Подвижные вирусы: миф или реальность?

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-042-3

Последствия Adm очень нехорошие. Червяк находит все файлы index.html и вписывает туда постоянный текст "The ADM Inet w0rm is here !". После чего удаляет файл /etc/hosts.deny и отправляет письмо с IP-адресом зараженной машины на адрес электронной почты admsmb@hotmail.com.

Совсем недавно была обнаружена RPC-уязвимость на всех NT-платформах, которая позволяла открывать шелл с правами администратора. В конце июля (через пару дней после выхода сводки в bugtraq) майкрософтовцы испекли патч, закрывающий брешь. Но, как известно, мало кто установил его на свою систему (от баги RPC не помогали даже сервиспаки).

А через месяц случилось самое интересное - по инету был пущен червь LoveSan, который имел размер всего 6 Кб. Вирь проникал в систему под именем msblast.exe и содержал в себе следующие строки:

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ?

Stop making money and fix your software!!

Симптомом заражения являлось наличие файла msblast.exe в каталоге Windows, а также частые перезагрузки компьютера из-за сбоя в RPC-сервисе. Ориентирован LoveSan был на Win2k/XP, другие системы им не инфицировались.

Вирусописатель был явно обижен на Microsoft, потому что зараза проверяла системное время, и после 15 августа вирь начинал флудить HTTP-запросами сервер www.windowsupdate.com. Об этом стало известно еще 13 числа, и Майкрософт готовился к масштабной атаке (на тот момент было зафиксировано около 12 тысяч зараженных компьютеров). К вечеру 15 августа хост www.windowsupdate.com перестал резолвиться в IP-адрес. Это было сделано специально, чтобы воспрепятствовать глобальному DDoS. Последствия атаки до сих пор не афишируются.

LoveSan записывается в системный реестр, поэтому после перезагрузки компьютера запускается вновь. Если установить патч, но не удалить червяка - особой пользы это не принесет, зараза все равно будет заражать новые сервера, используя твой компьютер. Сейчас уже выпущены специальные программы, которые позволяют детектировать и уничтожать LoveSan на рабочей станции. Советую проверить свою машину на наличие файла mblast – возможно, ты тоже находишься в списке уязвимых.

Особый вид представляют собой червячки, заражающие систему через СУБД (системы управления базами данных). Ярким примером такой заразы является Spida. Этот экземпляр долбится на службу MsSql с дефолтовым паролем "sa". При удачном коннекте, вирус создает в системе новую учетную запись sqlagentcmdexec со случайным паролем, добавляя ее в группу Administrators. Далее копия Spida заливается в системный каталог винды, а уязвимость, через которую вирь проник в систему, успешно закрывается. Из побочных эффектов зафиксировано то, что червяк пытается отослать все учетные записи и базы данных на три e-mail адреса.

IRC-черви

Особую категорию составляют червяки, которые передаются через Internet Real Chat. Этот вид заразы не использует уязвимости в системе, а активируется лишь после того, как юзер выполнит определенную IRC-команду. Распространяется вирь также через спам в IRC-каналах либо приватах.