Новый этап в эволюции вредоносных программ

Только что опубликованное исследование червя Slammer, поразившего Internet пару недель назад, подтвердило те догадки, которые многие уже высказывали: Slammer знаменует собой новый этап в эволюции вредоносных программ, намного опередил по скорости своего распространения другие до сих пор появлявшиеся черви.

Исследование провела группа специалистов, представлявших целый ряд организаций: Cooperative Association for Internet Data Analysis (CAIDA), International Computer Science Institute, Silicon Defense, Университет Беркли и Университет Сан-Диего.

Результаты исследования, содержащие очень выразительные статистические данные, позволяют увидеть, как разворачивалась эпидемия Slammer.

Исследователи установили, что в течение первых трех минут эпидемии число инфицированных машин удваивалось примерно каждые 8,5 секунды. Это более чем в 250 раз превосходит аналогичный показатель для Code Red в середине 2001 года, «популяция» которого удваивалась раз в 37 минут. За те же первые три минуты после начала атаки в субботу 25 января вирус вышел на рекордную отметку 55 млн. сканирований в секунду.

Исследователи установили, что в течение первых трех минут эпидемии число инфицированных машин удваивалось примерно каждые 8,5 секунды

У невероятной скорости распространения Slammer несколько причин, отмечается в исследовании. Во-первых, он мал — всего 376 байт. Code Red имел размер 4 Кбайт, а Nimda — около 37 Кбайт.

Кроме того, новый червь функционировал не так, как его предшественники. Slammer случайным образом генерировал IP-адреса и реплицировал себя на соответствующие компьютеры, не сканируя их и даже не проверяя, установлены ли на них программы, на поражение которых он был рассчитан: Microsoft SQL Server 2000 и MSDE 2000 с отсутствовавшими «заплатами» в системе безопасности СУБД. Вследствие своей вероятностной природы червь, имея достаточное время, поразил бы все имевшие соответствующую уязвимость машины.

Однако поразительная скорость, с которой распространялся червь, внесла свой вклад и в затухание эпидемии.

В отчете подчеркивается, что с некоторого времени распространение червя стала сдерживать пропускная способность Сети, которая перестала справляться с экспоненциальным ростом генерируемых IP-пакетов.

Кроме того, сигнатуру червя, рассчитанного на атаку определенного порта, оказалось легко выявить. Возможность заблокировать соответствующий порт также оказалась эффективным способом остановки эпидемии.

В случае с Code Red червь предварительно опрашивал сетевые узлы и атаковал только те из них, которые казались ему потенциально уязвимыми. На начальном этапе это существенно замедляло развитие атаки.

В исследовании содержится по крайней мере один существенный вывод. Его составители отмечают, что в прошлом создатели червей выбирали своими потенциальными жертвами пользователей наиболее популярных программ. Однако в дальнейшем страдать от эпидемий могут и «малые популяции»: та скорость, с которой распространился «пожар» Slammer, свидетельствует, что программное обеспечение с меньшей инсталляционной базой также может стать вероятной целью будущих кибератак.

Дополнительную информацию об исследовании можно найти в Internet по адресу http://www.caida.org/ analysis/security/sapphire/.