Деструктивный червь, атаки которого так боялись, практически не нанес вреда

Когда врачи говорят, что они победили болезнь, то это всего лишь констатация факта, поскольку им противостоят бездушные фрагменты белкового кода или паразитирующие бактерии. Они никак не отреагируют на заявление медиков. Однако если такая знаменитость, как Евгений Касперский, заявляет, что глобальных вирусных эпидемий не было, то вирусописатели могут воспринять это как вызов.

Червь Nyxem.E начал распространяться по спам-рассылке 20 января уже нынешнего года, то есть спустя год после предыдущей версии. Карта, нарисованная F-Secure, показала практическое отсутствие заражений в России, но плотное покрытие Европы и Америки

Вирусный сезон 2006 года открыл червь Nyxem.E (CME-24). Собственно, первый вариант червя Nyxem появился еще 25 марта 2004 года. По заявлениям исследователей из компании Dr. Web, этот червь базировался на исходных текстах червя Sober, но первый вариант Nyxem отличался тем, что организовывал распределенную DoS-атаку на сайт биржи New York Mercantile Exchange (www.nymex.com). Видимо, этот сайт и дал имя: антивирусные компании в названиях вредоносных программ используют какую-нибудь строку из тела червя. Предпоследний его вариант, Nyxem.D, был обнаружен в сентябре 2004 года; он также организовывал распределенную DoS-атаку, но уже на другой сайт.

Червь Nyxem.E начал распространяться по спам-рассылке 20 января уже нынешнего года, то есть спустя год после предыдущей версии. Для внедрения на компьютер он использовал английский текст эротического содержания, который в России, похоже, был непонятен, поэтому у нас этот червь распространился незначительно. Однако известность версия E получила потому, что в нее была встроена логическая бомба. Nyxem.E, будучи активирован третьего числа любого месяца, через полчаса после запуска начинал уничтожать документы форматов DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD и DMP. Причем уничтожал полностью, то есть перезаписывая данные файлов, что исключало их восстановление.

В Nyxem.E был встроен Web-счетчик, значение которого за несколько дней увеличилось с 300 тыс. до 600 тыс. По этому признаку было сделано заключение, что червь заразил 600 тыс. компьютеров, хотя эксперты F-Secure предположили, что отсчет был начат не с нуля. Web-счетчик позволил также отследить географическое распространение червя по кэшам DNS-серверов. Карта, нарисованная F-Secure, показала практическое отсутствие заражений в России, но плотное покрытие Европы и Америки. Надо заметить, что аналогичный вредоносный код, выпущенный в 2004 году, насчитал 920 тыс. зараженных компьютеров, так что нынешняя эпидемия по масштабам получилась даже меньше, чем два года назад.

Перед 3 февраля на час и пять минут из-за червя вышла из строя торговая площадка РТС. Неизвестный червь проник на компьютер тестовой площадки биржи и начал генерировать слишком большой поток сетевого трафика, который вывел из строя маршрутизаторы биржи. Многие подумали, что на РТС напал именно Nyxem, хотя червей, генерирующих большой трафик, много. Компания Sophos даже привела мнение своих экспертов, что червь, поразивший РТС, не может быть Nyxem.E.

В то же время 3 февраля — первый день, когда должна была сработать логическая бомба червя, — оказалось, что ущерб от эпидемии минимален. Были сообщения лишь о заражении 10 тыс. компьютеров в Милане, однако это произошло, скорее всего, потому, что компьютеры были государственные и особо некому было заботиться об их защите. Похоже, что от Nyxem.E больше всего пострадали те, кто вообще не заботится о своей безопасности. Все остальные в двухнедельный срок успели избавиться от червя. По оценкам аналитиков, на 3 февраля зараженными оставались несколько десятков тысяч компьютеров. Таким образом, можно констатировать победу докторов над этим вирусом.

Червь Nyxem.E поднял еще одну проблему — проблему именования. Имя Nyxem.E использовала «Лаборатория Касперского» и еще несколько компаний. Но были в ходу и другие названия, например Kama Sutra, MyWife, Blackmal. Или даже Kapser — фактически намек на конкурента. Всего было зафиксировано 17 наименований этого червя. Понятно, что специалисты к этому привыкли, но люди, не связанные с вирусной индустрией, могли прийти в ужас от нашествия многих вирусов. Тем не менее решение есть, и оно было предложено еще в сентябре 2005 года — это база общих названий вредоносного программного обеспечения Common Malware Enumeration (CME). Она была создана по инициативе компании MITRE, которая уже поддерживает аналогичную базу по уязвимостям программного обеспечения Common Vulnerabilities and Exposures (CVE). Червь Nyxem.E получил номер 24, и в некоторых сообщениях использовался его общепризнанный акроним CME-24.


Хронология

Краткая история эпидемии червя Nyxem.E

20 января Массовая рассылка червя
2 февраля Выход из строя биржи РТС
3 февраля Первая активация логической бомбы

Поделитесь материалом с коллегами и друзьями