30.06.2004

Интернет победил русский вирус



Борцам с компьютерными вирусами удалось остановить инфекцию, заразившую несколько сайтов в конце прошлой недели. Эксперты по информационной безопасности отключили российский сервер, который стал источником этой эпидемии. Но о полной победе над очередной атакой хакеров говорить еще рано.

Группа российских хакеров HangUp Team организовала крупномасштабную атаку на веб-серверы под управлением Microsoft Internet Information Server 5. Через «дыры» в этой системе хакеры добавляют к страницам сайта вредоносный код, написанный на языке javascript.

Когда пользователь открывает зараженную страницу при помощи браузера Internet Explorer, этот код автоматически начинает действовать и вирус поражает сначала веб-сервер, а через него – персональные компьютеры (ПК): на них загружается троянская программа Padador. С помощью Padador хакеры могут использовать все инфицированные ПК в своих целях.

Несмотря на приостановление инфекции, специалисты по информационной безопасности должны быть начеку: последнее время хакеры очень часто использует подобный способ нападения, чтобы миновать защиту сетей и заразить компьютеры в офисах и дома. «Это (отключение российского сервера. – «Газета.Ru») решение проблемы на короткий срок, – говорит Альфред Хагер, специалист по информационной безопасности компании Symantec. – Вскоре обнаружится очередная группа злоумышленников, которая повторит подвиги своих предшественников и снова начнет заражать веб-сайты». Какие именно цели преследовала HangUp Team, неизвестно, – возможно, она хотела заполучить побольше адресов для рассылки спама.

Господин Хагер так объясняет мотивы хакерской группы: «Они использовали отличный путь, чтобы попасть в крупные корпорации. Значительно проще заставить несколько служащих посетить зараженный сайт, чем пытаться пробить систему безопасности, на которую, очевидно, были затрачены сотни тысяч долларов».

При проведении масштабной атаки российские хакеры опирались на опыт предшественников. Так, в конце апреля крупная корпорация обратилась за помощью в Symantec – после того как один из ее сотрудников зашел через браузер Internet Explorer на зараженный сайт и заразил всю систему корпорации.

А в начале июня этого года независимый эксперт по информационной безопасности обнаружил распространение рекламного программного обеспечения adware, которое автоматически устанавливалось на компьютеры-жертвы.

По данным NetSec и других компаний, работающих в сфере компьютерной безопасности, в конце прошлой и начале нынешней недели пораженными оказались веб-серверы достаточно крупных компаний и организаций включая несколько банков и онлайновых магазинов.

Количество жертв новой эпидемии действительно неизвестно, но эксперты признают, что хакерам из HangUp Team удалось заразить значительно больше компьютеров, чем их предшественникам.

Йоханнес Ульрих, технический директор сайта Internet Storm Center, который занимается мониторингом потенциальных угроз в интернете, так оценивает масштабы новой эпидемии: «Это первый случай, когда было заражено так много веб-сайтов. С этой эпидемии по размаху можно сравнить разве что атаку Nimda, которая использовала аналогичный код, но была менее эффективной».

Специалистам Microsoft удалось отключить российский сервер, который был источником вредоносного кода, но заплатки для «дыр», которые использовала HangUp Team, до сих пор не выпущены. Взамен американская корпорация выпустила рекомендации, позволяющие избежать нападения: Интернет-пользователям советуют повысить уровень защиты своих антивирусных и антихакерских программ до высшего уровня и отключить javascript, что, правда, приведет к потере функциональности многих сайтов.

В Microsoft обещают, что заплатки будут готовы в ближайшее время. «По нашему мнению, масштабы новой эпидемии несколько преувеличивают, но мы признаем, что она может быть опасна», – отмечает Стефен Тулуз, специалист по безопасности Microsoft.

Несмотря на закрытие российского сервера, еще рано говорить о полной победе над новой эпидемией. Активисты HangUp Team без особого труда могут разместить вредоносный код на другом сервере, а заплатки к «дырам» в Internet Explorer и Microsoft Internet Information Server 5 до сих пор не выпущены, поэтому вероятность появления новых вредоносных программ достаточно велика.

Газета.RU