Лаборатория Касперского, 1.08.2001
В начале этой недели информационные агентства распространили заявления
правительственных организаций США, Великобритании и других стран о новой
вспышке эпидемии Интернет-червя ‘Bady’ (‘Code Red’), которая должна
случиться 1 августа. К сожалению, данные заявления обросли многочисленными
слухами, исказившими реальное положение вещей и вызвавшими панику среди
пользователей. В этой связи “Лаборатория Касперского” считает необходимым
прояснить ситуацию.
‘Bady’ – это программа-червь, распространяющаяся через всемирную сеть
Интернет и заражающая компьютеры с Windows 2000, Microsoft Internet
Information Server (IIS) (версии 4.0 и 5.0) и включенной службой
индексирования Indexing Service. Для проникновения компьютеры червь
использует брешь в системе безопасности IIS – “Unchecked Buffer in Index
Server ISAPI Extension”. Данная брешь была обнаружена 18 июня 2001 г. и
компания Microsoft уже выпустила соответствующую “заплатку”, закрывающую
данную брешь. Одновременно, все ведущие производители антивирусного ПО также
добавили в свои продукты процедуры защиты от червя.
Особенность работы ‘Bady’ заключается в том, что он активен только с 1 по 27
числа каждого месяца. После этого все активные копии червя автоматически
переключаются в “спящий режим” и больше никогда не активизируют процедуру
распространения и никак не проявляются. Вместе с тем, за время, прошедшее с
момента обнаружения ‘Bady’ (19 июля) он успел заразить более 350 000
компьютеров. Существует вероятность, что хотя бы на одном из них системная
дата установлена неправильно (например, с запозданием более 5 дней) и на нем
сохранилась активная копия червя. Таким образом, 1 августа снова станет
возможным повторное заражение компьютеров, на которых до сих пор не
установлена “заплатка”, устраняющая брешь в системе безопасности IIS и не
используется обновленное антивирусное ПО.
“Мы не исключаем возможность повторения эпидемии ‘Bady’. Однако случаи
заражения этим червем будут эпизодическими и масштабы его распространения ни
в коем случае не могут быть сравнимы с первоначальными”, – комментирует
Евгений Касперский, руководитель антивирусных исследований “Лаборатории
Касперского”.
Существует несколько веских причин, почему невозможно повторение эпидемии
‘Bady’. Во-первых, факт существования ‘Bady’ получил широкий резонанс
практически во всех средствах массовой информации и заставил подавляющее
большинство системных администраторов установить “заплатки” и обновить
антивирусные программы. Во-вторых, повторное заражение компьютеров вызовет
дальнейшее снижение их производительности и сбои в работе. В результате
системные администраторы будут вынуждены произвести ручную “чистку”
компьютера и все-таки установить “заплатку”. В-третьих, ‘Bady’ нацелен
исключительно на системы с установленным комплексом IIS. Такое программное
обеспечение используется только на серверном оборудовании, так что домашние
пользователи и пользователи аналогичного ПО других производителей не могут
подвергнуться атаке ‘Bady’.
“Сегодня своевременная установка обновлений к используемому ПО становится
одним из основных правил компьютерной безопасности. Случай с ‘Bady’ – еще
одно тому доказательство, – комментирует Денис Зенкин, руководитель
информационной службы “Лаборатории Касперского”, – Установка “заплатки” от
‘Bady’ поможет справиться только с этим червем и его возможными
модификациями. Но это не убережет от других вредоносных программ,
использующих бреши в системах защиты программного обеспечения”.
Полезные ссылки:
– Бесплатная программа для обнаружения ‘Bady’
– “Вирусная Энциклопедия Касперского”: подробное описание червя
– “” для Internet Information Server
Информационная служба “Лаборатории Касперского”