Червь-миллионер

В Интернете завелся новый червь, по скорости и масштабам распространения опередивший всех своих предшественников, появлявшихся в Сети в последние четыре года. Вирус Downadup, появившийся в Мировой паутине всего около двух недель назад, уже успел инфицировать более девяти миллионов компьютеров. Червь использует уязвимость в операционной системе Windows и затем фактически предоставляет своему создателю доступ к зараженному ПК. Специалисты полагают, что киберпреступники, ответственные за распространение червя, путем массовой вирусной атаки стремятся расчистить путь к получению финансовой выгоды.

Вирус Downadup, также известный в сети как Conficker и под несколькими другими именами, был обнаружен в Интернете в начале января, а уже 18 января, по самым скромным подсчетам, количество зараженных машин превысило девять миллионов. В течение суток червь успевает поразить около миллиона компьютеров. Эксперты указывают на то, что таких темпов распространения вирусов не было зафиксировано уже несколько лет, с тех самых пор как в сети закончились «эпидемии», вызванные появлением Loveletter, Melissa, Sasser и Blaster.

Производители антивирусного программного обеспечения установили, что червь использует уязвимость MS08-067 в сервисе Microsoft Windows (начиная от 2000 и заканчивая бета-версией Windows 7), а затем инициирует дистанционные вызовы к другим машинам. Это позволяет внедрить в сетевой компьютер удаленный код, чтобы впоследствии создатель червя смог получить полный контроль над зараженной машиной. При этом червь распространяется не только через Интернет, но и через USB-устройства, такие как флэш-накопители и mp3-плееры.

Нужно также отметить, что вирус регулярно обновляется, закачивая свои новые версии на инфицированные компьютеры с разных, постоянно меняющихся IP-адресов. Это затрудняет блокирование и повышает степень опасности. Кроме того, ряд вариантов вредоносной программы загружает на зараженный компьютер другие вирусы. Это дает специалистам повод полагать, что хакеры, создавшие и распространяющие этих червей, намерены начать широкомасштабную атаку с использованием зараженных машин. На инфицированные компьютеры можно будет легко загрузить другие угрозы, вроде троянов для кражи паролей к системам интернет-банкинга, или программы, которые вызывают вспывающие окна, сообщающие пользователю о том, что ПК заражен, и блокирующие возможность использования приложений до приобретения «лечащих» программ.

Нужно отметить, что червь распространяется в геометрической прогрессии. Изначально вирус исходил всего от одного компьютера, и многие инфицированные машины заражают десятки новых.

«Данная вредоносная программа была создана с целью формирования очередной бот-сети, – комментирует руководитель отдела антивирусных разработок и исследований компании «Доктор Веб» Сергей Комаров. – Затем делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и ее продажа. К сожалению, недостатка спроса на работающие бот-сети в наше время нет».

«Этот вирус способен производить на зараженном компьютере практически любые действия по запросу сервера, – говорит старший вирусный аналитик Лаборатории Касперского Борис Ямпольский. – Помимо этого, он серьезно загружает сетевой трафик, что существенно осложняет работу в Интернете».

Для профилактики и лечения вируса специалисты антивирусных компаний рекомендуют пользователям скачать патчи, указанные в бюллетенях Microsoft MS08-067, MS08-068 и MS09-001. Также рекомендуется отключать автозапуск программ со съемных носителей, использовать автоматическое обновление Windows, не применять для входа в систему простые пароли и, конечно, установить у себя антивирусное программное обеспечение.