Писатели вирусов модернизируют Slapper

Интернет-вандалы продолжают модифицировать появившегося недавно червя Slapper и уже выпустили на электронные просторы по крайней мере четыре новых варианта хищной Linux-программы.

Последний вариант, называемый Mighty, использует для проникновения в систему ту же уязвимость веб-сервера, что и другие варианты червя Slapper. В пятницу российская антивирусная компания «Лаборатория Касперского» сообщила, что этим вариантом червя заражено свыше 1600 серверов, которыми теперь злоумышленники управляют по интернету через специальные каналы в чат-системе. «Этим способом Mighty может красть конфиденциальную информацию, искажать данные и использовать зараженные машины для организации распределенных атак и другой подрывной деятельности», — говорится в предупреждении «Лаборатории Касперского».

Так как червь оставляет в зараженной системе свой исходный код, следует ожидать появления все новых его модификаций. «Уже написано множество вариантов, — говорит директор по борьбе с хакерами компании eEye Digital Security Марк Мейфрет (Marc Maiffret). — Пока никто так и не нашел эффективного способа борьбы с этими червями». По его словам, пока существуют серверы, администраторы которых не слишком заботятся об устранении пробелов в защите или не знают о них, эта зараза будет продолжать распространяться.

С тех пор как прошлым летом червь Code Red заразил свыше 350 тыс. серверов, такие программы стали главным бичом интернета. Злейшие атаки — Code Red и Nimda — были направлены против веб-серверов Microsoft, но и Linux-серверы пострадали в ходе нескольких менее катастрофических инцидентов, начиная с червя Ramen и кончая последним червем Slapper, которому удалось заразить 20 тыс. серверов, прежде чем системные администраторы начали устанавливать патчи и чистить пораженные системы, добавив программу в список опаснейших кодов.

Mighty — как минимум пятый вариант Slapper, поразивший интернет с момента появления первого червя на прошлой неделе. Однако так как антивирусные компании используют разные соглашения об именах, возможно, это слишком близкая разновидность червя Slapper.D, чтобы считать его отдельным вариантом Slapper.

Slapper.D, который иначе называют DevNull, появился в интернете в прошлый понедельник (по данным Symantec). Если оригинальный червь Slapper и его предыдущие варианты создавали для связи друг с другом собственную сеть peer-to-peer, то DevNull для установления связи между зараженной системой и создателем червя пользуется хорошо известным хакерским инструментом Kaiten, который работает через чат-канал в интернете, пояснил архитектор ПО защиты Symantec Элиас Леви (Elias Levy). Он ожидает появления новых вариантов, но уверен, что тактика использования уязвимости SSL (secure sockets layer) для обхода защиты теряет свою эффективность. «Число зараженных систем сокращается, — говорит Леви. — Поставщики антивирусов разослали всем ответственным за зараженные машины предупреждения». В некоторых случаях, по словам Леви, хакеры используют сеть peer-to-peer против самих себя, выводя из строя зараженные серверы атаками с других зараженных компьютеров.

В других вариантах кода Slapper просто изменен порт, используемый в качестве канала связи с peer-to-peer сетью. Сам Slapper представляет собой Linux-вариант другого червя Scalper.c, который не получил широкого распространения, так как атаковал только системы OpenBSD, которых в интернете гораздо меньше.

Как бы то ни было, Scalper идет на убыль, уверяет директор по исследованиям злонамеренных кодов секьюрити-фирмы TruSecure Роджер Томпсон (Roger Thompson). «Мы знаем, что большинство системных администраторов, хотя и не все, намерены „пропатчить” свои системы. Немногочисленные старые машины, не администрируемые как следует, какое-то время будут поддерживать жизнь червя, но он уже не должен заразить большое число новых компьютеров. Со временем эпидемии вроде Slapper вырождаются в простой фоновый шум».

Предыдущие публикации:

2002-09-10		Microsoft «раскрыла» тайну разгула хакеров
2002-09-16		Linux-червь создает атакующую сеть P2P

В продолжение темы:

2002-10-09		Вирус Bugbear идет на рекорд
2002-11-10		Червь разослан в предупреждении о самом себе
2003-01-27		Червь SQL Slammer создал хаос в интернете

Обсуждение и комментарии

	Пётр 8 Oct 2002 12:21 PM
У нас всё секьюрно! У нас ведь исходники есть - можно любую багу самому исправить! Администраторы на Linux - очень грамотные, никакие не мышководы! И что. Уже пару месяцев про этого червя рассказывают, а он не унимается.

	PTO - kruchkovkgb.ru 8 Oct 2002 12:38 PM
2 Петр: неиначе как по распоряжению билла гейтса народ писать начал модификации :)

	Anti-MS 8 Oct 2002 3:35 PM
Да ладно это просто писатели антивирусов пытаются продать свое детище. Никто в здравом уме антивирус на линукс ставить не будет. По сравнению с одной только нибдой этот червь выглядит мышью на фоне слона.

	Qrot 8 Oct 2002 5:04 PM
Anti-MS: а чем линух так выделяется, что на нее не надо ставить антивирус?

	Пётр 8 Oct 2002 5:31 PM
А я и на виндовых серваках никогда не пользовался антивирусом. Особливо на Веба-серверах. Достаточно urlscan поставить, пермишены расставить грамотно и любоваться, читая, логи как народ пытается взломать. :-)

	Anti-MS 8 Oct 2002 6:06 PM
2Qrot: А что им отлавливать? Полурабочий ramen и этот пресловутый червь? А если уж кому-то не жалко времени/денег/ресуров на антивирь то уж лучше вложить это все в нормальное администрирование. Просто грамотное администрирование + 2 такие простые штуки как iptables и chroot, заранее остановят всю такую ерунду как этот червь даже на уязвимых системах.

	Qrot 8 Oct 2002 7:44 PM
2Anti-MS: тебе бы флаг в руки, да впереди колонны :)

	Проходивший мимо 9 Oct 2002 6:55 AM
IMHO антивирус на unix like системах нужен. Хотя бы для того, чтоб фильтровать почту от вирусов, для юзеров пользующихся всякими outглюками. А больше я не вижу реальной необходимости в нем. PS: Вотпрос к знатокам win: для linux есть security patch by Solar Designer (http://www.openwall.com) - non executable stack segment; в solaris - это штатная фича, управляемая из /etc/system. Есть ли в win что-то подобное ? Это не наезд - мне действительно интересно это знать. Если что-то такое есть - дайте ссылку.

	glassy 10 Oct 2002 10:38 AM
lol Вот блин дилемма -- покупать антивирус или скачать openssl096g :) А под виндой в нашу сетку ауглюковский червь пробился, который чушь на принтеры шлет. И ничего, все к этому относятся нормально, привыкли. Хотя он и не менее страшен сабжа.

	DemonZla 11 Oct 2002 10:27 AM
Люди... главное в сети - умный администратор... Вот интересно, под линь ни разу не видал виря екоторый систему сносит.... только червяки, да червяки... а вот под винду почему-то полно угробляльщиков системы... glassy, смотри, вот попосылает вирь на принтеры чепуху, надоест ему и в воскресенье 13 устроит сетевую чистку жестких дисков :))

	glassy 11 Oct 2002 10:36 AM
У меня в win2k+sp такая проблема -- после пяти дней аптайма некая прога (не скажу какая) расходует все ресурсы gdi. В результате перестает отрисовываться все dgi-ное пока не перезапустишь эту прогу. Насколько я понял, gdi одни на всех? Я спинным мозгом чувствую тут большие дыры...

	glassy 14 Oct 2002 7:04 AM
Объективно, bugbear себя чувствует намного лучше :)

	Maverik 11 Nov 2002 10:51 AM
Даешь вирус по лицензии GPL!

	Maverik 11 Nov 2002 10:55 AM
Да, и антивирус тоже!

	bacho - bakurimail.ru 11 Jan 2005 9:20 PM
Где взять исходники червей на C и Builder C++

← сентябрь 2002

2 3 4 7 8 9 10 11 14

ноябрь 2002 →