Компьютерные черви заставляют разрабатывать новые средства защиты

Деннис Фишер

Пользователи все чаще жалуются на нехватку инструментов для борьбы с червями вроде Bagle или MyDoom и отсутствие помощи со стороны производителей ПО. Это заставляет некоторых администраторов предпринимать неординарные шаги для защиты своих сетей. Иначе их взламывали бы каждую неделю.

Недавно появившийся MyDoom.O быстро засорил корпоративные сети миллионами зараженных сообщений электронной почты. Червь вывел из строя несколько поисковых систем, рассылая тысячи запросов и пытаясь найти новые электронные адреса. И всего через два дня после первой атаки началась вторая волна через созданный MyDoom.O "черный ход". На уже зараженные компьютеры загружался дополнительный вредоносный код.

Даже компании, избежавшие серьезных проблем в период массового распространения червя, стали искать способы, позволяющие не допускать опасные вложенные файлы до почтовых ящиков своих сотрудников. Пока они занимаются этой работой, создатели систем компьютерной безопасности вроде Sophos plc. сообщают о рекордном количестве новых заражений. А такие компании, как Microsoft, задерживают выпуск средств противодействия подобным атакам.

В корпорации Kohl’s было всего три компьютера, зараженных MyDoom.O. Тем не менее информационная служба планирует создать веб-портал, на который можно было бы сбрасывать потенциально опасные вложенные файлы.

На почтовом шлюзе будет размещен "белый список". Лишь некоторые типы вложений, признанные безопасными, будут доставляться пользователям. Все остальные сообщения, содержащие вложенные файлы, пойдут на портал.

Сообщения предполагается выдерживать несколько часов, а затем проверять на наличие вирусов. Если вирусы обнаружены не будут, адресат получит уведомление со ссылкой на сообщение, размещенное на портале. Зараженные сообщения подлежат удалению, при этом отправителю будет послано электронное сообщение о том, что его послание содержало вирус и было уничтожено.

"Мы не можем остановить поступление файлов. Информация - движущая сила бизнеса. Прерывание потока информации равносильно остановке бизнеса, - сказал Барт Ленсинг, отвечающий в Kohl’s за обслуживание настольных компьютеров. - Нам необходимо найти творческое решение, позволяющее, с одной стороны, не создавать препятствий для потока информации, а с другой - эффективно управлять им и защищать наших пользователей, нередко от них же самих".

Некоторые организации рассматривают другой способ прекратить распространение червей типа MyDoom.O - блокирование вложенных файлов на почтовом шлюзе.

Подобно большинству появившихся в последнее время червей MyDoom.O внедряется через инфицированные вложенные файлы электронной почты. Когда пользователь открывает их, выполняется вредоносный код. Поэтому многие администраторы отфильтровывали на почтовых шлюзах потенциально опасные типы файлов. Например, исполняемые файлы и экранные заставки. Но MyDoom и некоторые другие недавно появившиеся черви и вирусы распространялись через архивные (.zip), графические и иные типы файлов, которые прежде считались безопасными.

Волна атак потребовала от администраторов и служб безопасности таких усилий, что некоторые из них рассматривают блокирование всех вложений на пути к компьютерам пользователей в качестве единственного способа оградить себя от эпидемии этой заразы.

"В определенных ситуациях приходится ограничивать права пользователей, поскольку их квалификация явно недостаточна, это единственное, что остается, - сказал сетевой администратор Южного университета, просивший не называть его имени. - Электронная почта не предназначалась для передачи файлов. Для этого она небезопасна".

Однако такая стратегия может иметь разрушительные последствия для бизнес-операций. В глазах многих это делает ее малопривлекательной.

Хотя работа червя протекает в основном незаметно, атака в два этапа обеспокоила некоторых экспертов по безопасности. "Постоянное совершенствование нападений с использованием вредоносного кода вроде последней эпидемии MyDoom вызывает озабоченность", - сказал Кен Данхем, директор по борьбе с вредоносными кодами в корпорации iDefense.

По мнению Данхема из iDefense,

растущая изощренность атак вызывает озабоченность

Ситуация усугубляется тем, что Microsoft отложила по крайней мере до будущего года выпуск пакета исправлений для Windows Server 2003 из-за "проблем с качеством продукта", как заявили представители компании. Многие рассчитывали, что этот пакет облегчит им жизнь.

Среди обновлений, которые Microsoft планировала выпустить в конце этого года в составе Windows Server 2003 SP1, - новая технология проверки клиентов, пытающихся подключиться к сети. Если на клиентских компьютерах установлены давно не обновлявшиеся антивирусные программы или они не соответствуют иным критериям безопасности, им отказывают в доступе. Microsoft рекламирует эту технологию как способ вдвое снизить вероятность заражения вирусами.