Просто поразительно, насколько жизнь компьютерных вирусов напоминает жизнь своих биологических коллег. Они так же бесконтрольно и в больших количествах размножаются. Их вряд ли можно назвать полезными. Их боятся и избегают. С ними борются. Не успела еще поблекнуть и обрасти сорняками память о черве Морриса, приводившего в трепет обитателей американского прообраза современного интернета, а нас пугают все новыми и новыми бескостными ползающими  вирусами.
        
История болезни
16 июля польская исследовательская группа Last Stage of Delerium объявила об обнаружении ими в операционных системах семейства Windows NT (NT4, 2000, XP и 2003 всех модификаций) ошибки переполнения буфера в реализации интерфейса DCOM протокола RCP. Выражаясь немедицинскими терминами, это значит, что злоумышленник может, соединившись по сети с незащищенной машиной, послать ей особого вида запрос, который приведет к краху сначала самой службы RPC, а сразу после этого и всей системы. Если запрос аккуратно сформулировать, то можно допроситься у системы чего угодно. Например, командной строки, запущенной на правах администратора. Существование подобной бреши в системе безопасности поставило под серьезную угрозу подключенные к глобальной сети системы Windows NT.
Однако из непонятных альтруистических побуждений LSD не стала опубликовывать конкретный программный код, использующий эту уязвимость. Чем не замедлила воспользоваться жаждущая толики славы китайская организация XFocus, выставившая на достояние общественности в конце июня соответствующий эксплойт (эксплуатирующую ошибку программу).
Ошибка как нельзя лучше подходила для организации распространения интернет-червей, то есть сетевых вирусов, которые после заражения компьютера не останавливаются, а пытаются заразить в массовом порядке другие машины. В скором появлении целого семейства таких вирусов уже никто не сомневался, это было только вопросом времени. Самый известный в настоящее время – Blast, известный также под именами LoveSAN и MSBlast. Первый псевдоним он получил за строку «I just want to say LOVE YOU SAN!!» («Я просто хочу сказать: любите вашу сеть», англ.) в исполняемом файле вируса. Второй – за название выполняемого файла – msblast.exe.

Симптомы
Самым характерным проявлением вируса, пожалуй, является перезагрузка системы в момент инфицирования. Происходит она из-за сбоя в службе RPC: Windows 2000 будет периодично показывать «синий экран» с ошибкой процесса svchost.exe (файла, ответственного за работу служб). Кстати, хотя ошибка DCOM и присутствует во всех версиях NT, пользователи NT4 и Windows 2003 могут пока спать спокойно – использующийся в MSBlast код не будет их инфицировать, хотя ошибки в работе вызывать может. К сожалению, это временная проблема: уже существуют эксплойты, которые расчитаны и на них. На зараженном компьютере также очень часто будут происходить сбои в работе Word, Excel и Outlook пакета MSOffice.
Косвенно можно выявить вирус по возросшей сетевой активности зараженного компьютера, возникающей из-за стремления вируса распространять себя дальше, что можно заметить на сетевой вкладке диспетчера задач.

Патогенез
Инфицирование происходит следующим образом: с будущей жертвой устанавливается TCP-соединение на порт 135 и запускается код эксплойта. Под стоны агонизируещей RPC-службы компьютер падает к ногам победителя, который великодушие проявлять и не собирается. А поступает он следующим образом: сначала организовывается FTP-соединение с машиной, с которой поступило заражение. Через установленный канал на поверженного скачивается файл MSBlast.exe (есть разновидности вируса, в которых этот файл может называться по-другому, например TeeKids.exe) и помещается в каталог %WindowsDir%\system32. После этого вирус прописывает себя в реестре для автоматического выполнения при каждом запуске операционной системы.
Болезнетворное воздействие вируса комплексно. Во-первых, каждые 1.8 секунды он генерирует 20 произвольных IP-адресов. Если по какому-либо адресу окажется уязвимая система, к ней будет применена уже известная процедура заражения. Это плохо для окружающих. Во-вторых, на порте 4444 организуется командная оболочка. Любой подключившийся по протоколу telnet получит через консоль доступ ко всей машине. Это плохо для зараженной машины. Наконец, в-третьих, вирус проверяет системную дату, и если оказывается, что текущий месяц – между январем и августом, а число – больше 16 или просто месяц – от сентября до декабря, то начинается Denial of Service-атака (т.е. организация огромного количества запросов на интернет-сервер, которые он не в состоянии обслужить) на сайт www.windowsupdate.com. Это очень плохо для Microsoft.
Количество зараженных машин на момент начала атаки (16 августа 2003 года) оценивалось в 350-400 тысяч. Для предотвращения неминуемого падения серверов обновления в результате распределенной DoS-атаки, Microsoft пришлось переместить их на доменное имя windowsupdate.microsoft.com. Положительную роль в день начала атаки сыграло массовое отключение электричества в США, что снизило количество потенциальных участников атаки.

Профилактика и лечение
Самым эффективным средством профилактики MSBlast является, несомненно, таблетка от Microsoft, которую можно забрать с http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe – для WindowsXP и http://download.microsoft.com/download/e/d/b/edb1ed43-ac1f-4329-8f6a-bf6111029390/Windows2000-KB823980-x86-RUS.exe – для Windows 2000. Патч защитит и от LoveSAN, и от других RPC-червей, которые появятся в будущем.
Можно использовать народные методы предотвращения заболевания: на 90% машин RPC в целом и  DCOM в частности не используются. Поэтому 135-й порт, который они используют, можно заблокировать. Для этого нужно поставить на машину firewall, например Agnitum Outpost или Tiny Personal Firewall. Firewall предназначен для фильтрации сетевых пакетов, и может остановить MSBlast еще в момент, когда он только попытается установить первое соединение.
Для лечения чаще всего пользуются небольшими специализированными антивирусными программами, в большом количестве выпущенными в начале эпидемии. Вакцину Symantec можно найти по адресу http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html, вакцину "Лаборатории Касперского" – по адресу ftp://ftp.kaspersky.com/utils/clrav.zip.
Врачевать болезнь возможно и самостоятельно. Сначала в диспетчере задач необходимо найти и выгрузить процесс MSBlast.exe, после чего запустить regedit.exe, найти в реестре ключ     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удалить в нем значение "windows auto update"="msblast.exe". Файл %WindowsDir%\system32\msblast.exe, если вы не хотите оставить его себе на память, можно стереть. Теперь система чиста. Но расслабляться рано. С высокой степенью вероятности он может очень быстро вернуться: очень часто вирусом заражаются машины в локальной сети, и скорее всего ваша машина – не единственный больной. Поэтому сразу же после ликвидации нужно предпринять меры по недопущению повторного заражения.
Совсем уж ленивым тоже есть на что надеяться: недавно специалистами ЗАО "Диалог-Наука" был обнаружен вирус Nachi, известный также как Welchia и White Hat. Среди методов распространения вируса также присутсвует использование ошибки RPC, но инфицирует он компьютеры совсем в противоположных целей – для борьбы с MSBlast. Заразив компьютер, он скачивает с сайта Microsoft и устанавливает лечащий RPC патч, удаляет из системы LoveSAN, затем пытается инфицировать другие машины. Уже сейчас его окрестили сетевым Робин Гудом.

LoveSAN в Ярославле
Не остался в стороне от интернет-пандемии и наш замечательный город. Известны многократные случаи заражения, на сайте "Яртелекома" выложены предупреждения. Специалисты в информационных технологиях уже давно себя обезопасили. А как быть с остальными?
Организацией защиты от такого рода вирусов обычно занимаются интернет-провайдеры. Для того чтобы защитить пользователей или отрезать очаг поражения им достаточно настроить firewall на узловом сервере или модемном пуле. Мне удалось поговорить с Игорем Алексеевым, директором по развитию ярославского интернет-провайдера "НЕТИС Телеком".
– Предпринимались ли какие-либо меры по ограничению распространения Blast?
– Мы фильтруем только по запросу клиента – у многих фильтры есть. Если запросы были, устанавливаются фильтры на входящие порты. В сети управления НЕТИС Телеком вирусов нет.
– Отразилась ли эпидемия на работе ваших сетей?
– Нет. Общее возрастание нагрузки не составило и 2% – это теряется на фоне обычных колебаний нагрузки.
– Ведется ли мониторинг обращения на сайт windowsupdate.com, если да, то что можно сказать о масштабах заражения?
– Нет, мы ведем мониторинг нашего сетевого пространства на предмет червей другим способом: посредством анализа статистики и выявления попыток сканирования адресного пространства. На windowsupdate бывает много легитимных запросов. Червивая активность в последний год в интернете наблюдается постоянно, присутствуя в виде шума. Не могу сказать, что с появлением нового червя активность заметно возросла. Так – слегка.
– Что можно сказать о масштабах заражения?
– Раза в два выше обычного фона заражаемости другими червями.
– Предпринимаются ли какие-либо меры к зараженным машинам?
– Да, владелец уведомляется, порты блокируются. По своей структуре вирус довольно прост и, к счастью, не обладает деструктивной природой. Есть у него и своя позитивная роль: к моменту появления своих куда более суровых коллег многие компьютеры своими запуганными владельцами уже будут от новых RPC-вредителей защищены.

Артем Солопов