Лаборатория Касперского

В начале недели государственные организации США, Великобритании и ряда других стран заявили о новой волне эпидемии Интернет-червя «Bady» («Code Red»), которая, по их прогнозам, должна начаться с 1 августа. К сожаленью, подобные уведомления сопровождались множеством слухов, что искажало реальную картину и вызывало неоправданную панику среди пользователей. В связи с этим «Лаборатория Касперского» решила пояснить положение дел.

«Bady» – это программа-червь, распространяющаяся через Интернет и заражающая компьютеры под управлением Windows 2000 и сервера Microsoft Internet Information Server (IIS) версий 4.0 и 5.0 при включенной службе индексирования Indexing Service. Для проникновения червь использует уязвимость в системе безопасности IIS, известную как «Unchecked Buffer in Index Server ISAPI Extension». Эта уязвимость была выявлена 18 июня 2001 года, после чего Microsoft выпустила обновление, закрывающее данную брешь. Параллельно ведущие производители антивирусного программного обеспечения добавили защитные механизмы против этого червя в свои продукты.

Особенность червя «Bady» состоит в том, что он проявляет активность только с 1 по 27 число каждого месяца. По завершении этого периода все его активные копии автоматически переходят в «спящий режим» и не продолжают процесс заражения, не проявляясь при этом. Тем не менее, с момента обнаружения 19 июля червь заразил свыше 350 000 компьютеров. Вероятно, на некоторых из них системное время установлено неверно (например, отстает более чем на пять дней), из-за чего активные экземпляры могли сохраниться. В результате повторное заражение машин, на которых не установлены обновления для IIS и не обновлено антивирусное ПО, возможно уже с 1 августа.

«Мы не исключаем возможности повторного всплеска эпидемии „Bady“. Однако такие случаи будут единичными, а масштаб распространения не достигнет первоначального уровня», — отмечает Евгений Касперский, руководитель антивирусных исследований в «Лаборатории Касперского».

Есть несколько весомых причин, свидетельствующих о невозможности новой масштабной эпидемии этого червя. Во-первых, информация о нем получила широкое освещение в СМИ, что подтолкнуло большинство системных администраторов к установке необходимых обновлений и обновлению антивирусных программ. Во-вторых, повторное заражение неизбежно вызовет снижение производительности и сбои, что заставит администраторов прибегнуть к ручной очистке и установке патчей. В-третьих, «Bady» ориентирован исключительно на системы с установленным IIS — программным обеспечением, используемым, преимущественно, на серверах. Следовательно, домашние пользователи и владельцы другого ПО не находятся в зоне риска атаки этим червем.

«Своевременная установка обновлений сегодня является одним из ключевых правил обеспечения компьютерной безопасности. Случай с „Bady“ еще раз это подтверждает», — подчеркивает Денис Зенкин, руководитель информационной службы «Лаборатории Касперского». — «Применение патча для защиты от „Bady“ обеспечивает защиту от данного червя и его возможных модификаций, однако не гарантирует безопасность от иных вредоносных программ, которые используют уязвимости в системах защиты программного обеспечения».

Информационная служба «Лаборатории Касперского»