Лаборатория Касперского, 1.08.2001
В начале этой недели информационные агентства распространили заявления
правительственных организаций США, Великобритании и других стран о новой
вспышке эпидемии Интернет-червя ‘Bady’ (‘Code Red’), которая должна
случиться 1 августа. К сожалению, данные заявления обросли многочисленными
слухами, исказившими реальное положение вещей и вызвавшими панику среди
пользователей. В этой связи «Лаборатория Касперского» считает необходимым
прояснить ситуацию.
‘Bady’ — это программа-червь, распространяющаяся через всемирную сеть
Интернет и заражающая компьютеры с Windows 2000, Microsoft Internet
Information Server (IIS) (версии 4.0 и 5.0) и включенной службой
индексирования Indexing Service. Для проникновения компьютеры червь
использует брешь в системе безопасности IIS — «Unchecked Buffer in Index
Server ISAPI Extension». Данная брешь была обнаружена 18 июня 2001 г. и
компания Microsoft уже выпустила соответствующую «заплатку», закрывающую
данную брешь. Одновременно, все ведущие производители антивирусного ПО также
добавили в свои продукты процедуры защиты от червя.
Особенность работы ‘Bady’ заключается в том, что он активен только с 1 по 27
числа каждого месяца. После этого все активные копии червя автоматически
переключаются в «спящий режим» и больше никогда не активизируют процедуру
распространения и никак не проявляются. Вместе с тем, за время, прошедшее с
момента обнаружения ‘Bady’ (19 июля) он успел заразить более 350 000
компьютеров. Существует вероятность, что хотя бы на одном из них системная
дата установлена неправильно (например, с запозданием более 5 дней) и на нем
сохранилась активная копия червя. Таким образом, 1 августа снова станет
возможным повторное заражение компьютеров, на которых до сих пор не
установлена «заплатка», устраняющая брешь в системе безопасности IIS и не
используется обновленное антивирусное ПО.
«Мы не исключаем возможность повторения эпидемии ‘Bady’. Однако случаи
заражения этим червем будут эпизодическими и масштабы его распространения ни
в коем случае не могут быть сравнимы с первоначальными», — комментирует
Евгений Касперский, руководитель антивирусных исследований «Лаборатории
Касперского».
Существует несколько веских причин, почему невозможно повторение эпидемии
‘Bady’. Во-первых, факт существования ‘Bady’ получил широкий резонанс
практически во всех средствах массовой информации и заставил подавляющее
большинство системных администраторов установить «заплатки» и обновить
антивирусные программы. Во-вторых, повторное заражение компьютеров вызовет
дальнейшее снижение их производительности и сбои в работе. В результате
системные администраторы будут вынуждены произвести ручную «чистку»
компьютера и все-таки установить «заплатку». В-третьих, ‘Bady’ нацелен
исключительно на системы с установленным комплексом IIS. Такое программное
обеспечение используется только на серверном оборудовании, так что домашние
пользователи и пользователи аналогичного ПО других производителей не могут
подвергнуться атаке ‘Bady’.
«Сегодня своевременная установка обновлений к используемому ПО становится
одним из основных правил компьютерной безопасности. Случай с ‘Bady’ — еще
одно тому доказательство, — комментирует Денис Зенкин, руководитель
информационной службы «Лаборатории Касперского», — Установка «заплатки» от
‘Bady’ поможет справиться только с этим червем и его возможными
модификациями. Но это не убережет от других вредоносных программ,
использующих бреши в системах защиты программного обеспечения».
Полезные ссылки:
— Бесплатная программа для обнаружения ‘Bady’
— «Вирусная Энциклопедия Касперского»: подробное описание червя
— «» для Internet Information Server
Информационная служба «Лаборатории Касперского»