В понедельник по интернету стремительно распространился вирус массовой почтовой рассылки, заставляющий компьютеры 1 февраля атаковать веб-сервер SCO Group.

Вирус, который разные антивирусные компании называют MyDoom, Novarg или разновидностью вируса Mimail, — содержится в письмах с одним из нескольких вариантов строк в поле subject, таких как Mail Delivery System, Test или Mail Transaction Failed. В письмо вложен исполняемый файл, а в его теле присутствует фраза типа The message contains Unicode characters and has been sent as a binary attachment.

«Это какой-то кошмар, — жалуется вице-президент по безопасности антивирусного подразделения компании Network Associates Винсент Галлотто. — Мы расцениваем эту вспышку как очень опасную». В течение часа сама Network Associates получила 19500 писем с вирусом из 3400 разных интернет-адресов. Одна крупная телекоммуникационная компания, чтобы остановить вирус, уже отключила свой шлюз email.

Заразив Windows-ПК, вирус устанавливает программу, которая позволяет управлять компьютером на расстоянии. Она настраивает ПК на отправку данных в адрес веб-сервера SCO Group, начиная с 1 февраля. В понедельник днем этот веб-сайт загружался медленно, но все же был доступен через World Wide Web. В прошлом году веб-сайт SCO несколько раз выводили из строя атаками на отказ в обслуживании, но ни одна из них не была инициирована вирусом. В прошлом компания обвиняла в организации по крайней мере одной из таких атак сторонников Linux.

В понедельник антивирусные компании бросились исследовать вирус, который начал распространяться примерно в полдень по стандартному тихоокеанскому времени. Он поражает компьютеры с версиями операционной системы Windows 95, 98, ME, NT, 2000 и XP. «Большая часть информации зашифрована, но мы расшифровали ее», — говорит старший директор центра быстрого реагирования антивирусной компании Symantec Шарон Рукман. За первый час эпидемии Symantec получила около 40 сообщений о вирусе — это довольно много.

Вирус устанавливает Windows-программу, которая открывает «черный ход» в систему, позволяя атакующим загружать в нее другие программы. Кроме того, злоумышленник может проложить через зараженный компьютер нужный ему маршрут, чтобы скрыть источник атаки.

Вирус создает свою копию в каталоге загрузки Kazaa и камуфлирует файл одним из семи имен типа Winamp5, RootkitXP, Officecrack или Nuke2004. В теле письма может быть, например, такой текст: The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Первые данные указывают на то, что эпидемия в несколько раз превосходит эпидемию вируса Sobig.F, который вызвал массовое заражение компьютеров летом прошлого года. «При таком темпе распространения мы будем отлавливать около 8 млн копий в день, — говорит вице-президент сервис-провайдера email Postini Скотт Петри. — В первый день эпидемии вируса Sobig.F компания изолировала всего 1400 зараженных сообщений, а за сутки в период самого разгара эпидемии — 3,5 млн».

Почтовые системы, удаляющие исполняемые файлы из электронных писем, останавливают распространение программы.

Роберт Лемос (Robert Lemos), CNET News.com

27 января, 2004, 10:41

ZDNET Россия