По следам эпидемии червя Santy

Недавно в инете была опубликована новость об эпидемии, вызванной вредоносным кодом Net-Worm.Perl.Santy.a. Червь использовал уязвимость в "движке" для создания web-форумов phpBB версии ниже 2.0.11, благодаря которой распространялся по web-узлам и обезображивал сайты. Сегодня появилась возможность проследить эпидемию по комментариям экспертов, представленных на VirusList.com. Пользователи начали сообщать экспертам об инцидентах, связанных с форумами и досками объявлений на основе phpBB - с самого утра 21 декабря. Довольно быстро удалось выяснить, что исправления для "движка" phpBB, как такового, нет. Удалось обнаружить лишь горячие обсуждения событий на форуме phpbb.com. Эксперты обратили внимание, что червь очень быстро распространяется и замещает файлы с расширениями asp/php/htm/shtm, а, значит, не только стирает данные на web-узле, но и подрывает деятельность других web-сайтов, использующих информацию с зараженного web-узла.

В течение часа эксперты выяснили, что червь не способен причинить вред "движкам" на основе phpBB 2.0.11, а все версии ниже - уязвимы. Пользователям было рекомендовано немедленно обновить используемую технологию.

На следующий день, 22 декабря, утром антивирусные аналитики московского офиса "Лаборатории Касперского" обнаружили уже вторую версию червя. Первая называлась Net-Worm.Perl.Santy.a, вторая получила название Net-Worm.Perl.Santy.b.

Напомню, что червь отыскивал уязвимые узлы с помощью поисковой системы Google. Ближе к вечеру компания Google заявила, что ее поисковая машина будет блокировать запросы червя Santy, чтобы затруднить его распространение. Но оставалась вероятность, что автор вредителя быстро выпустит новую версию, которая будет использовать не Google, а, скажем, MSN или Yahoo. Вторая версия червя Santy отличалась от первой лишь несколькими текстовыми строками. На этом основании было высказано предположение, что к исходному коду червя получили доступ те, кого мы называем "script kiddies".

Следует отметить, что к полудню 22 декабря число инфицированных узлов уже исчислялось тысячами. К вечеру в Интернет появился исходный код червя (скорее всего, он появился раньше, но отыскать его антивирусные аналитики смогли лишь к вечеру). Это подтвердило догадку об авторах второй версии червя.

Опубликование исходного кода и появление целой серии клонов Santy в будущем не явилось весомым аргументом в пользу вредителя. Дело в том, что стратегия победы над Santy очень проста: администраторы могут обновить версию своего "движка" phpBB, а поисковые системы могут игнорировать запросы клонов.

В течение нескольких дней ситуация постепенно начала стабилизироваться. К 26 декабря было обнаружено уже несколько версий червя. Причем новые версии были намного опаснее и функциональнее прототипа. Во-первых, они осуществляли поиск не только в Google, но и в Yahoo. Во-вторых, атаке подверглись сайты с "движком" версии "phpBB pre 2.0.11", которые тоже уязвимы. В-третьих, новые версии Santy пытались установить в системе компонент, который позволит удаленно управлять компьютером. Как следствие предыдущего пункта, станут возможны массовая рассылка спама и сильные атаки типа отказ в обслуживании (ведь инфицированные узлы часто имеют широкополосное соединение с Интернетом). Например, Net-Worm.Perl.Santy.e пытался инсталлировать в систему вредителя Backdoor.Perl.Shellbot.b, некоторые другие версии Santy пытались установить perl-бэкдоры. Как будут дальше развиваться события - не известно. Однако до сих пор антивирусные аналитики не меняют красный цвет (самый опасный) вирусной угрозы...

Разделы: