Вирус MyDoom: хроника событий

Двадцать седьмое января 2004 года — дата, которая навсегда войдет в историю Мировой Паутины. Один из судных дней… Очередной несостоявшийся виртуальный апокалипсис, который столько раз пророчили, но который ни разу так и не грянул. На роль всемогущих богов, желающих огненным молотом Армагеддона ввергнуть в небытие ее величество Сеть, претендовали в свое время и малыш (всего-то 30Кб кода) Magistr ; и гроза “мамок”, стиратель BIOS CIH ; и первый многокомпонентный вирус, который, казалось бы, не должен работать, Hybris (он был ближе всех к успеху, но и на него нашлась управа) , и пронырливый червь Sobig.F. И вот — новая ветка эволюции. Новые строчки кода… гениальные строчки. На виртуальной сцене появился MyDoom , известный интернет-общественности также как Novarg.

Вторник, 27 января Компании, занимающиеся разработкой антивирусных программ, впервые объявляют о появлении в интернете нового червя. В это же время администрации веб-серверов по всему миру получают первые сообщения о массовом заражении компьютеров неизвестным вирусом. На борьбу с напастью брошены все силы антивирусных компаний, но червь продолжает распространяться. Высказывается предположение, что началась новая эпидемия. Объявлена вирусная тревога. Становится понятно, что опасен не столько сам вирус, сколько то, что к Сети подключено слишком много компьютеров без адекватной защиты. Novarg не может пробраться на машины с правильно настроенным брандмауэром, но незащищенные компьютеры заражает с фантастической быстротой. Из администраций некоторых серверов приходят сообщения, что на их почтовые ящики приходит в минуту до трех тысяч зараженных писем. К концу дня оказываются инфицированными более шестидесяти тысяч крупных веб-серверов по всему миру. Одно из первых зараженных писем имеет “российское гражданство”. К этому моменту уже известно, что на 1 февраля в MyDoom встроена функция DoS-атаки на серверы компании SCO. Среда, 28 января Червь продолжает рыть почву интернета, подгрызать корни Сети. К середине дня уже более 10% всех писем заражено MyDoom — первая версия вируса получает название I-Worm.Mydoom.a. К концу дня появляется новая версия, названная I-Worm.Mydoom.b , с дополнительной функцией блокировки обновления самых распространенных антивирусных пакетов. В качестве сайта-мишени вместо www.sco.com прописан главный сайт Microsoft — www.microsoft.com (DoS-атака назначена на 3 февраля). Активно ведутся поиски автора червя. Четверг, 29 января К утру четверга уже каждое пятое электронное письмо заражено вирусом. Различные интернет-агентства пророчат скорое “подвисание” всей Мировой Паутины на неопределенный срок. Антивирусные службы настроены не столь скептически и считают, что, несмотря на масштабы эпидемии, блокировки большинства веб-серверов не произойдет. Но и те, и другие признают, что подобного в интернете еще не было. Пятница, 30 января Благодаря усилиям многих антивирусных компаний по всему миру распространение MyDoom удается стабилизировать, эпидемия входит в стационарную фазу: вирус перестает захватывать новые компьютеры, но количество инфицированных машин по-прежнему огромно. Ситуацию осложняет то, что вирус, даже будучи удален с главных серверов, продолжает распространяться по локальным сетям. К вечеру пятницы каждое четвертое письмо, отправленное через интернет, заражено Novarg. Преобладает версия I-Worm.Mydoom.a.

Первый симптом того, что на вашем винчестере поселился MyDoom - запустившийся “Блокнот” с набором случайных символов в поле ввода.
Суббота, 31 января Сервера многих крупных компаний приостанавливают работу на выходные, поэтому в субботу эпидемия чуть утихает, но весь интернет замер в ожидании воскресенья — 1 февраля, часа Х. Именно на выходных активизировались хакеры, которые устроили массовые “паломничества” на компьютеры, зараженные червем (MyDoom создает на зараженной машине своеобразную “дырку”, через которую хакер может получить доступ практически к любой информации на винчестере). Антивирусные компании сообщают, что в MyDoom встроен таймер, по которому после 12 февраля вирус становится неактивным. Многие после этого вздохнули спокойно. Воскресенье, 1 февраля С самого утра началась массированная атака на сайт корпорации SCO. Сервер лег. На множестве информационных интернет-порталов появляется информация от независимого исследователя, называющего себя Юари Босникович (Juari Bosnikovich). По его словам, антивирусные компании находятся в заговоре и намеренно распространяют заведомо ложную информацию о MyDoom. По мнению Босниковича, червь будет активен и после означенной даты, и даже “мутирует” в версию I-Worm.Mydoom.c , способную заражать BIOS. SCO объявили награду в 250 000$ за поимку автора Novarg. Понедельник, 2 февраля Эпидемия вируса идет на спад, DoS-атаки на сайт SCO уже не столь многочисленны, но сервер по-прежнему не работает. Практически все антивирусные компании выпускают бесплатные программы-лечилки, умело отлавливающие червя. К вечеру крупные интернет-службы уже избавляются от паразита на своих серверах, рядовые пользователи продолжают уничтожать вирус у себя на машинах. Вторник, 3 февраля Распространение вируса по Мировой Паутине закончилось. Количество копий вируса стремительно уменьшается — заражено лишь каждое десятое письмо. Гипотеза Юари Босниковича разбита в пух и прах логическими обоснованиями антивирусных компаний. Корпорация-гигант Microsoft выдержала атаку вируса — сервер работает практически без сбоев, во многом благодаря тому, что был открыт альтернативный сайт ( https://information.microsoft.com ), принявший часть посетителей. Среда, 4 февраля Эпидемия вошла в нисходящую фазу. Количество вируса в Сети быстро уменьшается. Во всех обновлениях антивирусных программ содержится функция лечения всех версий MyDoom. Сетевой Армагеддон отменяется… *** * *** Интернет-апокалипсис не состоялся. Да, потери крупных компаний от действий вируса составили миллионы долларов, да, многие сайты на некоторые время прекратили свою работу, а многие пользователи, стараниями хакеров, лишились ценной информации. Но… Интернет по-прежнему жив. На этом историю о MyDoom, письма с которыми еще летают по Сети, можно было бы закончить. Если бы не одно “но”… 10 февраля в Мировой Паутине появился вирус Worm.Win32.Doomjuice.a , который использует для распространения компьютеры, зараженные червем Mydoom, и так же, как его предшественник, атакует сайт www.microsoft.com. Несмотря на то, что Mydoom в Сети осталось не так уж много, Doomjuice достаточно быстро распространяется, и некоторые агентства утверждают, что в самом ближайшем будущем нас ждет еще одна эпидемия. Которая, ну как же без этого, уж точно станет для интернета настоящим апокалипсисом. Замирать в благоговейном ужасе от подобных предсказаний, признаться, уже поднадоело. Так что подождем, когда эта “возможная эпидемия” действительно разразится, и… будем действовать по обстоятельствам, но наверняка.