Наталья Сергеева,
Softkey.info

Почему случился Mydoom?

27 января Интернет охватила глобальная эпидемия, вызванная новым червем MyDoom. По силе и скорости распространения эта вспышка бьет все рекорды прошлых лет, что говорит о серьезной подготовке вредоносной акции ее инициаторами. Вирус автоматически распространяется по миллионам электронных адресов во всем мире, представляя большую угрозу для компьютеров. Предугадать новую вирусную эпидемию и безошибочно спрогнозировать, откуда ждать следующего удара кибер-преступников, так же невозможно, как и заранее спрогнозировать террористическую атаку в реальной жизни. Например, многие антивирусные эксперты с большой долей вероятности прогнозировали появление 27-28 января новой версии червя Bagle, однако вместо него пришел Mydoom. Почему не была отслежена и заблокирована сеть зараженных компьютеров, из которых рассылался новый червь? Почему эта рассылка достигла своих получателей? Почему столько пользователей соблазнилось "отказами" почтовиков? Какие меры принимаются по предотвращению подобных эпидемий? Что делать пользователю, чтобы не заразиться в опасный период? Почему вообще возникают в Сети эпидемии? Кто в этом виноват, и что нужно делать, чтобы прекратить, наконец, эти бедствия?

На эти и другие вопросы согласился ответить Александр Гостев, ведущий антивирусный эксперт "Лаборатории Касперского". Проблемами вирусов и антивирусов Александр занимается с 1996 года. В "Лаборатории Касперского" он специализируется на анализе глобальных вирусных эпидемий. Еще одна область работы - анализ скриптовых и макровирусов. В рамках работы в "Лаборатории" Александр также является координатором проекта WildList Russia.

Александр, было ли известно "Лаборатории Касперского" о том, что в Сети назревает новая эпидемия? Отслеживается ли вообще создание сетей из зараженных компьютеров? И принимаются ли хоть какие-то меры по предотвращению таких глобальных эпидемий, как нашествие червя Mydoom?

Мы знаем, что постоянно в Интернете вирусописателями ведутся "работы" по созданию новых сетей из сотен и тысяч "зомби"-машин. Например, в начале января мы столкнулись с одной из таких попыток, когда при помощи широковещательных рассылок в ICQ, а также спам-рассылок по почте, определенная группа вирусописателей, российско-германская по составу, пыталась распространить в Интернете новую троянскую программу Mitglieder. С ее помощью через зараженный компьютер можно рассылать спам, воровать любые данные с этого компьютера или устанавливать на него различные троянские программы.

Число таких сетей, по нашим оценкам, может исчисляться десятками. Каждая из них "управляется" какой-либо вирусописательской или спамерской группой. Любая из этих сетей в любой момент может быть использована для организации очередной эпидемии. Что касается принимаемых нами мер по предотвращению... Если нам становится достоверно известно, что какая-либо из машин в Интернете заражена, мы стараемся выйти на контакт либо с ее владельцем, либо с его провайдером с целью устранения проблемы.

Кроме этого, поскольку такие компьютеры принимают участие в рассылке спама, специальные организации по борьбе со спамом ведут так называемые "черные списки". В эти списки попадают адреса компьютеров, рассылающих спам. После попадания в список почта с этой машины не будет приниматься почтовыми серверами, которые используют "черные списки" для защиты от спама. Благодаря этому удается в течение двух-трех месяцев полностью "забанить" большинство "зомби"-машин, входящих в одну из таких "сетей". К сожалению, это же означает начало создания новой.

Почему же "проморгали" сеть, из которой пошла рассылка I-Worm.Novarg?

В случае с Mydoom, видимо, была использована заранее подготовленная сеть, через нее не рассылался спам, она тщательно скрывалась и тестировалась какое-то время. За пару недель до начала эпидемии появилось предупреждение о возможном появлении "суперчервя", для рассылки которого будет использована сеть из компьютеров, зараженных Backdoor.Sinit. Действительно ли именно эта сеть была использована для массовой рассылки Mydoom - сказать сложно, но то, что это было сделано при помощи аналогичной технологии - несомненно. Мы были готовы к появлению 27-28 января новой версии червя Bagle, однако вместо него случился Mydoom.

Картина возникновения эпидемии понятна - в один прекрасный момент в эту сеть была отправлена централизованная команда рассылки Novarg, и Интернет захлестнул поток зараженных писем. Интересует вопрос - почему этот поток достиг своих адресатов? Ведь почтовый сервер без установленного на нем антивируса сейчас большая редкость - будь то сервер провайдера или бесплатный почтовый сервис. Можно, конечно, допустить, что не все "почтовики" удосужились обновить свои вирусные базы, но почему приходили инфицированные письма с почтового ящика Mail.ru? И продолжалось это 27 января с самого утра до 2-х часов дня.

Я не берусь судить о работе антивирусных фильтров, установленных на Mail.ru. Насколько мне известно, до недавнего времени там была установлена антивирусная защита от Dr.Web, использовалась ли она во время эпидемии - мне не известно.

Еще более любопытным можно назвать то обстоятельство, что зараженные письма до сих пор продолжают приходить, хотя, по идее, должны обезвреживаться прямо на почтовых серверах. Причем обезвреживаться "молча", а не так, как происходит сейчас - поток сообщений об уничтоженной заразе превышает число доставленных инфицированных писем. Кроме того, приходят уведомления о том, что я сама послала сообщение с вирусом, причем, с адреса [email protected]. А это невозможно сделать в принципе, поскольку сервис на "Спамтесте" служит лишь для разметки почты на спам и пересылки на реальные адреса.

Но оставим в стороне вопрос - не являются ли спамом подобные уведомления от антивирусных сканеров - и попытаемся все-таки выяснить виновников вспыхнувшей эпидемии. Mydoom не рассылал любовных писем и красивых картинок, так почему же столько пользователей попалось на удочку вирусописателей?

К фальшивым письмам от "Microsoft" или к открыткам от "любимых" большинство пользователей, наученных горьким опытом предыдущих эпидемий, сейчас относятся крайне настороженно. А вот ложные "сообщения об ошибке при отправке письма" пока еще представляют собой некую новинку. Нет, конечно, Mydoom - не первый червь, который маскируется таким образом, но пока только ему удалось реализовать это в полной мере.

Судя по скорости и амплитуде начальной вспышки заразы, "купились" на эти сообщения об ошибке с почтового сервера не только начинающие, но и опытные пользователи?

Я бы не стал так уверенно говорить о том, что опытные пользователи заразились данным червем. Все-таки, как мне кажется, пострадали опять именно те пользователи, которые абсолютно пренебрегают средствами защиты. Ведь антивирусные компании очень оперативно отреагировали на появление червя, и обновления антивирусных баз для его детектирования были доступны уже практически в первые часы начала эпидемии.

Очень показателен в этом плане анализ тех писем с червем, которые поступали в нашу "Лабораторию" на второй-третий день эпидемии. Начали поступать письма с червем, зараженным еще каким-либо файловым вирусом. Например, Mydoom+Spaces.1445 или Mydoom+CIH. Вы только представьте - сколько времени прошло с эпидемии CIH, а где-то до сих пор есть компьютеры, зараженные им, и они же сейчас заразились еще и Mydoom. По нашим оценкам, число таких машин в Интернете составляет несколько десятков тысяч.

Те письма с червем, которые все-таки попали в ваши ящики - очевидно, были отправлены вам в тот момент, когда на почтовом сервере еще не было установлено обновление антивирусных баз, содержащее процедуры детектирования Mydoom - "отказы" почтовых серверов.

Признаться, поначалу у меня самого были соблазны открыть кое-какие "отказы", особенно те, которые были связаны с именами известных и важных адресатов. Насторожило обилие таких интересных посылок и давняя привычка уничтожать подобное при получении.

Еще пара примеров на эту же тему. За время эпидемии на наш почтовый ящик пришли письма с червем, в качестве обратного адреса у которых значились такие люди, как Линус Торвальдс (создатель Linux) или Дмитрий Вернер (Anekdot.ru). Тоже, наверное, было бы интересно узнать, а что же это они нам прислали? Ждем письма от Билла Гейтса.

И второй пример. Один знакомый, прекрасно осведомленный об эпидемии и о том, какие признаки имеет зараженное письмо, спрашивает у меня: "А можно открывать вложение message.zip, в котором файл message.scr?" На мой логичный вопрос: "Зачем?" следует не менее логичный ответ: "А я от одной фирмы прайсы жду. Может, это они?"

Получается, что нельзя обвинять простого пользователя в подобном любопытстве. Но что произойдет, если столь же любопытным окажется системный администратор большой корпоративной сети, имеющий неограниченные права?

В случае с Mydoom заражению подвергнется только машина администратора. На первом этапе. А потом червь начнет рассылать себя по адресам пользователей в этой же организации. Понятно, что последствия могут быть самыми плачевными.

И все же, почему пользователи запускают файлы-вложения? Причем, делают это даже те, кто прекрасно знает об опасности такого поведения. Может быть, не действуют на них предупреждения, опубликованные в Интернете и в бумажных изданиях? Может быть, пора развешивать плакаты на улицах: "А ты установил антивирус?!", "Не запускайте почтовые вложения!".

Проводился специальный опрос, среди людей, профессионально занимающихся средствами информационной защиты, антивирусных специалистов. Вопрос был очень простой: "Представьте, что вы хотите купить новый автомобиль. Вам приходит по почте спам, в котором рекламируется фирма по продаже автомобилей. Вы откроете это письмо?" Из двадцати человек трое ответили "Да".

На этом принципе социального инжиниринга работает весь современный бизнес, это основы маркетинга. Всегда найдутся люди, которые запустят вложение, откроют DOC-файл, сходят по ссылке. Единственный выход - это создание максимально безопасной среды на локальном компьютере. То есть - установка антивируса, файрвола, обновлений и патчей для операционной системы и других используемых программ.

"Опасность сращивания вирусных и спам-технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальностью", - так сказал Евгений Касперский, руководитель антивирусных исследований вашей компании. А думают ли "сращиваться" средства защиты, также становясь комплексными? Или антивирус и файрвол нужно будет и дальше покупать отдельно, сэкономив разве что на покупке пакета программ? Особенно это касается защиты домашних и персональных компьютеров.

Многие антивирусные вендоры, и "Лаборатория Касперского" среди них, давно расширили свою продуктовую линейку, добавив средства защиты от спама и хакерских угроз. Их можно купить отдельно, можно в паре с антивирусом, сэкономив, таким образом, на цене. Разработка комплексного решения, позволяющего максимально эффективно отсекать все угрозы - это современная тенденция и задача, которую в настоящий момент пытаются решить все разработчики в области компьютерной безопасности. Пока такого решения не существует, и, учитывая специфику угроз, а именно "принцип меча и щита", а также человеческую природу этой угрозы, создать его будет очень непросто.

В нашей стране уже созданы и работают организации, ведущие борьбу с различными проявлениями преступности в Интернете. В прошлом году была создана "Антиспамовая коалиция", и прошла конференция "Проблема спама и ее решения". Совсем недавно завершила работу 6-я Всероссийская конференция по информационной безопасности "Инфофорум". Планируется ли создание других, еще более серьезных центров по борьбе с интернет-терроризмом?

Вирусы появились гораздо раньше, чем спам. Антивирусные компании уже очень давно сотрудничают друг с другом в ходе глобальных эпидемий, вырабатывают определенные стандарты и придумывают новые технологии для такой борьбы. На западе только в последние пару лет стали появляться специализированные правительственные организации по борьбе с кибертерроризмом. В прошлом году появился такой центр при ЕС, в январе этого года был создан американский центр. Их цель - координация усилий антивирусных компаний и правоохранительных органов с целью выявления злоумышленников. Создание аналогичного центра в России - видимо, дело ближайшего будущего. Однако здесь также необходимо тесное сотрудничество с зарубежными организациями аналогичного характера.

Поблагодарим Александра за такой интересный и содержательный рассказ, из которого каждый из российских пользователей должен сделать выводы. Никто из нас не застрахован от того, что завтра не попадется в ловушку изощренных вирусописателей - кого-то соблазнят красивой картинкой, кого-то интересной информацией - и приложение запущено! А ведь можно сделать так, чтобы подобное событие не могло произойти в принципе. Если прямо сейчас, не откладывая, установить на компьютер надежный антивирус и не менее надежный файрвол, обновлять своевременно эти программы и вирусные базы, включить постоянную защиту - монитор, то никакая зараза из Сети не проникнет в систему. Например, любой антивирус "Лаборатории Касперского" бьет присланную по почте заразу на лету и просто не позволит запустить инфицированные файлы-вложения. А Kaspersky Anti-Hacker не только защитит компьютер от атак и не позволит запуститься троянам, но и вообще может сделать компьютер невидимым для виртуальных преступников. Если каждый компьютер в Сети защитить таким образом, не будет больше возникать интернет-эпидемий.