Lovsan: червь для Microsoft

12 августа интернет поразила еще одна глобальная вирусная эпидемия. По некоторым оценкам, равных ей еще не было в истории. Десятки тысяч корпоративных сетей по всему миру, а также огромное количество домашних компьютеров, постоянно подключенных к интернету по широкополосному соединению, были мгновенно поражены червем. По некоторым оценкам, за один день были поражены не меньше 166 тыс. компьютеров (в июле 2001 г. Code Red за месяц заразил 300 тыс. компьютеров).

Вот лишь небольшой список жертв: правительство Германии сообщило о "высокой степени поражения"; Федеральный банк США сообщил, что пришлось отключить большинство компьютерных систем; в некоторых американских фирмах во вторник вообще отправили сотрудников по домам. Больше всех пострадал даже не сайт Microsoft, против которого червем назначена распределенная атака (она состоится 16 августа), а репутация софтверного гиганта. На следующий день после начала эпидемии о фирме Microsoft начали говорить в новостных выпусках всех без исключения телеканалов мира.

Червь, известный под разными именами, включая W32.Blaster, MSBlast и W32/Lovsan, впервые появился вечером в понедельник, 11 августа. И хотя вероятность появления такого вируса была заранее предсказана экспертами по безопасности, все-таки программе удалось распространится очень широко за чрезвычайно короткий промежуток времени. Уже через несколько часов червя обнаружили в Северной и Южной Америке, в Европе, Азии, Африке и даже в белорусском сегменте интернета. Как сообщает провайдер "Деловая сеть", благодаря закрытию TCP-портов 135, 69 и 4444, только в период с 10:00 до 15:00 во вторник было предотвращено 4 213 050 попыток заражения.

Месяц назад, 16 июля, Microsoft признала наличие очередной критической уязвимости в службе DCOM RPC (Remote Procedure Call) и выпустила патч для закрытия дыры. 25 июля группа китайских хакеров разместила в онлайне исходный код эксплоита. 31 июля Департамент национальной безопасности США опубликовал официальное предупреждение о потенциальной угрозе и настоятельно рекомендовал установить упомянутый патч от Microsoft. Но ничего не помогло. Дыра в DCOM RPC была слишком соблазнительна. В результате поражению подверглись сотни тысяч компьютеров под управлением Windows NT 4.0/2000/XP и Windows 2003 Server.

С самого своего появления служба DCOM как модель обмена данными в распределенных системах вызывала массу нареканий со стороны специалистов по безопасности. Однако Microsoft не захотела от нее отказываться, потому что теряла на этом большие деньги. Последняя обнаруженная недоработка в службе DCOM особенно опасна - она позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).

 

После успешной загрузки основного тела червя оно копируется в каталог system32 под именем msblast.exe и запускается на выполнение. Червь Lovesan просматривает случайный диапазон IP-адресов для поиска уязвимых компьютеров (порт TCP 135). Червь пытается установить удаленное соединение и передать уязвимому компьютеру TFTP-команды на загрузку основного тела червя, используя ту же уязвимость DCOM RPC. Разослав свои копии, червь выводит надпись "I just want to say LOVE YOU SAN!! Bill" ("Я просто хочу сказать: любите свои системные сети. Билл") и перегружает компьютер. В качестве побочного действия новый червь содержит функцию распределенной атаки на сайт WindowsUpdate.com, содержащий обновления операционной системы Windows. Функция активизируется 16 августа 2003 года.

Червь создает огромный избыточный трафик в каналах связи. Если бы не запрограммированная в Lovesan 1,8-секундная задержка между попытками заражения других компьютеров, то можно даже не сомневаться, что произошла бы десегментация интернета. Впрочем, это еще впереди. Эксперты предсказывают, что в течение ближайшего года будет создан червь, который сможет распространиться по интернету в течение 15 минут, используя дыры в Windows.

Анатолий АЛИЗАР

Версия для печатиВерсия для печати

Номер: 

32 за 2003 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

Аватар пользователя reanimator
Только статейку про вирус прочитал и подумал "не про меня" (посещаю Инет редко и недолго), как понадобилось воспользоваться контекстным меню "Открыть в...". Среди списка программ с удивлением обнаружил "WORLDEDITOR".

Изменитель мира, значит. Как-то глобально звучит, решил обновить с апреля не обновлявшийся антивирус, который и обнаружил Win32.HLLW.LoveSan.based. Хвала DrWeb.

Аватар пользователя vmsis
Да уж, мне тож повезло!!!!!

Получил этого товарища, но благодаря заплатке на касперском сайте усё добра!!!

Аватар пользователя Killer{R}
гыгыгы.. а вот червь от микрософт:

Symantec http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

Червь удаляет W32.Blaster, после чего загружает заплатку DCOM RPC от M$ и перезагружает компьютер )

Аватар пользователя мальчик
Я то же уже подхватил и уже вылечился, кстати кому надо лечиться читайте форум "ошибка в Win XP"