Самый разрушительный вирус продолжает шествие

02.09.2003 | 15:24
Мировой ущерб от вируса Sobig, по оценке исследовательской компании mi2g, достиг рекордной отметки - $14,62 млрд. Специалисты объясняют, что большая часть ущерба вызвана потерей продуктивности компьютерных систем организаций и частных лиц в результате вирусной атаки. При этом мировой рынок программного обеспечения по защите компьютерной информации Gartner оценивает в $3,8 млрд.

В компьютерном мире бытует поговорка, что между преступниками и преследователями стоят всего лишь несколько строк программного кода. Хорошей иллюстрацией этого высказывания стали события минувшей пятницы.

Пока новый компьютерный вирус Sobig бродил по почтовым ящикам пользователей и разрушал корпоративные сети, специалисты по информационной безопасности во всем мире пытались предупредить серьезную опасность со стороны так называемой "бомбы замедленного действия" - вложенный в письма Sobig файл при открытии подключал компьютер к одному из 20 серверов, на которых были установлены вредоносные программы.

Однако специалистам не было известно, как должны были развиваться события в дальнейшем. Поэтому необходимо было как можно оперативнее обнаружить эти 20 серверов и изолировать их от глобальной Сети, предотвращая дальнейшее распространение вредоносных программ. Первая атака была зафиксирована в 3 часа дня (по времени восточного побережья США).

В пятницу вечером экспертам по компьютерной безопасности при содействии интернет-провайдеров и юридических организаций удалось одержать относительную победу. Вредоносный код был взломан, 20 компьютеров обнаружены и, как минимум, 17 из них отключены от Сети. ФБР даже направило судебную повестку одному интернет-провайдеру в Фениксе, который, по мнению властей, мог оказаться источником вируса.

Эксперты опасались, что серверы, к которым подключались зараженные компьютеры, могли дать системам инструкции об уничтожении жесткого диска или начать новую атаку. Тем не менее, представители Symantec Security Response утверждают, что оставшиеся в сети 3 машины всего-навсего переадресуют подключаемые компьютеры на порносайты. Неизвестен, правда, сценарий развития событий при подключении к 17 остальным серверам.

"Те, кто занимались решением этой проблемы, действительно предотвратили очередную атаку или ее потенциальную угрозу", - комментирует Джимми Куо (Jimmy Kuo), осуществляющий аналитические исследования в компании Network Associates. Sobig - второй за этот месяц вирус, представляющий серьезную опасность персональным и корпоративным компьютерам. Немногим ранее по сети распространилась программа Blaster, а также ее аналоги Nachi или Welchia, которые заразили сотни тысяч компьютеров, хотя и не нанесли серьезного ущерба. Вирус Sobig появлялся во входящих сообщениях почтовых ящиков в письмах с наиболее частыми заголовками "Thank You!" или "Re: Details". Заражение компьютера начиналось только в случае открытия получателем вложенного приложения.

Хотя и называемый вирусом, Sobig является, скорее, червем, поскольку действует независимо, не присоединяясь к существующим в компьютере файлам. Впервые Sobig появился в январе прошлого года, однако с тех пор постоянно модифицировался. Сейчас специалисты столкнулись с его 6-й реинкарнацией, в которую была вложена электронная "бомба замедленного действия".

Почти всю прошлую неделю новая версия вируса распространялась по электронной почте, проникая даже в те сети, которые были защищены специальными экранами (firewall).

Непосредственно со вторника, когда была зафиксирована первая атака, группа специалистов по безопасности компании F-Secure (г. Хельсинки, Финляндия), распространяющей антивирусное ПО, вступили в борьбу. Над взломом кода работали 8 инженеров.

К 3 часам дня в четверг после нескольких дней практически круглосуточной работы инженеры из Хельсинки расшифровали код и обнаружили список из 20 IP-адресов, ведущих к компьютерам, физически расположенным в США, Канаде и Южной Корее.

Затем были обнаружены вредоносные вложения. В 3 часа дня в пятницу десятки тысяч зараженных Sobig компьютеров должны были подключиться к 20 машинам-посредникам, которые перенаправили бы их по списку веб-адресов, откуда инфицированные системы скачали бы некую программу. Что произошло бы затем, никто не мог предсказать.

"Мы не знаем, что может произойти после запуска этой программы, поскольку прекратили расследование", - комментирует Тони Магалланес (Tony Magallanez), системный инженер F-Secure в San Jose.

С целью предотвращения угрозы инженеры F-Secure уведомили ФБР и тех интернет-провайдеров, к которым были подключены обнаруженные 20 компьютеров. Их адреса были удалены из Сети. Кроме того, по словам Куо, крупные телекоммуникационные компании также должны были заблокировать все попытки связаться с указанными IP-адресами.

К 3 часам дня в F-Secure подтвердили, что 18 из 20 компьютеров изолированы и отключены от Сети. На данный момент еще одна машина выведена в офлайн.

Специалисты утверждают, что Sobig, вероятно, можно назвать одним из крупнейших вирусов, с точки зрения количества разосланных писем, содержащих код. Это утверждают, в частности, представители Symantec Secure Response.

Хотя о серьезных сбоях в работе систем сообщило незначительное количество компаний, вирус Sobig произвел массивную атаку. К концу недели всего было разослано несколько десятков миллионов зараженных писем.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.cnews.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код