Служба вирусного мониторинга компании «Доктор Веб» сообщает о распространении еще одного семейства Интернет-червей, эксплуатирующих уязвимость в самом распространенном в мире ПО - операционной системе Windows. Информация об уязвимости была обнародована компанией Microsoft в бюллетене MS05-039 от 9 августа и всего 5 дней понадобилось вирусописателям для создания червя, реально ее эксплуатирующего.

Уязвимости подвержены компьютеры под управлением Windows 2000. Таким образом, незащищенные межсетевыми экранами компьютеры, на которых установлена непропатченная Windows 2000, при условии переполнения буфера в Plug-and-Play, рискуют быть атакованными извне и на них может быть запущен любой код в режиме удаленного доступа.

Объектов для атак нового червя в мире довольно много. По оценкам зарубежных экспертов, компьютерный парк 50% крупных корпораций состоит из машин, работающих под управлением этой операционной системы. В результате, как сообщают многие СМИ, зафиксировано большое количество отказов в работе таких компьютеров, в том числе в телекомпании CNN и в редакции газеты The New York Times.

Семейство новых червей (на данный момент известны как минимум четыре его модификации) классифицируется антивирусными компаниями как W32/Zotob.worm, W32.Zotob.*, Zotob.* (название составлено из «перевернутого» имени файла, под которым пилотный экземпляр этого семейства прописывал себя в системный реестр). В вирусную базу компании «Доктор Веб» червь занесен под именем Win32.HLLW.Stamin (размер файла этого конкретного варианта червя - 10366 байт).

Для проникновения на компьютеры пользователей червь сканирует сеть по порту TCP 445 (как правило блокируемому сетевыми экранами) в поисках уязвимого хоста. Поникнув в систему благодаря уязвимости в Plug-and-Play, червь самозапускается и создает в системной директории Windows файл (в разных вариантах наименования исполняемого файла червя pnpsrv.exe, winpnp.exe, csm.exe, wintbp.exe, windrg32.exe). При этом отдельные варианты червя уничтожают исходный исполняемый файл, из которого они были запущены.

Свой автоматический запуск при последующих рестартах системы червь обеспечивает путем внесения своих данных в ключи реестра

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Найдя подходящий (уязвимый) компьютер и поселившись в нем, червь открывает «люк», который служит его средством общения с внешним миром, и устанавливает соединение с IRC - сервером. Соединившись со своим оператором, робот может принимать команды на закачку и запуск кода, его установку, получение обновлений своих версий или самоудаление. Проникнувший на компьютер шпион собирает различную системную информацию, включая данные об установленной операционной системе, логин пользователя, объем системной памяти и другую важную информацию.

Чтобы продлить как можно больше свое существование на зараженном компьютере, червь блокирует доступ к серверам обновлений антивирусных компаний, что делает пользователя беззащитным перед лицом новой угрозы. Для этого червь блокирует системный сервис SharedAccess путем внесения изменения в ветку реестра

HKLM\System\CurrentControlSet\Services\SharedAccess

Последняя версия червя содержит также и деструктивные функции удаления файлов, ключей реестра и остановки процессов

Появление данного червя стало еще одним напоминанием о несовершенстве любого, пусть даже самого распространенного, а значит признанного мировым компьютерным сообществом ПО, и вновь обострило извечную проблему своевременной установки «заплаток» к используемому на компьютерах софту. Для данной уязвимости патч находится здесь.

В случае, если на Вашем компьютере не установлена антивирусная программа, Вы всегда можете проверить подозрительный файл-вложение с помощью сервиса вирусной онлайн-проверки, загрузив такой файл через приведенную ниже форму.

Дизайн и поддержка: Silicon Taiga

Обратиться по техническим вопросам