MyDoom - новая эпоха электронного терроризма

Жуткий компьютерный вирус атаковал Интернет. Начиная с 27 января и по сегодняшний день зараженными оказались более 600 тысяч компьютеров. Каждое 12-е письмо приходило с вложенным сообщением и призывом открыть его. Пользователь, открывавший аттачмент, наказывал как себя, так и тех, чьи адреса были прописаны в его адресной книге. Вирус MyDoom (в переводе с английского языка - моя гибель) он же Novarg, нанес в мировом масштабе, по приблизительным подсчетам экспертов, ущерб в 2 млрд. долларов, "сожрал" до 75% мирового почтового траффика.
Главной мишенью деятельности кибернетического хулигана оказались сайты компаний Microsoft и SCO. Обнаружившие вирус специалисты заявили, что он, вероятнее всего, - российского происхождения.

Знать врага в лицо

"Зверюга" на первый взгляд вполне безобидна - в письме обычное вложение, как правило, zip-файл. Как и остальные вирусы, он начинает действовать сразу, рассылает письма по адресам в книге. Пользователь получает письмо со знакомым адресом и будучи уверенным в добропорядочности отправителя, открывает вложение. И глубоко ошибается. Потому что сам становится жертвой. Скользкий 'червяк' MyDoom не только прикрепляется к письмам, но и распространяется по сетям файлообмена KaZaA. Вполне невинное на первый взгляд приложение Windows 'весит' 22 528 байт, упакован UPX. Размер распакованного файла около 40KB. Неопытный пользователь, открыв прикрепленное безобразие, кроме произвольного набора символов ничего не увидит.

Дальше 'червяк' ведет себя, как и все остальные представители семейства компьютерных паразитов. Он копирует себя в системный каталог Windows, создавая два файла - TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) регистрирует эти файлы в ключе автозапуска системного реестра и начинает незаметную для пользователя рассылку писем. Адреса электронной почты он ищет в файлах с такими расширениями: asp, dbx, tbb, htm, sht, php, adb, pl, wab, txt. Надо обратить внимание, что вирус игнорирует электронные адреса, оканчивающиеся на ".edu".

Открытие отменяется

Самый простой метод борьбы с MyDoom - не открывать вложенные файлы в письмах. Но уж если это случилось, необходимо срочно просканировать систему антивирусом. Только вот беда в том, что попав к вам в компьютер, 'червяк' не дает обновлять антивирусную систему. Этим в особенности отличается вторая версия вируса, появившаяся через несколько дней после первой. MyDoom.b, он же Novarg, закрывает доступ к сайту 'Лаборатории Касперского', но при этом о сайте компании 'Диалог - наука' он 'забывает'.

Кстати, министерство внутренней безопасности США создало специальную систему предупреждения киберугроз. Причем введена особая цветовая система классификации, аналогичная той, что применяется для индикации степени террористической опасности. Первое предупреждение было распространено системой 29 января через сайт www.us-cert.gov. Система как раз предупреждала об эпидемии червя Mydoom. С помощью этой системы пользователи могут получать информацию не только об угрозах эпидемий вирусов, но также и подробные указания, как с ними бороться.

Билл Гейтс 'попал'

В черве заложена функция организации DDoS-атаки на сайты Microsoft и SCO, что и случилось 1 февраля. Сервер компании SCO 'умер' сразу, а Microsoft завис на несколько часов. Вирус будет атаковать сайты до 12 февраля. Сейчас, когда вы читаете этот материал, все зараженные компьютеры посылают запросы на эти сайты. Microsoft уже назначил награду за информацию о вирусописателе - 500 тысяч долларов. Но это пока не помогло.

Так кому же выгодно распространение этой заразы? Существует версия, что компьютерных червей создали сами борцы с вирусами. Антивирусная компания "Лаборатория Касперского" в ответ на это обвинение заявила, что даже если бы она этим занималась, у нее сейчас не было бы времени на разработку новых вирусов: раньше появлялось примерно 25 "зараз" в день, а теперь - 80!

Есть и другая версия: ФБР задержало нескольких менеджеров компании SCO после обыска в головном офисе компании. По неофициальной информации, агенты, проанализировав географию распространения червя, вышли на источник заражения - программистов, работавших в SCO.

Еще одна версия - создатели MyDoom мстят за культовую среди энтузиастов-программистов операционную систему Linux. Благодаря тому, что исходные коды этой ОС открыты, Linux завоевала колоссальную популярность в мире и считается главным конкурентом Windows. Однако Microsoft и SCO не перестают считать такой подход к созданию программных продуктов принципиально неверным. Более того, SCO, заявив о том, что в Linux используются украденные у нее фрагменты кода, добивается запрета на использование данной системы и уже судится с ее разработчиками.

Второй эшелон

На данный момент по сети уже вовсю разгуливает вторая версия червя - MyDoom.b. Скорее всего, для распространения новой версии были использованы компьютеры, уже зараженные первой версией. Не исключено, что вскоре последует новый бум распространиния и активности вируса - так как зараженные компьютеры проводят массовую рассылку 'нового варианта'. Как сообщает 'Лаборатория Касперского', 'новая версия червя содержит минимум технологических отличий. Она также распространяется по электронной почте и файлообменной сети KaZaA. При e-mail рассылке используется другой набор текстовых строк для создания тела письма. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку "sync-1.01; andy; I'm just doing my job, nothing personal, sorry".
Кроме того, червь модифицирует операционную систему таким образом, что пользователь зараженного компьютера не в состоянии соединиться с сайтами многих антивирусных компаний, новостными лентами, различными разделами сайта Microsoft и загружать данные из баннерных сетей'.

Жив, курилка!

Многие СМИ поспешили посредством броских заголовков поднять рейтинги и предрекли из-за бесчинств MyDoom 'конец Интернета'. Такая паника возникает уже не в первый раз. И после знаменитого I Love You, и после многих других 'червяков' появлялись пророчества о кибернетическом апокалипсисе. Представитель компании 'Лаборатория Касперского' комментирует эти слухи так: 'Интернет никогда не может умереть в один момент. Самое худшее, что мы можем ожидать, - это десегментация Интернета, то есть когда различные географические сегменты не смогут между собой общаться, или просто массовое отключение компьютеров, работающих в глобальной сети. Но всё это, естественно, поправимо, и, скажем, в течение нескольких дней это всё можно восстановить'.

А вот теперь подумайте. Можно сколько угодно обвинять хакеров, наказывать их. Но проблема - глубже. Подключаясь к провайдеру, у пользователя должна быть гарантия, что на почтовом сервере установлен нормально функционирующий антивирус с регулярно обновляемыми базами. Это условие надо включать в договор. Неопытным же пользователям Сети с самого первого их шага в Интернете надо прививать мысль, что категорически не следует открывать незнакомые файлы.

Мария Михайлова, специально для ИА 'Росбалт'