Информация об очередной уязвимости ОС Windows 2000/XP/2003 была обнародована компанией Microsoft в бюллетене MS05-039 от 9 августа. Как выяснилось, всего пять дней понадобилось вирусописателям для создания червя, эксплуатирующего данную уязвимость. Таким образом, незащищенные межсетевыми экранами компьютеры, на которых установлена “непропатченная” ОС, при условии переполнения буфера в Plug-and-Play рискуют быть атакованными извне и на них может быть запущен любой код в режиме удаленного доступа.

Для проникновения на компьютеры пользователей новоявленный червь сканирует сеть по порту TCP 445 (как правило, блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл под именем pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe или каким-нибудь иным. При этом отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены.

Свой автоматический запуск при последующих рестартах системы червь обеспечивает путем внесения своих данных в ключи реестра. Найдя подходящий (уязвимый) компьютер и “поселившись” в нем, червь открывает “люк”, который служит ему средством общения с внешним миром, и устанавливает соединение с IRC-сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другие важныесведения.

Чтобы продлить как можно больше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы. Для этого червь блокирует системный сервис SharedAccess путем внесения изменения в ветку реестра HKLM\System\CurrentControlSet\Services\SharedAccess. Собщается, что последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов.

Зарубежные СМИ сообщают, что зафиксировано большое количество отказов в работе компьютеров телекомпании CNN, редакции газеты The New York Times и ряде других организаций. По данным “Лаборатории Касперского” (ЛК), в данном случае речь идет о черве, который у разных антивирусных компаний имеет следующие названия:

  • Zotob.e (Symantec);
  • WORM_RBOT.CBQ (Trend Micro);
  • IRCBot.Worm (McAfee);
  • Tpbot-A (Sophos);
  • Zotob.d (F-Secure);
  • Net-Worm.Win32.Bozori.a (Kaspersky).

Вместе с тем эксперты ЛК отмечают, что в настоящее время в Интернете не наблюдается заметной вирусной эпидемии. Если вспомнить ситуацию с эпидемией червя Sasser в мае 2004 г. (см. заметку “Масштабы вирусных эпидемий, увы, увеличиваются”, PC Week/RE, № 3/2005, с. 16), то тогда сетевой трафик вырос примерно на 20--40%, чего в настоящее время не происходит.

В. М.

Версия для печати