Червь Mydoom.A превзошел все существующие вредоносные программы по скорости распространения и стал причиной величайшей в истории Интернета эпидемии. На сегодняшний день известно, что этим червем инфицировано более полумиллиона компьютеров по всему миру, в том числе - в десятках тысяч коммерческих организаций. Установлено, что одно из каждых четырех электронных писем - всего более восьми миллионов - заражено червем Mydoom.A.
Финансовый ущерб, нанесенный червем Mydoom.A, на данный момент не поддается точному исчислению. В прошлый четверг (29 января) телекомпания CNN заявила: потери в производительности и стоимость технической поддержки привели к тому, что ущерб может достигнуть 250 миллионов долларов. Более подробную информацию читайте на сайте: <http://money.cnn.com/2004/01/28/technology/mydoom_costs/index.htm>. Консалтинговая компания «Mi2g» оценивает потери, нанесенные этим вирусом, в 38.5 миллиардов долларов.
При этом ущерб от эпидемии Mydoom.A может увеличиться, так как червь запрограммирован на распространение до 12 февраля, и установлено, что скорость его размножения остается прежней, а периодически даже увеличивается.
Чтобы помочь пользователям разобраться в сложившейся ситуации и увидеть целостную картину произошедшего, Panda Software отследила течение эпидемии Mydoom.A с момента его первого появления.
27 января 2004 г., вторник
Антивирусные лаборатории впервые зафиксировали появление нового червя. Параллельно сервисы технической поддержки начали получать сообщения об инцидентах в нескольких странах мира (одно из первых зараженных писем пришло из России), и эти сообщения поступали фактически непрерывно. Была объявлена вирусная тревога. Средство для борьбы с этим червем появилось уже через полчаса.
Как это было сделано? Процесс обнаружения вируса, возможно, легко описать на словах, но осуществить его отнюдь не просто. Прежде всего, необходима сама вредоносная программа. Очень часто подозрительные коды присылают в лабораторию бдительные пользователи антивирусов. Они отправляют файлы либо будучи всерьез обеспокоенными, либо потому, что эвристический механизм сканирования идентифицировал файл как подозрительный.
Затем специалисты Вирусной лаборатории PandaLabs дезассемблируют код, обнаруживают внутреннюю программу и функции вируса. В то же самое время, несколько компьютеров в отдельной сети инфицируются данным вирусом. При помощи этих компьютеров отслеживается поведение вируса и скорость его распространения.
Как только необходимая информация собрана, генерируется «вакцина». Этот процесс включает в себя нахождение идентификаторов, или характерных особенностей вируса, а также создание механизма для его обезвреживания. Собранные данные используются для создания обновлений к антивирусу, которые затем становятся доступны для пользователей через веб-сайт.
Компания Panda Software в кратчайшие сроки представила на своем сайте антидот для Mydoom.A. Чтобы остановить колоссальное размножение Mydoom.A, компания Panda Software предложила всем пользователям бесплатный инструмент под названием «Pqremove», который обнаруживает и уничтожает Mydoom.A на инфицированных компьютерах, а также устраняет все изменения, которые вирус вносит в структуру системы. Эту утилиту можно скачать на сайте: <http://www.pandasoftware.com/download/utilities>.
Несмотря на все усилия антивирусных компаний, червь продолжал быстро распространяться, инфицируя множество компьютеров и тем самым создавая себе репутацию одного из самых ужасных компьютерных вирусов. Причина кроется в том, в настоящий момент функционирует огромное количество компьютеров без адекватной, постоянно обновляемой антивирусной защиты.
Производители антивирусного программного обеспечения непрерывно предупреждали пользователей об опасности, в особенности это касалось коммерческих структур, оказавшихся основной мишенью действий вируса. Некоторые фирмы сообщали, что их антивирусные программы блокировали в минуту до 3 000 входящих электронных писем, инфицированных Mydoom.A. В среднем, на тот момент было заражено более полутора миллионов электронных писем и более 50 000 компьютеров по всему миру.
28 января 2004 г, среда
Червь Mydoom.A продолжал расползаться по миру. По статистике, одно из каждых двенадцати писем было заражено вредоносным кодом. Эти цифры значительно превысили «рекорд» вируса Sobig.F (одно зараженное на каждые семнадцать писем), эпидемия которого разразилась прошлым летом. Вплоть до сегодняшнего дня скорость распространения Sobig.F считалась самой высокой.
Согласно данным, собранным при помощи бесплатного онлайнового антивируса Panda ActiveScan по всему миру, в тот день червь Mydoom.A инфицировал в шесть раз больше компьютеров, чем Bugbear.B, второй наиболее часто встречающийся вирус. Также было установлено, что 300,000 компьютеров по всему миру, включая тысячи корпоративных компьютеров, заражены Mydoom.A.
К концу дня появился червь Mydoom.B - опасная версия вируса, запрограммированная на создание помех для обновления антивирусов. К счастью, число случаев заражения было незначительным.
29 января 2004 г, четверг
Mydoom.A по-прежнему быстро распространялся. Одно из каждых пяти электронных писем несло в себе вредоносный код, что означало наличие на тот момент четырех миллионов инфицированных писем. “Mydoom.A распространился бы в еще больших масштабах, если бы инфицированные компании не стали срочно предпринимать мер безопасности ”, - объяснил Луис Корронс (Luis Corrons), директор Вирусной лаборатории Panda. “Но вирус не останавливается, - добавил он, - и сейчас его цель - незащищенные компании, которые избежали первой волны зараженных писем”.
По данным Panda ActiveScan, в тот день червь Mydoom.A инфицировал компьютеров в шесть раз больше, чем Bugbear.B, второй в списке наиболее часто встречающихся вирусов. Самый тяжелый удар червя Mydoom.A приняли на себя именно корпоративные сети, и число инфицированных компьютеров достигло 400,000.
30 января 2004 г, пятница
Уровень заражений вирусом Mydoom.A стабилизировался. Тем не менее, Mydoom.A все же успел причинить вреда в шесть раз больше, чем Downloader.L, - вирус, который в пятницу являлся вторым по уровню распространения (согласно данным, собранным Panda ActiveScan). Около 500,000 компьютеров по всему миру - в основном, в корпоративных сетях - были поражены этим вредоносным кодом. Эти цифры демонстрируют серьезность угрозы, которую несет с собой Mydoom.A: несмотря на то, что сотни компаний очистили свои компьютеры от присутствия вируса, большая часть пострадавших локальных сетей все еще была заражена.
Червь продолжал размножаться. Было зафиксировано около восьми миллионов инфицированных электронных писем, что означало - одно из каждых четырех электронных писем несет в себе опасный код Mydoom.A.
31 января 2004 г, суббота
Работа компаний была приостановлена на выходные, и в субботу эпидемия немного стихла. Однако в воскресенье, 1 февраля, червь должен был запустить атаку Отказа в обслуживании (DDoS), направленную против корпорации SCO, что лишало пользователей доступа к веб-сайту этой корпорации.
Несмотря на то, что активность червя должна была понизиться, пользователям нельзя было расслабляться. Mydoom.A создает «лазейку» в инфицированных компьютерах, что делает возможным несанкционированный доступ к хранящейся информации. Стало известно, что огромное количество хакеров в эти дни охотятся за компьютерами, пораженными червем Mydoom.A., так как они не защищены от действий злоумышленников.
Поэтому Panda Software настоятельно советует всем пользователям установить межсетевые экраны. Только таким способом можно предотвратить атаки хакеров и DdoS и нейтрализовать вредоносные действия червя.
1 февраля 2004 г, воскресенье
Mydoom.A начал атаку отказа в обслуживании (DDoS), направленную против корпоративного сайта компании SCO. Пользователи лишились доступа к этому веб-сайту.
2 февраля 2004 г, понедельник
Несмотря на снижение активности в выходные, в понедельник количество инцидентов по-прежнему оставалось значительным, а с увеличением бизнес - активности по всему миру число заражений вновь стало расти.
Количество компьютеров, пораженных Mydoom.A, более чем в пять раз превысило количество заражений вирусом Downloader.L. Последний в тот день являлся вторым по частоте вирусом, обнаруживаемым при помощи Panda ActiveScan.
Как и в воскресенье, веб-сайт корпорации SCO был выведен из строя.
3 февраля 2004 г, вторник
Первые выводы
«Поскольку у Mydoom есть "срок годности", конкретно эта эпидемия прекратится, - говорит Константин Архипов, руководитель российского представительства компании Panda Software. - Но мы должны быть готовы к тому, что можем столкнуться с новыми атаками в ближайшее время. Эпидемия Mydoom закончится, но вирусные эпидемии как таковые не прекратятся никогда».
Просвещение и обучение основам информационной безопасности - самая главная часть плана по предотвращению вирусных эпидемий, но и самая трудная в реализации. Мало обучить всех пользователей вопросам информационной безопасности, самое главное - добиться, чтобы они потом этим правилам следовали.
РАСПРОСТРАНЕНИЕ ЧЕРВЯ MYDOOM.A
Измерить уровень распространения Mydoom.A достаточно просто. При этом необязательно задействовать внешние исследования. Этот вирус ищет электронные адреса в пораженном компьютере, но для того, чтобы отправить сообщение, ему необходимо вычислить название почтового сервера, используемого данной почтой. В поисках этого названия вирус пробует различные комбинации адресов серверов SMTP.
Это становится причиной колоссального увеличения числа попыток получить адреса с серверов DNS (системы доменных имен). Статистика корневых серверов показывает количество подобных инцидентов.
Данная таблица демонстрирует действия, связанные с серверами DNS, администрируемыми компанией RIPE (Reseaux IP Europeéns) на протяжении последней недели: отказы на запрос имен.
Диаграмма показывает, что количество запросов, получивших отказ, превысило норму во много раз - это произошло при генерации вирусом несуществующих имен.
Следующая диаграмма показывает количество запросов, получивших положительный ответ: не смотря на то, что наблюдается некоторое увеличение, их число несравнимо с количеством отказов:
До появления вируса, за неделю система фиксировала около 5,5 миллионов запросов, получивших положительный ответ. Когда Mydoom начал свою атаку, это число возросло до 7 миллионов, т.е. увеличилось почти в два раза. А вот количество отказов увеличилось более чем в 100 раз.
Panda Software рекомендует пользователям обновить свои антивирусные программы, если это еще не сделано. Клиенты компании получили соответствующее обновление в максимально короткий срок.
Panda Software также предоставляет пользователям свой инструмент Pqremove, который обнаруживает и уничтожает червь Mydoom.A. на инфицированных компьютерах и восстанавливает все изменения системной конфигурации. Эту утилиту можно получить бесплатно в разделе веб-сайта Panda: <http://www.pandasoftware.com/download/utilities>.
Panda Software предлагает пользователям бесплатный онлайновый инструмент Antivirus Checker, который позволит Вам проверить статус защиты Вашего компьютера. Этот инструмент определяет, установлена ли на компьютере антивирусная программа, какая именно, когда она в последний раз обновлялась. Таким образом, компьютер всегда будет надежно защищен от вирусов. Antivirus Checker можно скачать здесь: <http://www.pandasoftware.com/protected>.
Пользователи могут проверить свой компьютер на наличие Mydoom и прочих вредоносных кодов (а при их обнаружении и вылечить) при помощи бесплатной антивирусной программы Panda ActiveScan, которую можно получить с веб-сайта компании: <http://www.pandasoftware.com/>.
Более подробная информация по сетевому червю Mydoom.A имеется в Вирусной Энциклопедии Panda Software.
