“Лаборатория Касперского” сообщила о крупномасштабной эпидемии нового сетевого червя, получившего название Lovesan. Всего за несколько часов распространения он сумел достичь вершины списка самых вредоносных программ и вызвать многочисленные заражения компьютеров.
Опасность Lovesan связана с недавно обнаруженной брешью в службе DCOM RPC операционной системы Windows: через нее червь способен незаметно заражать компьютеры и производить с ними любые манипуляции. О бреши стало известно всего около месяца назад, и далеко не все пользователи успели установить необходимое обновление.
Это уже второй вирус, который атакует компьютеры через эту дыру: всего неделю назад в Интернете был обнаружен сходный по системе проникновения червь Autorooter. Однако в отличие от своего предшественника Lovesan имеет полнофункциональную систему автоматического распространения, что и способствовало возникновению глобальной эпидемии.
В начале августа “Лаборатория Касперского” прогнозировала такое развитие событий (см. предупреждение “Под ударом новая брешь в операционной системе Windows”) и рекомендовала пользователям принять необходимые меры предосторожности. Увы, этой рекомендации вняли далеко не все.
В процессе распространения Lovesan сканирует Интернет в поисках уязвимых компьютеров. В том случае, если на ПК не установлено соответствующее обновление Windows, червь посылает на него специальный пакет данных, который обеспечивает закачку файла-носителя Lovesan MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.
Опасность червя заключается не только в его проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных Сети.
В качестве побочного действия Lovesan содержит функцию DDoS-атаки на сайт windowsupdate.com, содержащий обновления операционной системы Windows, в том числе для службы DCOM RPC. Функция активизируется 16 августа: в этот день Web-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.
В целях противодействия угрозе “Лаборатория Касперского” рекомендует немедленно установить обновление Windows, закрывающее брешь (www.microsoft.com/security/security_bulletins/ms03-026.asp), а также заблокировать с помощью межсетевого экрана (например, Kaspersky Anti-Hacker, www.kaspersky.ru/buyonline.html?info=1092732) порты 135, 69 и 4444, если они не используются другими приложениями.
В. М.