Информация об очередной уязвимости ОС Windows 2000/XP/2003 была обнародована компанией Microsoft в бюллетене MS05-039 от 9 августа. Как выяснилось, всего пять дней понадобилось вирусописателям для создания червя, эксплуатирующего данную уязвимость. Таким образом, незащищенные межсетевыми экранами компьютеры, на которых установлена “непропатченная” ОС, при условии переполнения буфера в Plug-and-Play рискуют быть атакованными извне и на них может быть запущен любой код в режиме удаленного доступа.
Для проникновения на компьютеры пользователей новоявленный червь сканирует сеть по порту TCP 445 (как правило, блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл под именем pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe или каким-нибудь иным. При этом отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены.
Свой автоматический запуск при последующих рестартах системы червь обеспечивает путем внесения своих данных в ключи реестра. Найдя подходящий (уязвимый) компьютер и “поселившись” в нем, червь открывает “люк”, который служит ему средством общения с внешним миром, и устанавливает соединение с IRC-сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другие важныесведения.
Чтобы продлить как можно больше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы. Для этого червь блокирует системный сервис SharedAccess путем внесения изменения в ветку реестра HKLM\System\CurrentControlSet\Services\SharedAccess. Собщается, что последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов.
Зарубежные СМИ сообщают, что зафиксировано большое количество отказов в работе компьютеров телекомпании CNN, редакции газеты The New York Times и ряде других организаций. По данным “Лаборатории Касперского” (ЛК), в данном случае речь идет о черве, который у разных антивирусных компаний имеет следующие названия:
- Zotob.e (Symantec);
- WORM_RBOT.CBQ (Trend Micro);
- IRCBot.Worm (McAfee);
- Tpbot-A (Sophos);
- Zotob.d (F-Secure);
- Net-Worm.Win32.Bozori.a (Kaspersky).
Вместе с тем эксперты ЛК отмечают, что в настоящее время в Интернете не наблюдается заметной вирусной эпидемии. Если вспомнить ситуацию с эпидемией червя Sasser в мае 2004 г. (см. заметку “Масштабы вирусных эпидемий, увы, увеличиваются”, PC Week/RE, № 3/2005, с. 16), то тогда сетевой трафик вырос примерно на 20--40%, чего в настоящее время не происходит.
В. М.