым письмам от "Microsoft" или к открыткам от "любимых" большинство пользователей, наученных горьким опытом предыдущих эпидемий, сейчас относятся крайне настороженно. А вот ложные "сообщения об ошибке при отправке письма" пока еще представляют собой некую новинку. Нет, конечно, Mydoom - не первый червь, который маскируется таким образом, но пока только ему удалось реализовать это в полной мере.



Я бы не стал так уверенно говорить о том, что опытные пользователи заразились данным червем. Все-таки, как мне кажется, пострадали опять именно те пользователи, которые абсолютно пренебрегают средствами защиты. Ведь антивирусные компании очень оперативно отреагировали на появление червя, и обновления антивирусных баз для его детектирования были доступны уже практически в первые часы начала эпидемии.


Очень показателен в этом плане анализ тех писем с червем, которые поступали в нашу "Лабораторию" на второй-третий день эпидемии. Начали поступать письма с червем, зараженным еще каким-либо файловым вирусом. Например, Mydoom+Spaces.1445 или Mydoom+CIH. Вы только представьте - сколько времени прошло с эпидемии CIH, а где-то до сих пор есть компьютеры, зараженные им, и они же сейчас заразились еще и Mydoom. По нашим оценкам, число таких машин в Интернете составляет несколько десятков тысяч.


Те письма с червем, которые все-таки попали в ваши ящики - очевидно, были отправлены вам в тот момент, когда на почтовом сервере еще не было установлено обновление антивирусных баз, содержащее процедуры детектирования Mydoom - "отказы" почтовых серверов.


Признаться, поначалу у меня самого были соблазны открыть кое-какие "отказы", особенно те, которые были связаны с именами известных и важных адресатов. Насторожило обилие таких интересных посылок и давняя привычка уничтожать подобное при получении.


Еще пара примеров на эту же тему. За время эпидемии на наш почтовый ящик пришли письма с червем, в качестве обратного адреса у которых значились такие люди, как Линус Торвальдс (создатель Linux) или Дмитрий Вернер (Anekdot.ru). Тоже, наверное, было бы интересно узнать, а что же это они нам прислали? Ждем письма от Билла Гейтса.


Kомпьютерная преступность


И второй пример. Один знакомый, прекрасно осведомленный об эпидемии и о том, какие признаки имеет зараженное письмо, спрашивает у меня: "А можно открывать вложение message.zip, в котором файл message.scr?" На мой логичный вопрос: "Зачем?" следует не менее логичный ответ: "А я от одной фирмы прайсы жду. Может, это они?"



В случае с Mydoom заражению подвергнется только машина администратора. На первом этапе. А потом червь начнет рассылать себя по адресам пользователей в этой же организации. Понятно, что последствия могут быть самыми плачевными.


И все же, почему пользователи запускают файлы-вложения? Причем, делают это даже те, кто прекрасно знает об опасности такого поведения. Может быть, не действуют на них предупреждения, опубликованные в Интернете и в бумажных изданиях? Может быть, пора развешивать плакаты на улицах: "А ты установил антивирус?!", "Не запускайте почтовые вложения!".


Kомпьютерная преступность


Проводился специальный опрос, среди людей, профессионально занимающихся средствами информационной защиты, антивирусных специалистов. Вопрос был очень простой: "Представьте, что вы хотите купить новый автомобиль. Вам приходит по почте спам, в котором рекламируется фирма по продаже автомобилей. Вы откроете это письмо?" Из двадцати человек трое ответили "Да".


На этом принципе социального инжиниринга работает весь современный бизнес, это основы маркетинга. Всегда найдутся люди, которые запустят вложение, откроют DOC-файл, сходят по ссылке. Единственный выход - это создание максимально безопасной среды на локальном компьютере. То есть - установка антивируса, файр...

Добавить комментарий
Всего 0 комментариев

Copyright © 2001–2005 Computer Crime Research Center

CCRC logo
UA  |  EN
Рассылка новостей



TraCCC