Новый вирус убьет Microsoft через 3 дня

В интернете с угрожающей быстротой распространяется новый компьютерный вирус W32.Blaster.Worm (другое название LoveSun). Согласно экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и Европе, в том числе и в России, всего - около 20 тыс. персональных компьютеров.

 

 В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.

 

 Специалисты считают, что реальное количество зараженных компьютеров может быть значительно больше, и уже достигает сотен тысяч. Однако их владельцы пока не подозревают об опасности - новый вирус находится в "спящем" состоянии и пока не дает о себе знать.

 

 Особенностью LoveSun является том, что он как бы заранее создает "плацдарм" для самой большой в истории интернета атаки против программ Microsoft, которая начнется 16 августа в 00:00 часов.

 

 В тексте вируса содержится обращение к главе компании Биллу Гейтсу с призывом "прекратить делать деньги и исправить программное обеспечение".

 

 Вирус распространяется на компьютерах с операционными системами Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003.

 

 LoveSun использует уязвимое место в оперативных системах Microsoft, обнаруженное три недели назад. Попав в компьютер, он разрушает все защитные системы и выводит его из строя, после чего распространяется на другие компьютеры.

 

 Одним из признаков заражения становится самопроизвольная перезагрузка компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.

 

 Первый удар вируса произошел вечером 11 августа и пришелся по компьютерным сетям США.

 

 Одна из крупнейших компаний-торговцев программным обеспечением PC World ввела в действие "горячую" телефонную линию, куда за советом могут обратиться все владельцы пострадавших компьютеров.

 

 Компания Microsoft сообщила своим клиентам о мерах, которые необходимо принять, чтобы победить новый компьютерный вирус.

 

 На своем сайте компания Microsoft разместила рекомендации по лечению зараженного компьютера, а также ссылки на дополнительные программы-"заплатки", устраняющие возможность заражения.

 

 Кроме того, уберечься от распространения червя позволяют специальные программы-брандмауэры, защищающие компьютер от несанкционированного доступа извне.

 

 Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A.

 

 Червь существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe).

 

 Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.

 

 Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить "атакующему" компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд.

 

 Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe).

 

 Этот код помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows.

 

 С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.

 

 Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com

 

 Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч.

 

 С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно.

ИТАР-ТАСС