Новый компьютерный вирус Worm.Win32.Sasser поразил несколько тысяч компьютеров украинских пользователей.
Как сообщил в среду, 5 мая, представитель киевской компании-разработчика антивирусных программ "Украинский национальный
антивирус" Евгений Шевченко, в данный момент известны уже четыре модификации данного "червя". "В данный момент на Украине вирусом Worm.Win32.Sasser заражено несколько тысяч компьютеров, подключенных к глобальной сети Интернет", - сообщил Шевченко.
По прогнозам экспертов, в течение среды-четверга, когда после майских праздников возобновляют работу все организации, количество "инфицированных" компьютеров вырастет в несколько раз. При этом вирус представляет угрозу для операционных систем Windows 2000, XP, Server 2003.
По словам Шевченко, зараженный "червем" компьютер постоянно выполняет процедуру принудительной перезагрузки, что практически полностью исключает возможность нормальной работы техники.
"Эпидемия вируса Worm.Win32.Sasser может стать наибольшей за все время существования компьютеров", - подчеркнул представитель разработчиков антивирусных программ.
Те, кто прогнозировал появление новых сверхопасных вирусов, оказались правы. 1 мая 2004 г. ведущие антивирусные компании сообщили о вирусной эпидемии принципиально нового типа. Червь Sasser самостоятельно копирует себя с компьютера на компьютер без малейшей помощи со стороны пользователя.
Как сообщает сайт "Вебпланета", среди пострадавших - банки, билетные кассы авиакомпаний, 1200 компьютеров в офисах Европейской комиссии, 300 тыс. компьютеров Федеральной почты Германии и даже, как сообщает Reuters, компьютеры на 19 станциях береговой охраны Великобритании. «Нам пришлось вспомнить прошлое и делать распечатки на плоттере вместо того, чтобы использовать компьютерную картографическую систему», - сообщил агентству Reuters представитель службы береговой охраны.
В отличие от всех предыдущих вирусных эпидемий, червь Sasser для заражения не требует помощи пользователя вроде открытия вложенных файлов. Он заражает компьютер незаметно и автоматически начинает дальнейшее распространение. Поэтому эпидемия распространилась в Интернете значительно быстрее, чем примитивные почтовые эпидемии прошлого. Всего за несколько часов зараженными оказались миллионы компьютеров под управлением ОС Windows 2000, NT и XP (Win98 по-прежнему неуязвима).
Ни одна антивирусная компания не успела среагировать раньше начала необратимого массового заражения пользователей. Если администраторы корпоративных сетей могли оперативно отреагировать на появление аномального трафика по определенным портам, то у домашних пользователей не было никаких шансов, и они пострадали больше всех. Среди домашних пользователей эпидемия сейчас в самом разгаре, и вирус ежедневно копирует свои копии на новые компьютеры, которые только сейчас появляются в онлайне. Это принципиально новый этап в эволюции вирусов. Теперь, чтобы заразиться, достаточно просто подключить свой компьютер к интернету и подождать несколько минут. И всё - больше ничего не надо! Спустя еще несколько минут компьютер начнет самостоятельно перегружаться. Для неопытных пользователей это будет выглядеть по-настоящему таинственно.
По мнению специалистов, эпидемия будет постепенно спадать, но обращение червя Sasser в сети продолжится еще несколько лет. Видимо, это первый шаг к образованию так называемого «супервируса», глобальной вирусной пиринговой сети, появление которой прогнозировали эксперты.
Червь Worm.Win32.Sasser.b распространяется по глобальным сетям, используя уязвимость в службе LSASS Microsoft Windows, обнаруженную 13 апреля 2004 г. Ее описание приведено в Microsoft Security Bulletin MS04-011.
Worm.Win32.Sasser.b написан на языке C/C++, с использованием компилятора Visual C. Он имеет размер около 15872 байт, упакован ZiPack. При запуске червь регистрирует себя в ключе автозапуска системного реестра такой строчкой: avserve2.exe = %WINDIR%avserve2.exe
По TCP-порту 445 червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку «cmd.exe» и принимает команду на загрузку копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию.
Для уничтожения червя нужно обновить антивирусную базу или скачать специальный патч.
Экспрессинформ
05.05.2004 13:19