376 байт потрясшие сеть.

adm  •  15 April, 2008

Slammer (другие названия - Sapphire, SQLSlammer, Helkern). Он вызвал серьезные нарушения работы всей сети Интернет. Многие пользователи Всемирной Паутины заметили перегруженность трафика, а более 17 млн. пользователей по всему миру не смогли проверить в выходные дни свою почту.

Больше всего пострадали пользователи Южной Кореи - самой "интернетизированной" страны в мире, где к сети подключены более 3/4 населения. На протяжении нескольких часов пользование Интернетом было попросту невозможно. Наибольшая активность червя отмечена также в Австралии и Новой Зеландии. По самым скромным подсчетам, во всем мире было инфицировано более 200 тыс. серверов. Тем самым была приостановлена работа многих компаний, в том числе нескольких крупных банков мира. Тысячи клиентов со всего мира не могут совершить обычные банковские операции.
Инфицировав сервер (червяк использует для этого брешь класса "переполнение буфера"), Slammer начинает рассылать огромное количество пакетов, что влечет за собой эффект, подобный атаке DoS (Denial of Service). По мнению экспертов, ликвидация червя выполняется очень просто - достаточно выполнить установку появившегося не так давно пакета обновлений Service Pack 3 для Microsoft SQL Server 2000.
Первый случай обнаружения пакетов данных, похожих на копии червя, был зафиксирован "Лабораторией Касперского" 20 января в 22.07 по московскому времени. Данные были отправлены с компьютера, принадлежащего одному американскому провайдеру. Это не означает, что Helkern был создан сотрудниками этой компании. Не исключено, что сервер был удаленно заражен создателями червя. Вероятно, истину о происхождении червя удастся найти в файлах-отчетах обращений к этому серверу.
Немного позже в тот же день код Helkern был обнаружен в запросе от сервера в Нидерландах. После этого червь никак не проявлял себя вплоть до 23 января (до 23.21), когда в запросе от другого голландского сервера была зарегистрирована еще одна его копия. Взрыв активности Helkern произошел только в ночь с 24 на 25 января. Таким образом, инкубационный период червя составил почти 5 дней. За это время вредоносная программа, используя порт 1434 UDP, успела заразить критическое количество серверов и вызвала цепную реакцию.
Согласно еще одной версии, эпицентр червя находился в Китае. Оттуда он проник в компьютерные системы в Южной Корее и на Филиппинах. Затем Helkern достиг западной и центральной частей США и разделился на два потока: первый перекинулся в Австралию и Новую Зеландию, второй - в Западную Европу. Ущерб от него по всему миру может составить до 10 млрд.10565br> По сообщениям "Лаборатории Касперского", небольшой размер червя (всего лишь 376 байт), уникальная технология заражения и исключительно высокая скорость распространения позволяют назвать Helkern одной из главных угроз нормальному функционированию Интернета за последние несколько лет. Helkern принадлежит к классу так называемых "бестелесных" червей: эти вредоносные программы осуществляют все операции (включая заражение и распространение) исключительно в системной памяти ПК, что значительно затрудняет процесс их обнаружения и нейтрализации стандартными антивирусными средствами (сканерами). Первым представителем этого класса червей был CodeRed, обнаруженный 20 июля 2001 года и тогда же вызвавший крупномасштабную эпидемию. До сегодняшнего дня "бестелесные" черви более никак себя не проявляли.
Helkern - это реальная угроза, которая способна вызвать серьезные сбои в работе Интернета. Более того, мы склонны считать, что в будущем подобные атаки будут происходить с нарастающей частотой. Это еще раз доказывает необходимость разрабатывать новые подходы к предупреждению и выявлению вирусных эпидемий в Интернете, поскольку существующие технологии наглядно доказывают свою низкую эффективность, сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
Спецотдел по кибербезопасности ФБР и эксперты из CERT Coordination Center уже приступили к расследованию дела. Однако детали расследования принципиально не разглашаются.
Между тем через несколько дней после апогея атаки Slammer стали выплывать интересные факты, связанные с его происхождением и действием. Онлайн-издание CNET, к примеру, заявило, что одним из источников распространения заразы и одновременно одной из первых жертв стала... Microsoft. Что интересно, представители корпорации все время разъясняли, что если бы пользователи инсталлировали предоставленные Microsoft исправления, то червяк не нанес бы никакого вреда.
CNET, в частности, утверждает, что в письме, которое направил Майк Карлсон (шеф центра обработки данных корпорации)в субботу внутрикорпоративной почтой Microsoft, явственно следует, что червь очень серьезно ударил по сети фирмы. "Сеть заблокирована до такой степени, что нам трудно даже оценить силу атаки", пишется в одном из этих посланий.
Собственно, в этой информации не было бы ничего странного - в конце концов тысячи фирм по всему миру столкнулись в субботу с теми же проблемами. Однако разница все же есть и заключается она в том, что червь распространялся, используя брешь в программе Microsoft. Об этой бреши известно давно, доступно и исправление, которое закрывает дырку. Но... работники Microsoft попросту не установили его! (По крайней мере до субботы.)
Позже, к концу прошлой недели, появились первые исследования, которые анализировали структуру атаки вируса Slammer. Из них явственно следует, что первым регионом, который на горьком опыте убедился в необходимости установки обновлений, был Дальний Восток. Более того, эксперты предполагают, что именно там червь и родился. Достаточно вспомнить, что местные (точнее, китайские) программисты подозреваются в создании другого, похожего на Slammer вируса - CodeRed.

Комментарии

Нет комментариев. Вы можете быть первым!

Оставить комментарий


Warning: Parameter 1 to NP_Captcha::event_FormExtra() expected to be a reference, value given in /home/bh52645/public_html/hacktheplanet.ru/nucleus/libs/MANAGER.php on line 370