...к тем, кто так и не поставил заплатку

Если язык атакованного сайта — английский, Code Red размещает на нем Web-страницы с этим сообщением

Червь Code Red может причинить серьезные неприятности пользователям, не ликвидировавшим уязвимые места своих систем. Координационный центр CERT Университета Карнеги — Меллона продолжает исследование этой вредоносной программы.

Представители центра утверждают, что он может активизироваться на десятках тысяч машин. Как утверждают специалисты, 20 августа следует ожидать новой атаки.

Некоторые аналитики сравнивают нового червя с пресловутой проблемой 2000 года. Это касается не только масштабов угрозы, но и этических аспектов проблемы. «Потенциально угроза проблемы 2000 года была велика, но большинство пользователей прислушались к предупреждениям, — заявила Лайза Смит, менеджер по продуктам McAfee Virus Scan. — Сейчас происходит то же самое. Ничего не случится, если предприятия адекватно воспримут поднятую тревогу. Все, что от них требуется, — поставить заплатку на свои системы».

Марти Линдер, руководящий в CERT группой, занимающейся такого рода инцидентами, уверен, что единственной действенной атакой против червя является установка заплаток на уязвимые места систем, которые использует червь.

«Опасность сохраняется до тех пор, пока существует хотя бы одна машина, с которой производится сканирование, а следовательно, и распространение червя», — предупреждает Линдер.

По данным CERT, было зарегистрировано несколько разновидностей червя. Во время первой волны атаки было поражено не менее 280 тыс. компьютеров. По сообщению компании eEye Digital Security, новая программа, получившая имя Code Red II, скорее всего основана на предыдущей, но использует несколько иные принципы генерации случайных чисел в процедуре выбора Web-страниц, что затрудняет его выявление при помощи аналитических средств, разработанных для первого червя.

Алан Паллер, директор по исследованиям SANS Institute, считает, что новые атаки червя неизбежны: «Вопрос только в том, сколько пользователей поставили заплатки на свои системы». Разрушительную деятельность червя можно предотвратить, только если заплатки будут установлены большинством пользователей.

Червь живет только в оперативной памяти, не делая собственной копии на жестком диске, поэтому перезагрузка позволяет полностью избавиться от него и защититься от повторного заражения.

Впрочем, было бы несправедливо говорить о несознательности (или беспечности) пользователей. Меры в основном предпринимаются. Так, в компании Network Associates, завершившей сканирование более чем 20 тыс. Internet-систем, установили, что незащищенными остались 1230.

В конце июля — начале августа заметно возросло число загрузок заплаток с сайта корпорации. Сейчас оно составляет примерно 1 млн. Правда, количество серверов во всем мире, на которых работает Microsoft Internet Information Server, достигает примерно 6 млн., однако представители компании считают, что число заплаток не обязательно должно соответствовать числу серверов. Администратору, в распоряжении которого несколько серверов, достаточно загрузить заплатку только один раз, чтобы исправить сразу несколько систем.

Впрочем, известно, что многие пользователи, поддавшись панике, загрузили заплатку по ошибке, намереваясь использовать ее для домашних компьютеров.

Реальная угроза

Среди организаций, забивших тревогу по поводу появления новой, вполне реальной угрозы из виртуального мира, множество представителей государственного и частного секторов. В условиях новой, Internet-зависимой экономики появление таких программ, как Code Red, чревато серьезными последствиями, в том числе и для национальной безопасности. Это впервые осознали представители организаций различных форм собственности и принадлежности. «Code Red способен посеять хаос во многих отраслях, в том числе в телекоммуникациях, энергетике и финансовом обслуживании», — заявил Кеннет Ватсон, председатель организации Partnership for Critical Infrastructure Security.

Этика и безопасность

«Code Red не добился большого успеха как инструмент организации распределенной атаки типа ?отказ в обслуживании?, но крайне эффективно действует как червь», — подчеркнул Винсент Вефер, директор антивирусного исследовательского центра Symantec. Эта компания предлагает бесплатный инструмент сканирования Web-сайтов, при помощи которого администраторы могут проверить, инфицирован ли их Web-сайт. «Мы наблюдаем сейчас тенденцию к слиянию компьютерных вирусов и инструментов атаки. В будущем следует ожидать появления различных разновидностей симбиозов такого рода», — предупредил Вефер.

Появление Code Red и его вариантов поставило перед компьютерной общественностью также серьезную этическую проблему — насколько широко следует оповещать общественность об уязвимых местах в продуктах различных производителей.

В некоторых компаниях, специализирующихся на вопросах защиты, сложилось мнение, что публикация компанией eEye в июне подробных данных о слабых местах сервера IIS облегчило задачу автора червя.

Специалисты Internet Security Systems, производящей средства защиты, уверены, что было некорректно так подробно описывать уязвимые места IIS.На их взгляд, следует теснее сотрудничать с производителями, в чьих продуктах обнаруживаются слабые места, и уже после выпуска заплат в общих чертах знакомить общественность с выявленными недочетами.

Впрочем, с точки зрения других, можно спорить, уместна ли критика eEye, но очевидно, что компания сделала все возможное для привлечения внимания к возникшей опасности.

«Когда eEye выступила со своей публикацией, в ее намерения входило проинформировать системных администраторов», — подчеркнул Вефер, добавив, что Symantec не собирается публиковать никаких хакерских находок, которые удастся обнаружить.

eEye, со своей стороны, продает продукт под названием SecureIIS и постоянно анализирует системы на предмет уязвимых мест для червей типа Code Red. Представители компании заявили в свою защиту, что после такого предупреждения, как «полное оповещение», у системных администраторов не должно оставаться сомнений в серьезности угрозы.

У компании есть сторонники, разделяющие ее точку зрения.

«Возможно, и не стоило демонстрировать всему свету слабые места программных систем, — говорит Скотт Блейк, директор компании BindView по вопросам стратегии продуктов защиты. — Но я убежден, что чем больше людей напугано, тем больше вероятности, что будут установлены соответствующие заплатки».


Code Red использует дефекты IIS

Программа Code Red представляет собой первый бестелесный червь, не требующий для своего распространения файлов-носителей. Он поражает системы под управлением Windows NT 4.0, поддерживающие Internet Information Server (IIS) 4.0 или IIS 5.0, либо Index Server 2.0, а также Windows 2000, поддерживающие IIS 4.0, либо IIS 5.0, либо службы индексации.

Червь использует ситуацию переполнения буфера библиотеки Indexing Service DLL. Это слабое место большинства версий IIS 4.0 и IIS 5.0. Переполнение буфера дает атакующему возможность получить контроль над целевой системой.

Если язык атакованного сайта — английский, Code Red размещает на нем Web-страницы с сообщением «HELLO! Welcome to http://www.worm.com! Hacked By Chinese!». Производительность зараженной системы резко падает, так как червь начинает выполнять сканирование других хостов для дальнейшего распространения.

Если в качестве языка по умолчанию используется иной язык, сканирование будет продолжаться, при этом внешний вид Web-сайта останется неизменным.

В процессе сканирования Code Red может вызвать серьезную атаку типа «отказ в обслуживании», для этого он использует генератор случайных чисел, чтобы создать список IP-адресов, которые подвергаются сканированию.

В отличие от других вирусов, Code Red распространяется не по почте, а переносится с сервера на сервер. Инфицированный сервер используется для направления запросов на целевой адрес URL.

Поделитесь материалом с коллегами и друзьями