Вы находитесь на странице: 1из 2

Семейство Mytob наступает - десятки новых версий червя вызывают эпидемию

"Лаборатория Касперского", разработчик систем защиты от вирусов, хакерских


атак и спама, сообщает о массовой регистрации новых модификаций сетевого червя
'Net-Worm.Win32.Mytob'. На данный момент антивирусные эксперты "Лаборатории
Касперского" обнаружили 26 новых вариантов червя в то время как вероятность
появления последующих клонов сохраняется на высоком уровне. Интенсивность
появления и распространения этого семейства вредоносных программ вынуждают
заявить о новой вирусной эпидемии в интернете.

Особую опасность представляет обнаруженный 1 марта вариант Net-


Worm.Win32.Mytob.c. На протяжении последних трех недель он лидирует по
показателям активности, занимая около 30% всего вирусного трафика в электронной
почте. В настоящее время черви семейства Mytob представлены в рейтинге двадцати
наиболее распространенных вредоносных программ "Лаборатории Касперского" 5-6
вариантами, что свидетельствует о стремительном распространении эпидемии.

Червь Mytob представляет собой модификацию исходного кода печально


знаменитого почтового червя Mydoom.a. Таким образом, Mytob заражает компьютеры
под управлением Windows и распространяется через уязвимость в службе безопасности
Windows - LSASS, а также через электронную почту в виде вложений в электронные
письма. После запуска червь копирует себя в системный каталог Windows и
регистрирует себя в ключе автозапуска системного реестра. Он сканирует файловую
систему пораженного компьютера и рассылает себя по всем найденным адресам
электронной почты, за исключением адресов, принадлежащих крупным разработчикам
антивирусного и прочих видов программного обеспечения.

Параллельно червь запускает процедуры выбора IP-адресов для атаки и отсылает


запрос на порт TCP 445 компьютеров-жертв. В случае, если удаленный компьютер
отвечает на соединение, червь, используя уязвимость LSASS, запускает на удаленной
машине свой код. Помимо процедур самораспространения, значительную опасность
представляет содержащаяся в червях семейства Mytob bot-компонента. Она позволяет
злоумышленнику управлять зараженным компьютером через IRC-каналы и получать
полный доступ к хранящейся в нем информации.

Не менее важным фактором повышения эпидемиологической опасности стало


появление списка очередных уязвимостей ОС Microsoft Windows, опубликованного
компанией Microsoft. Пять уязвимостей из данного списка имеют статус "критических"
и, в случае использования их вирусописателями, могут стать причиной очередной
глобальной эпидемии. "Мы уверены, что сейчас компьютерный андеграунд ведет
интенсивное "освоение" новых уязвимостей с тем, чтобы использовать их для создания
еще более опасных вредоносных программ. Во избежание потенциальной опасности
заражения подобными вирусами, мы настоятельно рекомендуем всем пользователям ОС
Windows установить последний пакет обновлений Microsoft', сказал Евгений
Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
Perekond Mytob ründab – ussi kümned uued versioonid tekitavad epideemia

Kaspersky Lab, viiruste, häkkerirünnakute ja rämpsposti vastaste kaitsesüsteemide


arendaja, teatab, et registreeriti suur hulk võrguuss 'Net-Worm.Win32.Mytob' uusi
modifikatsioone. Praeguseks on Kaspersky Lab-i viirusetõrjeeksperdid avastanud 26 ussi uut
varianti ning uute kloonide ilmumise tõenäosus on jätkuvalt suur. Selle kahjuriperekonna
tekke- ja levikukiirus sunnivad teatama uuest viiruseepideemiast internetis.

Eriti ohtlik on 1. märtsil avastatud variant Net-Worm.Win32.Mytob.c. Viimase 3


nädala jooksul on ta asunud aktiivsusnäitaja poolest esikohal, hõivates ligi 30% e-posti
viiruseliiklusest. Praegu on Mytob-i perekonna ussid Kaspersky Lab-i 20-e levinuma
kahjurprogrammi reitingus esindatud 5 – 6 variandiga, mis näitab epideemia hoogsat levikut.

Mytob kujutab endast kurikuulsa postiussi Mydoom.a lähtekoodi modifikatsiooni.


Seega nakatab Mytob Windows-i juhtimisel töötavaid arvuteid ja levib läbi Windows-i
turvaaugu LSASS, samuti kirjamanusena e-postiga. Pärast käivitamist kopeerib uss end
Windows-i süsteemikausta ja registreerub automaatkäivitusvõtmena süsteemiregistrisse. Ta
skaneerib nakatunud arvuti failisüsteemi ning levitab end kõigil leitud e-posti aadressidel,
välja arvatud suurte viirusetõrje- ja muu tarkvaratootjate aadressid.

Paralleelselt käivitab uss ründeks IP-aadresside valikuprotseduurid ja saadab päringu


ohverarvutisse - porti TCP 445. Juhul, kui arvuti vastab, käivitab uss turvaauku LSASS
kasutades arvutis oma koodi. Lisaks levikuprotseduuridele kujutab tõsist ohtu Mytob-i
perekonna ussides sisalduv bot-komponent. See lubab kurjategijal juhtida nakatunud arvuteid
läbi IRC-kanalite ja pääseda vabalt ligi arvutis olevale infole.

Tähtis faktor, mis suurendab epideemia ohtu, on ka Microsoft-i poolt avaldatud


nimekiri Microsoft Windows-i järjekordsetest turvaaukudest. 5 turvaauku nimekirjast on
nimetatud kriitiliseks ja juhul, kui viiruseloojad neid kasutavad, võivad nad saada uue,
üleilmse epideemia põhjustajateks. ”Oleme veendunud, et arvuti underground teeb praegu
tõsist tööd uute turvaaukude omandamiseks, et kasutada neid veelgi ohtlikemate
kahjurprogrammide loomisel. Et vältida võimalikku nakatumisohtu selliste viirustega,
soovitame tungivalt kõigil Microsoft Windows-i kasutajatel paigaldada viimane Microsoft-i
uuenduste pakett,” sõnas Jevgeni Kasperski, Kaspersky Lab-i viirusteuuringute labori
juhataja.