ОПАСНЫЕ КОДЫ

Эксперты подозревают, что создатели вирусов объединяют свои усилия

Деннис Фишер

Долгие часы работы над кодом, блокированные серверы и ПК, настройка капризной системы обнаружения вторжений, попытки найти вирусы на машинах пользователей - не начинает ли все это вас раздражать? Право слово, не стоит волноваться, ведь кое-кто работает еще напряженнее. Я имею в виду взломщиков.

Создание вирусов и других вредоносных программ всегда считалось уделом любителей-одиночек. Просиживая долгие часы за клавиатурами своих компьютеров, потенциальные преступники целыми днями напролет придумывали зловредные коды, чтобы доказать свое умение или излить злость на некоего далекого недруга. Потом они выпускали код в мир, где тот творил свое черное дело - нарушал работу компьютеров, удалял файлы, наводнял ненужным трафиком корпоративные сети. Но порой весь их труд пропадал втуне, результаты ночных бдений так и оставались незамеченными в хаосе Интернета.

Именно такова предыстория большинства вирусов и сетевых червей, с которыми мы сталкивались раньше. Но сейчас ситуация меняется. SoBig, Blaster, CodeRed и некоторые другие опасные разработки наглядно демонстрируют, что создание вирусов стало предприятием коллективным, хотя и неформальным. Всем новым вирусам и червям свойственна одна общая черта: после начальной шумихи кто-то дорабатывает вредоносную программу, оттачивает ее и вновь выпускает в сетевой мир. И очень похоже, что этим занимается уже не автор вируса.

Исходные тексты "вредителей" публикуются на подпольных Web-сайтах, а иногда и в списках рассылки, посвященных общественной безопасности, поэтому взломщику не составляет труда их найти. После этого он может на досуге ближе познакомиться с творением незнакомого "коллеги", внести в него изменения по своему вкусу и вновь выпустить червяка или вирус гулять по свету.

Последним и самым серьезным подтверждением сказанного может служить SoBig.F. Это уже шестая версия вируса. Во многом она похожа на своих предшественниц, но при этом способна заставлять зараженные машины подключаться к удаленному серверу и загружать с него новые версии.

Такая способность самообновляться заставила немало попотеть антивирусных экспертов, пользователей и агентов ФБР. Правда, отмечалась она и в некоторых прежних версиях вируса, но была далеко не столь развитой, как сейчас.

"Я сталкивался с этим и раньше, - сказал стратег в области безопасности eTrust фирмы Computer Associates International (Исландия, шт. Нью-Йорк) Ян Хамерофф. - Но сейчас, как мне кажется, должно тревожить другое: широкая распространенность нового вируса и большая вероятность повторения эпидемии".

SoBig.F дает команду инфицированной машине установить связь с одним из 20 IP-адресов, скрытых в коде самого вируса. В случае успеха компьютер скачивает и запускает неизвестный файл. Специалисты по безопасности опасаются, что это может быть либо троян, либо какая-то инструментальная программа для развертывания более широкой атаки.

К счастью, власти смогли выследить и закрыть большую часть из упомянутых 20 адресов, поэтому предполагаемая массированная атака так и не состоялась. Функция самообновления впервые была отмечена в вирусе SoBig.C, однако до появления SoBig.F ни один из вирусов не нес в себе IP-адресов, с которыми должен связываться зараженный компьютер.

Некоторые эксперты уже высказывают мнение, что вирусы SoBig создаются, запускаются в сеть и совершенствуются некими профессионалами, преследующими далеко идущие цели и не ограничивающимися простым переполнением почтовых ящиков мусором.

Тот факт, что часть кода самообновления появилась еще в прежних версиях вируса, дает основания предполагать, что здесь используется метод проб и ошибок. Впрочем, с таким утверждением согласны не все члены антивирусного сообщества.

"Мы пока не находим никаких свидетельств того, что этот механизм предназначен для рассылки коммерческого спама, - утверждает Крис Рэйт, технический консультант фирмы Sophos (Линнфильд, шт. Массачусетс), специализирующейся на борьбе с вирусами в корпоративных масштабах. - Это воистину какой-то рок. Вирусы возникают с невероятной скоростью, что очень уж смахивает на бета-тестирование".

Сага о червяке по имени Blaster развивалась по такому же сценарию, но в гораздо более сжатые сроки. Исходный его вариант поразил Интернет 11 августа и вскоре начал стремительно размножаться в Сети. А через неделю или около того было обнаружено уже две вариации этого червяка. Одна из них, проникнув в персональные компьютеры, пыталась загрузить и установить заплату, которая открывала брешь для дальнейшего поражения.

Второй вариант червяка, известный под именем Blaster.B или Teekid, мало отличался от первоначального, однако его автор пытался взять под свой контроль ранее скомпрометированные машины. Но даже в такой ситуации Хамерофф из Computer Associates способности взломщиков преувеличивать не склонен. "Я нисколько не сомневаюсь, что среди любителей вирусов сложилось нечто вроде сообщества открытых кодов, - говорит он. - У них налажен обмен информацией, здесь принято хвастаться и демонстрировать свои, если так можно выразиться, успехи. Но я не думаю, что речь может идти о скоординированной работе. Все здесь намного проще: пока мы совершенствуем мышеловки, они выводят новые породы мышей".