Компьютерный вирус mydoom sx известен также как novarg s относится к классу

Обновлено: 04.07.2024

В результате атаки Novarg/MyDoom корпорации, университеты и школы, большие и малые компании и организации, а также домашние пользователи продолжают сообщать о значительных задержках в сети, перегрузках и отказах в обслуживании почтовыми системами по всему миру.

При продолжающемся увеличении количества заражённых систем само распространение эпидемии несколько замедлилось с тех пор, как шесть дней назад вирус впервые был обнаружен в России.

Вплоть до настоящего времени примерно 10 из 50 самых крупных веб-хостов и провайдеров в мире обнаруживают необычные задержки в своих сетях или периодические отказы в обслуживании своих веб-сайтов.

Novarg/MyDooM стал «первым среди равных»

После начала эпидемии Novarg/MyDoom уверенно продвигался к первому месту в десятке самых разрушительных вирусов.

Самые разрушительные вирусы *

* — по данным на 02.02.2004 г.

Сайт SCO Group пал первым

Появится одно цифровое окно для всех социальных ведомств

Компания mi2g подтверждает, что веб-сайт SCO был недоступен с 0:00 по московскому времени («среднее гражданское время» по Москве), 31 января 2004 года. Ни один запрос пользователей на страницы сайта в нескольких городах по всему миру не был выполнен начиная с этого времени.

О начале атаки веб-сайта SCO компания mi2g сообщила еще в 21:30 мск в субботу, 31 января, гораздо раньше, чем того ожидали другие эксперты, предполагавшие, что ничто не произойдёт с сайтом до 20:09 мск в воскресенье, 1 февраля. Этому способствовало как различие временных поясов, так и неверные установки времени на заражённых компьютерах. Все это привело к более раннему параличу SCO, чем это ожидалось. Но события еще только разворачиваются — атака может продолжиться до 12 февраля.

Основной вопрос и вторая главная жертва Novarg/MyDoom.b

В воскресенье, 1 февраля, с 17.00 мск другая цель вируса Novarg/MyDoom.b — сайт компании Microsoft — ощутила на себе начало атаки. За последние несколько дней в разных городах по всему миру интервалы на обслуживание запросов просмотра веб-страниц Microsoft периодически превышают 2 или 3 секунды, вместо обычных полсекунды и менее. Несмотря на то, что Novarg/MyDoom.b не должен был атаковать сайт Microsoft до вторника 3 февраля, существует вероятность, что некоторые заражённые машины уже начали делать это так же, как и в случае с DdoS-атаками компании SCO.

После успеха вирусного цунами против SCO следует задать вопрос: «Насколько легко теперь потенциальному экстремисту в нашем зависимом от компьютеров обществе, используя вирусы, подобные MyDoom, такие же сложные, совершенные, быстро распространяющиеся и высокотехнологичные, создать армию компьютерных зомби в считанные дни? Может ли какое-либо правительственное агентство, корпорация или любая другая организация нормально существовать и работать в Сети, если группа программистов начинает скрыто или публично атаковать веб-ресурсы только из-за каких-то политических действий?»

Четверг, 29 января
К утру четверга уже каждое пятое электронное письмо заражено вирусом. Различные интернет-агентства пророчат скорое “подвисание” всей Мировой Паутины на неопределенный срок. Антивирусные службы настроены не столь скептически и считают, что, несмотря на масштабы эпидемии, блокировки большинства веб-серверов не произойдет. Но и те, и другие признают, что подобного в интернете еще не было.

Пятница, 30 января
Благодаря усилиям многих антивирусных компаний по всему миру распространение MyDoom удается стабилизировать, эпидемия входит в стационарную фазу: вирус перестает захватывать новые компьютеры, но количество инфицированных машин по-прежнему огромно. Ситуацию осложняет то, что вирус, даже будучи удален с главных серверов, продолжает распространяться по локальным сетям. К вечеру пятницы каждое четвертое письмо, отправленное через интернет, заражено Novarg. Преобладает версия I-Worm.Mydoom.a.

Воскресенье, 1 февраля
С самого утра началась массированная атака на сайт корпорации SCO. Сервер лег. На множестве информационных интернет-порталов появляется информация от независимого исследователя, называющего себя Юари Босникович (Juari Bosnikovich) . По его словам, антивирусные компании находятся в заговоре и намеренно распространяют заведомо ложную информацию о MyDoom. По мнению Босниковича, червь будет активен и после означенной даты, и даже “мутирует” в версию I-Worm.Mydoom.c , способную заражать BIOS. SCO объявили награду в 250 000$ за поимку автора Novarg.

Понедельник, 2 февраля
Эпидемия вируса идет на спад, DoS-атаки на сайт SCO уже не столь многочисленны, но сервер по-прежнему не работает. Практически все антивирусные компании выпускают бесплатные программы-лечилки, умело отлавливающие червя. К вечеру крупные интернет-службы уже избавляются от паразита на своих серверах, рядовые пользователи продолжают уничтожать вирус у себя на машинах.

Среда, 4 февраля
Эпидемия вошла в нисходящую фазу. Количество вируса в Сети быстро уменьшается. Во всех обновлениях антивирусных программ содержится функция лечения всех версий MyDoom. Сетевой Армагеддон отменяется.

Вирус Mydoom, также известный как NovaRG, появившись в интернет 26 января 2004 года поразил систему электронной почты, установил рекорды по распространению и до сих пор считается самым опасным вирусом, когда-либо выпущенным в свет.

История
Компьютеры, зараженные Mydoom, в час "X" должны были начать атаку на сервера компании SCO Group. Расположенная в американском штате Юта, компания SCO Group известна тем, что именно она заявляет о своих правах на основу кода открытой операционной системы Linux. Из-за этого к ней предъявляют достаточно серьезные претензии другие создатели открытых компьютерных программ, настаивающие на том, что этот код не принадлежит никому. Поэтому, по одной из версий, инициатором атаки на сервер SCO Group, и, соответственно, создателем вируса Mydoom является кто-то, причастный к спорам между этой компанией и ее оппонентами из числа программистов-любителей открытого кода.

По данным компании MessageLabs, занимающейся исследованием компьютерных вирусов, Mydoom впервые появился в России, что, правда, вовсе не означает, что он был создан именно в этой стране. Единственная подсказка, оставленная автором, состоит из фразы "sink-1.01; andy; I’m just doing my job, nothing personal, sorry", зашифрованной в программном коде вируса. Кто такой Энди?! Кто знает?!

Но 28 января в сети появился новый вариант этого вируса, нацеленный не только на SCO Group, но и на сам Microsoft.

Но никакие обвинения так и не были подтверждены хотя бы сколько-нибудь существенными доказательствами.

Работа вируса
Mydoom распространялся по электронной почте с поддельным адресом отправителя и восемью возможными строками темы: test, hi, hello, Mail, Delivery System, Mail Transaction Failed, Server Report, Status, Error.

Вложение имеет общее имя и два расширения файла (для обмана пользователя, заставляя его думать, что это какой-то документ). Имя файла имело 9 возможных вариаций: document, readme, doc, text, file, data, test, message, body.

Поддельное расширение, видимое пользователем, имело три возможных варианта: htm, txt, doc.

Второе реальное расширение файла могло иметь шесть возможных вариантов: bat, cmd, exe, pif, scr, zip.

Когда Mydoom выполнялся, он копировал себя в системную папку Windows под именем Taskmon.exe. Он также создавал файл Shimgapi.dll в системной папке. Этот файл представлял собой бэкдор-троян, который открывал порты прослушивания TCP в диапазоне от 3127 до 3198 и мог загружать и выполнять произвольные файлы.

Затем червь создавал или изменял несколько ключей реестра. Он добавлял значение "TaskMon = \ System Folder \ taskmon.exe" к двум ключам, одним из которых является локальный компьютер, а другой - раздел реестра "Текущий пользователь", что гарантировало работу и перезагрузку червя при каждом запуске компьютера. А также он содержал значение "(Default) = \(System Folder)\shimgapi.dll" для корневого раздела реестра, что гарантировало выполнение shimgapi.dll в Internet Explorer при запуске браузера.

Затем Mydoom искал файлы со следующими расширениями: adb, asp, dbx, htm, php, pl, sht, tbb, txt, wab.

После чего червь отправлял себя по электронной почте, используя собственный механизм SMTP. А также он случайным образом генерировал адресса электронных почты, при помощи содержащихся в нем распространненных человеческих имен.

Червь попытается угадать имя принимающего сервера, добавив следующие строки к имени домена: mx; mail; smtp; mx1; mxs; mail1; relay; ns.

Также в нем содержалась куча различной информации, заранее предусмотренной, что позволяло ему избегать ненужные его автору адреса.

Последствия
Служба мониторинга электронной почты MessageLabs заблокировала 7,4 миллиона копий Mydoom. Вирус содержался какое-то время примерно в каждом 12-ом письме электронной почты. На его долю приходилось 20-30% мирового почтового трафика вскоре после его выпуска. Крупные веб-сайты стали перемещаться на новые адреса, чтобы избежать DDoS-атаки.

Данный инцидент вызвал замедление интернет-трафика по всему миру. По оценкам Kaspersky, от 600 000 до 700 000 компьютеров были заражены червем. Тринадцать процентов были в США, в то время как один процент был в предполагаемой стране, где он был создан, в России.

SCO, которая владеет правами на Unix, подала в суд на нескольких поставщиков и сторонников Linux, утверждая, что в системе использовался некоторый ее проприетарный код. Компания подала в суд на Novell, AutoZone и Daimler-Chrysler, а также на Red Hat и IBM. Это действие вызвало много гнева у комьюнити открытого исходного кода.

Опасный вирус "Mydoom.B", Novarg или Shimgapi

Сеть Интернет атакована новым вирусом "Mydoom.B". Это вторая версия вируса, более опасная! Этот Вирус также появляется под другими именами - "Novarg" или "Shimgapi".

Что происходит:

Компьютерщики не исключают вероятность появления третьей версии вируса Novarg

Впрочем, как выяснилось, у специалистов нет однозначного мнения по поводу опасности Novarg и Novarg.B. Даже происхождение вирусов пока неизвестно. Так, например, глава российского представительства компании Symantec Владимир Ларин сообщил "НГ", что определить, в какой стране запущен вирус, так просто невозможно. "Столь огульные заявления о российском происхождении вирусов мне непонятны. Обнаружить источник заражения так быстро не представляется возможным. О стране - "производителе" вируса мы узнаем точно в лучшем случае через неделю", - говорит Владимир Ларин. По его словам, не стоит также раньше времени говорить о колоссальных экономических потерях. Кстати, по мнению главы представительства Symantec, в России точные убытки подсчитать будет вряд ли возможно. В отличие от США в России нет специальной службы, в которую компании централизованно сообщают о своих потерях.

В настоящее время вирус Novarg все еще не локализован. Это связано в первую очередь с тем, что интернет не поддается сегментации, сообщила "НГ" менеджер по корпоративным коммуникациям "Лаборатории Касперского" Светлана Новикова. По ее словам, если раньше речь шла о заражении нескольких сотен тысяч компьютеров, то теперь эти цифры превышены на порядок. Тем не менее в "Лаборатории Касперского" ожидают, что эпидемия пойдет на спад к выходным. Хотя успокаиваться рано. По мнению Светланы Новиковой, появление третьей версии Novarg вероятно, и противостоять ей будет так же сложно. В "Лаборатории Касперского" не берутся установить точную сумму ущерба. Как говорит Светлана Новикова, в основном ущерб состоит в потере важных документов и рабочего времени из-за вышедших из строя компьютеров.

В российском представительстве Microsoft на вопрос "НГ" об убытках компании в связи с вирусной эпидемией не ответили, сказав лишь, что при разработке программ в последнее время в компании особое внимание уделяется безопасности: создаются в том числе трехэтапная программа защиты от вирусов, подобных Novarg.

Однако же, судя по всему, подобные программы не спасли пользователей на этот раз. Как сообщил "НГ" консультант компании J'Son & Partners Борис Овчинников, эпидемия действительно достигла беспрецедентных масштабов. По оценкам J&P, основанным на измерении объема сгенерированного трафика и на замедлении почтовых потоков в Рунете, Novarg явно превзошел всех своих предшественников.

Евлалия Самедова

Microsoft заплатит за сведения об авторе вируса

После того как за сутки количество инфицированных компьютеров выросло более чем вдвое, корпорация Microsoft тоже объявила награду $250 тыс за информацию об авторе червя "Mydoom".

Сейчас уже абсолютно ясно, что на наших глазах разворачивается настоящая информационная война, равных которых еще не было в интернете. Вирусная эпидемия таких потрясающих масштабов способна нанести очень серьезный ущерб любой организации, правительству любой страны, кому угодно. Все в руках хакеров, которые в данном случае, рискуя своей жизнью, запрограммировали вирусы на атаку сайтов двух ненавистных корпораций SCO и Microsoft. Видимо, хакеры не имеют корыстных целей и полностью уверены, что борются за правое дело. Об этом говорит и абсолютная безобидность вирусов, которые очень нежно относятся к инфицированным компьютерам. Интересно также, что вирусы распространяются только под ОС Windows, но при этом не используют ни одну из многочисленных дыр в безопасности данной системы.

Читайте также:

  
• Magicavoxel как сделать светящиеся пиксели
  
• Как достать файлы из игры андроид
  
• Как создать файловый аппендер
  
• Не удается скопировать файл
  
• Bash где находится файл