В интернете с угрожающей быстротой распространяется новый компьютерный вирус W32.Blaster.Worm (другое название LoveSun). Согласно экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и Европе, в том числе и в России, всего - около 20 тыс. персональных компьютеров.
В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.
Специалисты считают, что реальное количество зараженных компьютеров может быть значительно больше, и уже достигает сотен тысяч. Однако их владельцы пока не подозревают об опасности - новый вирус находится в "спящем" состоянии и пока не дает о себе знать.
Особенностью LoveSun является том, что он как бы заранее создает "плацдарм" для самой большой в истории интернета атаки против программ Microsoft, которая начнется 16 августа в 00:00 часов.
В тексте вируса содержится обращение к главе компании Биллу Гейтсу с призывом "прекратить делать деньги и исправить программное обеспечение".
Вирус распространяется на компьютерах с операционными системами Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003.
LoveSun использует уязвимое место в оперативных системах Microsoft, обнаруженное три недели назад. Попав в компьютер, он разрушает все защитные системы и выводит его из строя, после чего распространяется на другие компьютеры.
Одним из признаков заражения становится самопроизвольная перезагрузка компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.
Первый удар вируса произошел вечером 11 августа и пришелся по компьютерным сетям США.
Одна из крупнейших компаний-торговцев программным обеспечением PC World ввела в действие "горячую" телефонную линию, куда за советом могут обратиться все владельцы пострадавших компьютеров.
Компания Microsoft сообщила своим клиентам о мерах, которые необходимо принять, чтобы победить новый компьютерный вирус.
На своем сайте компания Microsoft разместила рекомендации по лечению зараженного компьютера, а также ссылки на дополнительные программы-"заплатки", устраняющие возможность заражения.
Кроме того, уберечься от распространения червя позволяют специальные программы-брандмауэры, защищающие компьютер от несанкционированного доступа извне.
Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A.
Червь существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe).
Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.
Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить "атакующему" компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд.
Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe).
Этот код помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows.
С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.
Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com
Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч.
С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно.
Надо наслаждаться жизнью — сделай это, подписавшись на одно из представительств Pravda. Ru в Telegram; Одноклассниках; ВКонтакте; News.Google.