БУМАЖНЫй НОМЕР
![]() |
01.09.2001
Владимир Гуриев
Две
сильнейшие эпидемии компьютерных вирусов обрушились на интернетчиков во второй
половине лета.
История с псевдокитайским червем Code Red, поражающим веб-серверы под управлением Microsoft Internet Information Server (IIS), началась 19 июля, когда вирус был впервые замечен. Размножался он довольно активно, поскольку использовал для распространения малоизвестную, недавно обнаруженную «дыру» в IIS, да и реализован был достаточно необычно. В первой своей инкарнации вирус ничего не записывал на жесткий диск - он хранился только в оперативной памяти зараженной машины и как череда TCP-пакетов в момент пересылки с одного сервера на другой.
Предположение о его китайских корнях возникло из-за того, что вирус подменял оригинальную заглавную страницу веб-сервера пустой страничкой с надписью «Hacked by Chinese». Кроме того, поражались лишь компьютеры под управлением англоязычных операционных систем, и наконец, зараженные Code Red машины осуществляли DoS-атаку на сайт Белого дома 1.
За первые семь дней эпидемии червь поразил более 350 тысяч серверов. Конечно, для большинства пользователей он опасности не представлял - мало кто содержит на своем ПК веб-сервер. Тем не менее, неудобств Code Red доставил изрядно, поскольку, генерируя неимоверный объем трафика, нередко становился причиной перегрузки интернет-каналов 2.
К концу июля эпидемия пошла на спад, но тут аналитики заговорили о возможности второй волны, вследствие того что на какой-либо из зараженных машин могла быть неправильно установлена системная дата, и вирус, который должен был самоликвидироваться 28 июля, продолжал бы и дальше распространяться по Сети (Code Red активен только с 1 по 27 число месяца, 28 он «засыпает», чтобы никогда более не активизироваться).
Так, собственно, и случилось. Правда, масштабы «эхо»-эпидемии оказались более скромными: за первую неделю августа, по разным оценкам, было заражено от 150 до 175 тысяч компьютеров. Однако дело осложнилось появлением клона, условно названного Code Red II. По сравнению с предшественником он оказался куда более зловредным, так как, сохранив функциональность прародителя, обзавелся еще и записываемым на диск троянским кодом.
Эпидемия Code Red освещалась западными СМИ очень подробно, а вот гораздо более опасному для большинства пользователей Сети почтовому червю Sircam пресса уделила намного меньше внимания. Как и его многочисленные предшественники, он поражает только компьютеры, на которых в качестве почтового клиента используется Microsoft Outlook (Express). Но в отличие от большинства подобных червей, вред от которых, как правило, заключается лишь в генерации избыточного сетевого трафика, Sircam не столь миролюбив. Вирус удаляет все файлы на диске с каталогом Windows (страдает один компьютер из двадцати), а для своей рассылки он наугад выбирает файлы на жестком диске зараженного компьютера. Причем Sircam может разослать те файлы, которые владелец ПК распространять отнюдь не собирался: например, в Сеть попали не слишком секретные, но явно не предназначенные для опубликования документы из администрации украинского президента.
Правда, нет худа без добра. На форуме Slashdot обсуждалась история человека, который с помощью Sircam получил надежду найти украденный ноутбук. Дело в том, что ноутбук, находящийся в руках вора и зараженный вирусом, прислал несколько писем приятелям бывшего хозяина (чьи адреса были в адресной книге Outlook). По служебной информации, хранящейся в заголовках писем, можно найти провайдера, через которого работал воришка, а затем и выйти на похитителя.
1 (обратно к тексту) - Правда,
администраторы сайта Белого дома угрозы избегли, просто присвоив сайту другой
IP-адрес. Если бы в коде вируса указывалось доменное имя, то, конечно, так легко
проблема не решилась бы.
2 (обратно к тексту) - Кроме того,
генерируемые вирусом HTTP-запросы могут некорректно обрабатываться сетевым
оборудованием (например, некоторыми маршрутизаторами и коммутаторами Cisco), что
чревато перебоями в его работе.