Вирус без противоядия. Запустили в Интернет россияне ("Ведомости")
Беспрецедентная вирусная эпидемия охватила Интернет в конце прошлой недели. Эксперты до сих пор не могут сказать, что именно — вирус или массовый взлом серверов — вызывает распространение вредоносной программы. Зато никто не сомневается в ее российском происхождении: западные СМИ уже окрестили эпидемию “русской атакой”.
В четверг вечером началась вирусная эпидемия, получившая название Download.Ject. Чтобы подцепить новую заразу, пользователям Интернета не нужно скачивать из Интернета содержащие вирус компьютерные программы или открывать подозрительное электронное письмо. Достаточно зайти на зараженный сайт с помощью самого массового веб-браузера Microsoft Internet Explorer в среде Windows.
“Мы столкнулись с уникальным сочетанием разнообразных видов деструктивного воздействия, выстроенных в четкую и замечательно работающую схему”, — сказал “Ведомостям” менеджер по корпоративным коммуникациям “Лаборатории Касперского” Алексей Зернов. По его словам, специалисты пока даже не могут достоверно установить, как же вредоносная программа попала на их веб-сайты. Эксперты подозревают, что организаторы эпидемии нашли сами или выкупили у других хакеров информацию о неизвестной уязвимости в Internet Information Services.
Microsoft отмечает в своем вирусном бюллетене, что вирусный Java Script попадает на веб-серверы не из-за какого-либо вируса, а благодаря целенаправленному хакерскому взлому этих серверов. В четверг и пятницу Microsoft с партнерами вела работу по отключению злополучных веб-адресов, с которых хакеры устанавливали вирусы-“троянцы”.
Кроме того, утверждают в Microsoft, Download.Ject не угрожает ни веб-серверам, ни персональным компьютерам с установленными на них последними обновлениями программ. “Возникновение этого «троянца» еще раз показывает необходимость соблюдения компьютерной гигиены и регулярного обновления всех программ”, — говорит Владимир Мамыкин, менеджер по информбезопасности московского представительства Microsoft.
В пятницу вечером эпидемия захлебнулась после того, как перестал работать российский веб-сайт, на котором хранилась программа-“троянец”. “К нам поступило много обращений от зарубежных администраторов, и мы были вынуждены закрыть эту веб-страницу”, — пояснил “Ведомостям” Максим Азаров, директор компании E-Neverland Network, на сервере которой она была размещена.
Несмотря на это, антивирусные компании не считают, что эпидемия прекратилась. Ведь пока непонятно, как вообще вирус попадает на серверы. Эксперты по-прежнему советуют заблокировать исполнение Java Script в Internet Explorer или пользоваться другими браузерами тем, кому не по силам настроить эту программу.
Download.Ject поразил многие серверы. “Пользователи должны осознавать, что любые сайты, даже те, которым вы доверяете, могут быть поражены этой активностью и содержать потенциально вредоносный код”, — предупреждает веб-сайт Центра быстрого компьютерного реагирования, госструктуры США. Эксперты The Internet Storm Center в посвященном вирусной атаке сообщении отказались привести список зараженных сайтов, дабы не причинить им дополнительный ущерб. Однако, по их словам, этот список очень длинный и включает компании, тщательно следящие за безопасностью.
“Согласно нашим исследованиям, подавляющее большинство корпоративных сайтов не заразились, — сказал «Ведомостям» гендиректор лондонской компании mi2g Д. К. Матай. — Однако процент пораженных вирусом намного выше среди порносайтов и серверов, специализирующихся на пиратских программах, музыке и видео”. С помощью поиска в Google “Ведомости” нашли вредоносный текст Java Script на сайтах Французского объединения Цюриха и клуба велосипедистов Тасмании.
В “Лаборатории Касперского” считают, что за эпидемией стоит российская группа HangUp Team. По словам Зернова, в теле “троянца” есть прямое сообщение об авторстве этой команды. Ей же эксперты приписывают и создание других нашумевших вирусов — MyDoom и Korgo.
По данным “Лаборатории Касперского”, HangUp Team основали три жителя Архангельска, в 2000 г. они за написание вредоносных программ были арестованы и получили условный срок. Согласно веб-сайту HangUp Team, эта группа специализируется на “средствах удаленного администрирования” и их распределенных сетях.
Эта команда даже предлагает клиентам разработку на заказ подобных решений “удаленного администрирования” без ведома пользователей. “Мы соберем вам средство удаленного администрирования, подключив к нему любые модули по вашему желанию, осуществив любую технологию контроля стада [парк зараженных компьютеров-зомби]”, — рекламируют себя HangUp Team.
Роман Дорохов
Ведомости
28.06.2004, №110 (1150)
*