12 августа интернет поразила еще одна глобальная вирусная эпидемия. По некоторым оценкам, равных ей еще не было в истории. Десятки тысяч корпоративных сетей по всему миру, а также огромное количество домашних компьютеров, постоянно подключенных к интернету по широкополосному соединению, были мгновенно поражены червем. По некоторым оценкам, за один день были поражены не меньше 166 тыс. компьютеров (в июле 2001 г. Code Red за месяц заразил 300 тыс. компьютеров).

Вот лишь небольшой список жертв: правительство Германии сообщило о "высокой степени поражения"; Федеральный банк США сообщил, что пришлось отключить большинство компьютерных систем; в некоторых американских фирмах во вторник вообще отправили сотрудников по домам. Больше всех пострадал даже не сайт Microsoft, против которого червем назначена распределенная атака (она состоится 16 августа), а репутация софтверного гиганта. На следующий день после начала эпидемии о фирме Microsoft начали говорить в новостных выпусках всех без исключения телеканалов мира.

Червь, известный под разными именами, включая W32.Blaster, MSBlast и W32/Lovsan, впервые появился вечером в понедельник, 11 августа. И хотя вероятность появления такого вируса была заранее предсказана экспертами по безопасности, все-таки программе удалось распространится очень широко за чрезвычайно короткий промежуток времени. Уже через несколько часов червя обнаружили в Северной и Южной Америке, в Европе, Азии, Африке и даже в белорусском сегменте интернета. Как сообщает провайдер "Деловая сеть", благодаря закрытию TCP-портов 135, 69 и 4444, только в период с 10:00 до 15:00 во вторник было предотвращено 4 213 050 попыток заражения.

Месяц назад, 16 июля, Microsoft признала наличие очередной критической уязвимости в службе DCOM RPC (Remote Procedure Call) и выпустила патч для закрытия дыры. 25 июля группа китайских хакеров разместила в онлайне исходный код эксплоита. 31 июля Департамент национальной безопасности США опубликовал официальное предупреждение о потенциальной угрозе и настоятельно рекомендовал установить упомянутый патч от Microsoft. Но ничего не помогло. Дыра в DCOM RPC была слишком соблазнительна. В результате поражению подверглись сотни тысяч компьютеров под управлением Windows NT 4.0/2000/XP и Windows 2003 Server.

С самого своего появления служба DCOM как модель обмена данными в распределенных системах вызывала массу нареканий со стороны специалистов по безопасности. Однако Microsoft не захотела от нее отказываться, потому что теряла на этом большие деньги. Последняя обнаруженная недоработка в службе DCOM особенно опасна - она позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).

После успешной загрузки основного тела червя оно копируется в каталог system32 под именем msblast.exe и запускается на выполнение. Червь Lovesan просматривает случайный диапазон IP-адресов для поиска уязвимых компьютеров (порт TCP 135). Червь пытается установить удаленное соединение и передать уязвимому компьютеру TFTP-команды на загрузку основного тела червя, используя ту же уязвимость DCOM RPC. Разослав свои копии, червь выводит надпись "I just want to say LOVE YOU SAN!! Bill" ("Я просто хочу сказать: любите свои системные сети. Билл") и перегружает компьютер. В качестве побочного действия новый червь содержит функцию распределенной атаки на сайт WindowsUpdate.com, содержащий обновления операционной системы Windows. Функция активизируется 16 августа 2003 года.

Червь создает огромный избыточный трафик в каналах связи. Если бы не запрограммированная в Lovesan 1,8-секундная задержка между попытками заражения других компьютеров, то можно даже не сомневаться, что произошла бы десегментация интернета. Впрочем, это еще впереди. Эксперты предсказывают, что в течение ближайшего года будет создан червь, который сможет распространиться по интернету в течение 15 минут, используя дыры в Windows.

Анатолий АЛИЗАР