Новый вирус убьет Microsoft через 3 дня

13 августа 2003 года

В интернете с угрожающей быстротой распространяется новый компьютерный вирус W32.Blaster.Worm (другое название LoveSun). Согласно экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и Европе, в том числе и в России, всего - около 20 тыс. персональных компьютеров.

В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.

Специалисты считают, что реальное количество зараженных компьютеров может быть значительно больше, и уже достигает сотен тысяч. Однако их владельцы пока не подозревают об опасности - новый вирус находится в «спящем» состоянии и пока не дает о себе знать.

Особенностью LoveSun является том, что он как бы заранее создает «плацдарм» для самой большой в истории интернета атаки против программ Microsoft, которая начнется 16 августа в 00:00 часов.

В тексте вируса содержится обращение к главе компании Биллу Гейтсу с призывом «прекратить делать деньги и исправить программное обеспечение».

Вирус распространяется на компьютерах с операционными системами Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003.

LoveSun использует уязвимое место в оперативных системах Microsoft, обнаруженное три недели назад. Попав в компьютер, он разрушает все защитные системы и даже может выести его из строя, после чего распространяется на другие компьютеры.

Одним из признаков заражения становится самопроизвольная перезагрузка компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.

Первый удар вируса произошел вечером 11 августа и пришелся по компьютерным сетям США.

Одна из крупнейших компаний-торговцев программным обеспечением PC World ввела в действие «горячую» телефонную линию, куда за советом могут обратиться все владельцы пострадавших компьютеров.

Microsoft сообщил своим клиентам, что нужно делать, чтобы уберечься от вируса

Компания Microsoft сообщила своим клиентам о мерах, которые необходимо принять, чтобы победить новый компьютерный вирус.

На своем сайте компания Microsoft разместила рекомендации по лечению зараженного компьютера, а также ссылки на дополнительные программы-«Заплатки», устраняющие возможность заражения.

Кроме того, уберечься от распространения червя позволяют специальные программы-брандмауэры, защищающие компьютер от несанкционированного доступа извне.

Что из себя представляет новый вирус и как он действует

Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, пишет ДиалогНаука.

Червь существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe).

Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.

Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить «атакующему» компьютеру полный доступ к «атакуемому», а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд.

Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe).

Этот код помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows.

С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.

Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com

Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч.

С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно.

Вирус LoveSun не создаст серьезных проблем, считают в «Лаборатории Касперского"

С начала августа зафиксировано две «компьютерных эпидемии». Об этом в эфире радиостанции «Эхо Москвы» сообщила эксперт «Лаборатории Касперского» Светлана Новикова.

«2 августа обнаружен новый классический червь, он рассылается по электронной почте, - сказала Новикова. - Как правило, это текст на английском языке, сообщающий о проблемах с электронным ящиком и предлагающий открыть вложенный файл».

В начале этой недели интернет поразил более опасный вирус LoveSun. Эта программа распространяется автоматически, что спровоцировало огромное количество заражений.

"LoveSun использует технологию распространения, схожую с нашумевшим вянваре этого года сетевым червем Slammer, - говорит Новикова. - Правда, в его распространении заложена некоторая задержка, поэтому глобального хаоса ожидать не приходится».