12.08.2003

Червь "Lovesan" снова атакует брешь в службе DCOM RPC операционной системы Windows

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о начале крупномасштабной эпидемии нового сетевого червя "Lovesan". Всего за несколько часов распространения он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров.

Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции. Брешь была обнаружена всего около месяца назад, и далеко не все пользователи успели установить необходимое обновление.

"Lovesan" уже вторая вредоносная программа, которая атакует компьютеры через эту брешь: всего неделю назад в интернете был обнаружен червь "Autorooter". Однако в отличие от своего предшественника "Lovesan" имеет полнофункциональную систему автоматического распространения, что и определило возникновение глобальной эпидемии. "Лаборатория Касперского" прогнозировала такое развитие событий и рекомендовала пользователям принять необходимые меры предосторожности.

"Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.

Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров. В черве "Slammer", вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - продолжает Евгений Касперский.

В качестве побочного действия "Lovesan" содержит функцию DDoS-атаки на сайт windowsupdate.com, содержащем обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день web-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

В целях противодействия угрозе "Лаборатория Касперского" рекомендует немедленно установить обновление Windows, закрывающее брешь, а также заблокировать с помощью межсетевого экрана порты 135, 69 и 4444 (например Kaspersky® Anti-Hacker), если они не используются другими приложениями.

Процедуры защиты от "Lovesan" уже добавлены в базу данных Антивируса Касперского®. Более подробная информация о вредоносной программе доступна в Вирусной Энциклопедии Касперского.

-----

"Лаборатория Касперского" предупреждает: обнаружена новая модификация червя "Lovesan"

13.08.2003

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой модификации сетевого червя "Lovesan" (также известен как "Blaster").

"Лаборатория Касперского" прогнозирует, что уже в ближайшие часы может начаться повторная глобальная эпидемия этой вредоносной программы, поскольку обе модификации "Lovesan" могут беспрепятственно существовать на одном и том же компьютере. "Иными словами, все компьютеры, зараженные оригинальной версией этого червя, скоро также будут атакованы его новой модификацией. Учитывая, что количество инфицированных систем сейчас достигает 300 тысяч, рецидив эпидемии будет означать по крайней мере удвоение этого числа, что повлечет за собой непредсказуемые последствия, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - В худшем случае мировое сообщество ждет повторение ситуации января 2003 г., когда из-за червя "Slammer" значительно замедлилась работа интернета и наблюдались региональные отключения сети".

Технологически новая модификация "Lovesan" ничем не отличается от оригинала. Изменения коснулись только имени файла-носителя червя (TEEKIDS.EXE вместо MSBLAST.EXE), технологии его упаковки (утилита FSG вместо UPX) и текстовых строк внутри программного кода, которые содержат ненормативную оскорбительную лексику в адрес Microsoft и антивирусных компаний.

Пользователям Антивируса Касперского® данная угроза не страшна. Благодаря уникальной технологии эвристического анализа все продукты "Лаборатории Касперского" нейтрализуют новую версию "Lovesan" по умолчанию, без дополнительных обновлений.