376 байт, які потрясли Мережа, Віруси, Security & Hack, статті

ComputerWorld

25 січня, в суботу, в Мережі з’явився новий, надзвичайно грізний Інтернет-черв’як – Slammer (інші назви – Sapphire, SQLSlammer, Helkern). Він викликав серйозні порушення роботи всієї мережі Інтернет. Багато користувачі Всесвітньої Павутини помітили перевантаженість трафіку, а понад 17 млн. користувачів по всьому світу не змогли перевірити у вихідні дні свою пошту.

Найбільше постраждали користувачі Південної Кореї – самої “інтернетизованих” країни в світі, де до мережі підключено більше 3 / 4 населення. Протягом декількох годин користування Інтернетом було просто неможливо. Найбільша активність хробака відзначено також в Австралії та Новій Зеландії. За найскромнішими підрахунками, в усьому світі було інфіковано понад 200 тис. серверів. Тим самим була припинена робота багатьох компаній, у тому числі декількох великих банків світу. Тисячі клієнтів з усього світу не можуть зробити звичайні банківські операції.
Інфікувавши сервер (черв’як використовує для цього пролом класу “переповнення буферу”), Slammer починає розсилати величезну кількість пакетів, що тягне за собою ефект, подібний атаці DoS (Denial of Service). На думку експертів, ліквідація хробака виконується дуже просто – достатньо виконати установку з’явився не так давно пакету оновлень Service Pack 3 для Microsoft SQL Server 2000.
Перший випадок виявлення пакетів даних, схожих на копії хробака, був зафіксований “Лабораторією Касперського” 20 січня в 22.07 за московським часом. Дані були відправлені з комп’ютера, що належить одному американському провайдеру. Це не означає, що Helkern був створений співробітниками цієї компанії. Не виключено, що сервер був віддалено заражений творцями хробака. Ймовірно, істину про походження хробака вдасться знайти у файлах-звітах звернень до цього сервера.
Трохи пізніше в той же день код Helkern був виявлений в запиті від сервера в Нідерландах. Після цього хробак ніяк не виявляв себе аж до 23 січня (до 23.21), коли в запиті від іншого голландського сервера була зареєстрована ще одна його копія. Вибух активності Helkern стався тільки в ніч з 24 на 25 січня. Таким чином, інкубаційний період хробака склав майже 5 днів. За цей час шкідлива програма, використовуючи порт 1434 UDP, встигла заразити критична кількість серверів і викликала ланцюгову реакцію.
За ще однією версією, епіцентр хробака знаходився в Китаї. Звідти він проник в комп’ютерні системи в Південній Кореї і на Філіппінах. Потім Helkern досяг західної і центральної частин США і розділився на два потоки: перший перекинувся в Австралію і Нову Зеландію, другий – в Західну Європу. Збиток від нього по всьому світі може скласти до 10 млрд. $
За повідомленнями “Лабораторії Касперського”, невеликий розмір хробака (усього лише 376 байт), унікальна технологія зараження і винятково висока швидкість розповсюдження дозволяють назвати Helkern однією з головних загроз нормальному функціонуванню інтернету за останні кілька років.
Helkern належить до класу так званих “безтілесних” хробаків: ці шкідливі програми здійснюють всі операції (включаючи зараження і поширення) виключно в системній пам’яті ПК, що значно ускладнює процес їх виявлення і нейтралізації стандартними антивірусними засобами (сканерами). Першим представником цього класу хробаків був CodeRed, виявлений 20 липня 2001 і тоді ж викликав великомасштабну епідемію. До сьогоднішнього дня “безтілесні” черв’яки більше ніяк себе не проявляли.
Helkern – це реальна загроза, яка здатна викликати серйозні збої в роботі Інтернету. Більше того, ми схильні вважати, що в майбутньому подібні атаки будуть відбуватися з наростаючою частотою. Це ще раз доводить необхідність розробляти нові підходи до попередження і виявлення вірусних епідемій в Інтернеті, оскільки існуючі технології наочно доводять свою низьку ефективність, сказав Євген Касперський, керівник антивірусних досліджень “Лабораторії Касперського”.
Спецвідділ з кібербезпеки ФБР і експерти з CERT Coordination Center вже приступили до розслідування справи. Проте деталі розслідування принципово не розголошуються.
Тим часом через кілька днів після апогею атаки Slammer стали випливати цікаві факти, пов’язані з його походженням і дією. Онлайн-видання CNET, приміром, заявило, що одним з джерел розповсюдження зарази і одночасно однією з перших жертв стала … Microsoft. Що цікаво, представники корпорації весь час роз’яснювали, що якби користувачі інсталювали надані Microsoft виправлення, то черв’як не завдав би шкоди.
CNET, зокрема, стверджує, що в листі, який направив Майк Карлсон (шеф центру обробки даних корпорації) в суботу внутрішньокорпоративної поштою Microsoft, виразно випливає, що черв’як дуже серйозно вдарив по мережі фірми. “Мережа заблокована настільки, що нам важко навіть оцінити силу атаки”, пишеться в одному з цих послань.
Власне, в цій інформації не було б нічого дивного – врешті-решт тисячі фірм з усього світу зіткнулися в суботу з тими ж проблемами. Однак різниця все ж є і полягає вона в тому, що черв’як поширювався, використовуючи пролом у програмі Microsoft. Про цю проломи відомо давно, доступно і виправлення, яке закриває дірку. Але … працівники Microsoft просто не встановили його! (По крайней мірі до суботи.)
Пізніше, до кінця минулого тижня, з’явилися перші дослідження, які аналізували структуру атаки вірусу Slammer. З них виразно випливає, що першим регіоном, який на гіркому досвіді переконався в необхідності установки оновлень, був Далекий Схід. Більш того, експерти припускають, що саме там хробак і народився. Досить згадати, що місцеві (точніше, китайські) програмісти підозрюються в створенні іншого, схожого на Slammer вірусу – CodeRed.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*