Вирус Plug and Play

Вирусописатели борются за господство над Windows 2000

Больше года длилось затишье, глобальных вирусных эпидемий не было. Хотелось верить, что их и не будет, что авторы вирусов запуганы арестом Свена Яшана, что они не заинтересованы в глобальных эпидемиях, что «рынок» изготовления вирусов уже поделен. И вот германские власти выпустили Яшана, присудив ему условный срок в один год. Тут же вирусописатели оживились — в Internet начали распространяться вирусы, изготовление которых ставилось в вину Яшану. А потом произошли и более печальные события — война червей-роботов.

Как это бывало и прежде, катализатором послужил выпуск корпорацией Microsoft исправлений к найденным ошибкам в ее программных продуктах. 9 августа корпорация выпустила заплаты для пяти критических ошибок. Для вирусописателей наиболее привлекательной оказалась уязвимость механизма автоматической настройки оборудования Plug and Play (PnP), к которому можно было получить удаленный доступ. Ошибка была в Windows 2000, Windows ХР и Windows 2003, но проще всего ей было воспользоваться в первой из версий ОС. Спустя два дня — 11 августа — появился эксплойт, нацеленный на Windows 2000, а еще через три дня появился первый вирус, использующий эту уязвимость. Для сравнения: год назад между сообщением Microsoft и появлением Sasser прошло две недели.

Однако особенностью данной эпидемии является не скорость написания червей, а быстрый выпуск червей-антидотов. В короткое время появилось несколько семейств червей, которые не только блокировали доступ с зараженной машины к обновлениям антивирусных баз, но и уничтожали конкурирующие вирусы. По сообщениям финской компании F-Secure, в эпидемии участвовали такие семейства вирусов, как Zotob (наследник семейства Mytob) и Bozori, а также троянские программы-роботы SDBot, RBot и IRCBot. При этом Bozori и IRCBot, версии которых появились 17 августа, занимались уничтожением Zotob, SDBot и Rbot. Все эти черви являются «роботами» (иногда их называют «ботами»): они могут выполнять команды хозяина и со временем перестраивать свое поведение.

Таким образом, в эпидемии четко выражены два этапа — максимально быстрое заражение всех компьютеров, на которых не установлены обновления (черви Zotob, SDBot и Rbot и другие), а затем выпуск червей-антидотов (Bozori и IRCBot), которые уничтожают ботов первой волны. Антидоты запускаются в тот момент, когда основные задачи эпидемии выполнены — захвачено необходимое количество зомби-машин. (Похоже, мы наблюдаем подготовку спамеров к осенней рекламной кампании.)

Эпидемию заметили благодаря тому, что некоторые из червей поразили компьютерные системы газеты The New York Times, телеканалов CNN и ABC News, компаний Caterpillar и General Electric. Правда, «Лаборатория Касперского» 17 августа выпустила пресс-релиз, в котором ее аналитики утверждают, что размеры эпидемии преувеличены.

Последние события оставляют впечатление, что создание профессиональных вирусов координируется из общего центра и построено на единых принципах разработки вредоносного кода. Впрочем, группы вирусописателей по-прежнему конкурируют между собой за клиентов — покупателей зомби-сетей.

Хронология событий