Ленка Виноградова
Новый интернет-червь «Китай» заразил 22 тысячи серверов, на которых стояла программа Microsoft Internet Information Server (IIS). Впервые он был обнаружен в пятницу, 13 июля. Специалисты по компьютерной безопасности предлагают простейший способ борьбы с ним — просто перезагрузить сервер.
Как сообщает NewsBytes, официальное название вируса — . После заражения IIS червь вывешивает на сайты, которые расположены на сервере, сообщение, написанное красными буквами: «»Welcome to ! Hacked By Chinese!» («Добро пожаловать на http://www.worm.com! Похакано китайцами!»). Затем червь размножается и рассылает свои копии на другие машины с IIS.
Code Red Worm или «Китай» был создан автором для заражения серверов, работающих под англоязычной версией операционных систем Windows NT и Windows 2000. Об этом сообщили после исследования червя аналитики из компании . По мнению специалистов, если бы не эта особенность, жертв и разрушений было бы гораздо больше. Червь перестает размножаться в тот момент, когда натыкается на компьютер, где стоит национальная версия оперционных систем. Кроме того, в этом случае он не уродует сайты, расположенные на компьютере.
Code Red Worm использует известную с прошлого месяца «дыру» в IIS: переполнение буфера .ida. Компания Microsoft уже выпустила соответствующий патч. Серверы, уже пораженные вирусом, могут некоторое время работать нормально, а их системные администраторы — не замечать непорядка, так как сначала червь размножается, а потом уже вывешивает свое сообщение на сайт.
Кроме того, эксперты выяснили, что этот вирус находится в оперативной памяти, поэтому работает только до тех пор, пока компьютер не перегрузили. Червь не оставляет зараженных файлов на вичестере и не определяется антивирусными программами. Вместо того, чтобы создавать новый файл index.html для замены главной страницы сайта, червь перехватывает запросы от пользователей и генерирует текст дефейса из памяти компьютера.
Эксперты также обнаружили, что на некоторых серверах червь убивает себя сам, так как требует слишком много ресурсов, что приводит к падению сервера и необходимости его перезагрузить.
Первоначально специалисты решили, что Code Red Worm служит ширмой для других программ, открывающих в системе лазейки для хакеров или запрашивающих удаленный компьютер о передаче каких-либо данных. Однако при тщательном анализе в eEye Digital Security было обнаружено, что червь существует сам по себе.
По иронии судьбы или создателей червя, одним из пострадавших сайтов стал Worm.com. Его владельцы отрицают свою причастность к Code Red Worm.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Новый интернет-червь переписывается с Гейтсом — 09.06.01
Microsoft распространял вирусы в нагрузку к патчам для своих дыр — 26.04.01
Производители червей переключились на Linux — 24.01.01
Новый вирус блокирует пополнение базы антивирусных программ — 29.09.00