Поделиться
Novarg/MyDooM: атаки на Microsoft станут серийными
Многие аналитики вводят в заблуждение людей, заявляя, что окончание эпидемии Novarg/MyDooM было запланировано на 12 февраля. Праздновать конец эпидемии Novarg/MyDooM пока рано - новые версии уже на пороге. Более того – опасный червь продолжает формировать «армию зомби», чтобы возвращаться снова и снова.Действительно, Novarg/MyDoom.a запрограммирован на прекращение своего распространения 12 февраля. Тем самым обозначилась дата окончания первой, самой вредоносной фазы молниеносного распространения. Однако троянский компонент вируса не имеет ограничений по сроку действия и TCP-порт 3127 остается открытым до тех пор, пока зараженная система не будет полностью вылечена.
Серийный червь или «подарок» Microsoft ко дню влюбленных
В ночь с 11 на 12 февраля, как утверждают специалисты, количество попыток сканирования, направленных или произведенных с порта 3127, достигло полумиллиона в разных местах по всему миру. Это может означать, что Novarg/MyDoom.a до сих пор работает на сотнях тысяч зараженных компьютеров, позволяя другим версиям Novarg/MyDoom и хакерам проникать на эти машины.
Версии Novarg/MyDoom и другие вредоносные программы, такие, как Deadhat, продолжают появляться и, похоже, будут действовать в том же направлении, что и в последние две недели.
Самый последний вариант Novarg/MyDoom.d, также известный, как Doomjuice.b, по заявлениям экспертов, сегодня начнет DDoS-атаку на Microsoft, используя случайные заголовки. При этом неправильно установленные часы могут дать более ранний старт для атаки.
Автор растворился?
Как и предшественник - Novarg/MyDoom.c или Doomjuice, который был найден в начале второй недели февраля, - новый вариант ищет системы, уже пораженные оригинальным Novarg/MyDoom.а или Novarg/MyDoom.b, а затем дает компьютеру новые инструкции.
Как стало известно CNews.ru от английской компании, занимающейся оценкой ущерба от последствий различных зловредных программ, вирус Novarg/MyDoom.c занимался еще и тем, что записывал на зараженные компьютеры исходный код своего родоначальника – Novarg/MyDoom.a.
Как заявили CNews.ru представители компании mi2g, автор Novarg/MyDoom.a напрямую ответственен за Novarg/MyDoom.c и создал третью модификацию вируса по следующим возможным причинам:
- просканировав компьютер автора, правоохранительные органы не смогут идентифицировать и обвинить его в создании вируса, так как огромное количество компьютеров в мире содержат исходный код вируса;
- автор захотел поделиться технологией создания «разумных вирусов» для того, чтобы спровоцировать дальнейшее появление огромного количества клонов Novarg/MyDoom;
- автор является сторонником открытого ПО.
Серийные атаки продолжатся - кто в ответе?
Вирус Novarg/MyDoom.d или Doomjuice.b будет вести интенсивную и продолжительную DDoS-атаку веб-сайта компании Microsoft в течение любого месяца, кроме января, и в любой день, кроме тех, которые находятся между 8 и 12 числами месяца.
При этом версия Novarg/MyDoom.c или Doomjuice.a ограничит свои атаки до одного запроса до 12 числа каждого месяца включительно, после чего переключится в режим более агрессивной «потоковой» DDoS-атаки Microsoft.
Пакеты с запросами, которые посылал Novarg/MyDooM.c, было легко отфильтровать, поскольку они не содержали никакой информации о пользователе в своем заголовке. Однако, запросы к домашней странице Microsoft варианта Novarg/MyDooM.d или Doomjuice.b полностью повторяют запросы, которые посылает Internet Explorer при обращении к странице. Очевидно, что это затруднит процесс отделения нормальных запросов от тех, что были созданы вирусом.
Специалисты в сфере защиты информации считают, что сходство вариантов D и оригинального Novarg/MyDooM может свидетельствовать о распространении исходного кода с помощью варианта С для последующего создания новых клонов вируса.
Скорее всего, полагают специалисты mi2g, жертвы версий MyDoom - это домашние пользователи и малый бизнес, кто до сих пор не проинформирован о той угрозе, что существует со стороны феномена «армии зомби», а также не в курсе их социальной ответственности за владение незащищенными компьютерами, подключенными к Сети.
Следующий материал SAFE.CNews.ru посвященый путям снижения возможного ущерба, выйдет на следующей неделе. Предыдущий материал о Novarg/MyDooM размещен здесь.
Популярные статьи о червях:
“Суперчерви” и их цели
Интернет-черви: новые цели определены
Novarg/MyDooM - самый разрушительный в истории
”Разумные” вирусы способны уничтожить интернет
Novarg/MyDooM: ущерб от русского вируса - $3 млрд.
Короткая ссылка
