Возврат
ТелекомВести

Предыдущая новость23 июля 2001 г.Следующая новость



Новое поколение Internet-червей уже поразило 12 тыс. Web-сайтов


20 июля ("Телеком-Форум")

Компания "Лаборатория Касперского", российский разработчик антивирусного ПО, сообщила об обнаружении нового поколения Internet-червей, не использующих для своей работы никаких временных или постоянных файлов. Этот тип вредоносных программ осуществляет все операции (включая распространение и проведение DDoS-атак) исключительно в системной памяти машин.

Первый представитель данного семейства Bady (также известный под именем Code Red), по данным ZDNet, уже заразил около 12 тыс. серверов по всему миру и провел крупномасштабную DDoS-атаку на Web-сервер Белого дома. Bady заражает только серверы под управлением Windows 2000 (без установленных сервисных пакетов) с включенным модулем IIS и службой индексирования (Indexing Service). Для проникновения на удаленные компьютеры червь использует обнаруженную брешь в системе безопасности IIS, которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код. Для этого Bady посылает на случайно выбранный сервер специальный запрос, дающий компьютеру команду запустить основную программу червя, которая в свою очередь пытается таким же образом проникнуть на другие серверы. Одновременно в памяти машины может существовать сразу сотни активных "червивых" процессов, что существенно замедляет работу сервера.

"Данный червь действительно уникален: он существует либо в системной памяти зараженных компьютеров, либо в виде TCP/IP-пакета при пересылке на удаленные машины, - заявил Евгений Касперский, руководитель антивирусных исследований компании, - Подобная "бестелесность" представляет серьезную проблему для защиты серверов, поскольку требует установки специальных антивирусных модулей на межсетевые экраны".

Помимо значительного замедления работы зараженных компьютеров, Bady имеет другие побочные действия. Во-первых, червь перехватывает обращения посетителей к Web-сайту, который управляется зараженным IIS-сервером, и вместо оригинального содержимого передает им фальсифицированную страницу. После показа фальсифицированной стартовой страницы зараженного Web-сайта в течение десяти часов, червь автоматически возвращает все на свои места и посетители видят оригинальную версию сайта (стоит отметить, что данный эффект проявляется только на системах, где по умолчанию используется язык US English).

Для нейтрализации, а также в качестве профилактической меры для предотвращения проникновения червя на сервер необходимо установить "заплатку" для обнаруженной "бреши" в системе безопасности IIS.

"Лаборатория Касперского"

Тел.: (095) 948-5650

e-mail: svetlana@kaspersky.com

http://www.kaspersky.com

Дополнительная информация

Вредоносные коды в RTF-файлах (15 июня 2001 г.)

Брешь в серверном ПО Microsoft (22 июня 2001 г.)

Service Pack 1 для Windows 2000 (1 августа 2000 г.)

Окна в Internet (21 февраля 2000 г.)