Только лишь на прошлой неделе мы поминали здесь большие вирусные эпидемии - и вот, можно сказать, накликали: второй день электронные ящики сетян по всему миру полнятся хламом, приходящим якобы от почтовых серверов, испытывающих некие проблемы. Так проявляет себя новый претендент на звание самого популярного компьютерного вируса начала XXI века - MyDoom, также именуемый Novarg.
Имён у него ещё много, но вся эта многоликость скрывает одну и ту же зловредную программку, совмещающую функции почтового вируса, сетевого червя и шпионской закладки с возможностью удалённого управления. Впрочем, отличает его от поделок других вирусописак прежде всего оригинальная задумка автора: текст, находящийся в поле письма, к которому и пристёгнут вирус, очень похож на стандартный ответ почтового сервера, извещающего о невозможности доставить послание адресату. Само послание при этом обычно возвращается в виде одного или нескольких прикреплённых файлов, так что "пристёгнутый" к письму документ с осмысленным названием и расширением .zip, .bat или даже .exe может быть открыт просто по недоразумению.
Стартовав, Novarg запускает для отвода глаз стандартный "Блокнот", демонстрируя в нём набор бессмысленных кракозябр, а сам в это время проводит массовую рассылку собственных копий по обнаруженным на данном компьютере почтовым адресам, проверяет на машине наличие клиента файлообменной сети KaZaA и записывает себя в его обменный фонд в случае положительного результата проверки (так к разрастанию эпидемии подключаются пользователи популярнейшей P2P-сети), а кроме того устанавливает на инфицированный компьютер "троянского коня", открывая для удалённого управления порты с 3127 по 3198. Собственно шпионская закладка носит название shimgapi.dll и размещается в папке system32 в директории Windows, а вирус прячется в файле taskmon.exe в папке system (заметьте, что в основном каталоге Windows есть одноимённый файл, никакого отношения к вирусу не имеющий). Каких-то дополнительных мер для маскировки MyDoom не предпринимает, поэтому удалить его достаточно просто даже вручную - соответствующие инструкции есть, к примеру, на сайте F-Secure.
Впрочем, 12 февраля, следуя заложенным в него инструкциям, вирус должен прервать своё существование самостоятельно. Но до этого счастливого момента он наделает ещё немало шуму. Дело в том, что, опять же следуя указаниям своих программистов, 1 февраля MyDoom начнёт крупномасштабную распределённую атаку типа "отказ в обслуживании" (DDoS) на веб-сервер всем известной компании SCO Group. Уже в предыдущие три дня, очевидно из-за календарных неточностей на заражённых компьютерах, доступ к сайту sco.com временами был затруднён. Что ожидает его в ближайшие дни страшно даже представить: эпидемия MyDoom разрастается темпами, уже перекрывшими эпидемический всплеск считавшегося самым быстрым и массовым вируса Sobig.F В среднем, каждое двенадцатое письмо, переправляемое почтовыми серверами сегодня, содержит копию Novarg - и это только начало. А пока форумы полнятся ехидными комментариями злорадствующих линуксоидов - мол, не перенесли ли уже MyDoom под Linux и если да, то откуда можно выкачать копию.
SCO не преминула использовать ситуацию себе во благо: компанией объявлена награда в 250 тысяч долларов тому, кто сможет предоставить ценную информацию касательно авторства нового вируса. То ли ещё будет!
версия для печати
другие статьи автора
оставить комментарий (0) 
