28.01.2004

Российская интернациональная зараза. Эпидемия червя Novarg обещает быть крупнейшей в истории



В ночь с понедельника на вторник в интернете началась крупнейшая за последние два года эпидемия почтового вируса. За несколько часов червь Novarg, созданный, по мнению экспертов, российскими хакерами, инфицировал более полумиллиона компьютеров по всему миру. Вчера днем вирус продолжал распространяться настолько активно, что из-за него существенно снизилась скорость работы интернета. Разработчики антивирусных средств заявляют, что атака Novarg может стать самой серьезной эпидемией за всю историю всемирной сети.
       Впервые эксперты крупнейшего российского производителя антивирусного ПО "Лаборатории Касперского" (ЛК) зарегистрировали Novarg (американское название вируса – MyDoom) около часа ночи по московскому времени во вторник сразу на нескольких специальных e-mail-ловушках, находящихся на территории России. Это, по их мнению, прямо указывает на российское происхождение вируса. Ближе к утру очаги распространения вируса были зарегистрированы в США. За несколько часов своего существования вредоносная программа поразила порядка 500 тыс. компьютеров по всему миру.
       Novarg распространяется по электронной почте во вложенном в письмо зараженном файле. Письма имеют произвольное название, тему и несуществующий адрес отправителя. Примечательно, что домен (часть адреса электронной почты после значка @) может быть реальным, таким как kommersant.ru. Таким образом, очень сложно определить визуально, заражено письмо или нет. Единственный признак, указывающий на вирус,– это постоянный размер приложения 22 Кб. Еще один способ распространения Novarg – через файлообменную сеть Kazaa, количество пользователей которой исчисляется десятками миллионов. Вирус маскируется под файлы с названиями новых версий популярных программ: Winamp 5, Icq2004 final и других.
       При открытии зараженного файла на компьютере запускается целая серия опаснейших процессов. Во-первых, вирус начинает рассылать себя по всем найденным на компьютере e-mail-адресам. Во-вторых, Novarg устанавливает виртуальный прокси-сервер, позволяющий использовать компьютер для дальнейшей рассылки копий вируса и спама. В-третьих, в память записывается специальная программа-троянец, с помощью которой можно удаленно управлять компьютером (например, читать почту или красть информацию).
       Кроме того, программа организует DoS-атаки на сайт компании SCO (www.sco.com), ведущей долгую борьбу с корпорацией IBM и Linux-сообществом: каждые 50 миллисекунд с сотни тысяч зараженных компьютеров отправляется запрос на этот сайт, который не выдерживает столь мощной нагрузки и "падает". Огромный поток генерируемых запросов и "мусорной" электронной почты приводит к перегрузке почтовых серверов и снижению скорости работы интернета по всему миру.
       Аналитики отмечают, что вирусная атака была четко организована авторами. Поэтому Novarg может принести громадный ущерб. "Вирус начал одновременную атаку с десятков тысяч компьютеров,– говорит Денис Зенкин из ЛК.– В данном случае группа вирусописателей в течение некоторого времени создавала распределенную сеть 'зомби-компьютеров', зараженных 'троянцем', позволяющим удаленно управлять машиной. Когда количество этих компьютеров достигло нескольких десятков тысяч, им была дана команда начать рассылку вируса. Таким образом, Novarg по характеру действия напоминает известный вирус Sobig.f, убытки от которого составили около $2 млрд. Сумма ущерба от Novarg вполне может достигнуть этой цифры, если новый вирус продолжит распространяться такими же темпами". А глава представительства Panda Software в России Константин Архипов вообще считает, что "по масштабам распространения вируса это может быть самая серьезная эпидемия за всю историю интернета".
       Первые отзывы о результатах работы вируса звучат впечатляюще. Вчера днем исследователь антивирусной компании McAffee Джимми Куо заявил, что вирус инфицировал множество компьютеров в корпоративных сетях американских телекоммуникационных концернов и банков, фактически парализовав работу почтовых служб этих компаний.
       Утешает лишь то, что, несмотря на масштаб эпидемии, сам вирус оказался довольно простой программой. Буквально через несколько часов после начала атаки "Лаборатория Касперского" и Panda Software выпустили обновления для своих антивирусных программ, которые уже сейчас можно скачать на сайтах компаний.
    Откуда приходят вирусы

Название Ущерб ($ млн) Страна (регион) происхождения Год появления
I-Worm.Sobig 1600 Бенилюкс 2003
I-Worm.Klez 750 Китай 2001
I-Worm.Tanatos 500 Малайзия 2002
I-Worm.Swen 350 Словакия 2003
I-Worm.Lentin 350 Индия 2002
I-Worm.Avron 300 Казахстан 2003
I-Worm.Hybris 200 Бразилия 2000
Macro.Word97.Thus 150 Неизвестна 1999
I-Worm.Mimail 150 Россия 2003
I-Worm.Roron 100 Болгария 2002
Источник: "Лаборатория Касперского".

       ИВАН Ъ-БУРАНОВ

Источник: КоммерсантЪ