Все новости от 9 июня 2001 г. В серверах Microsoft заводится DoS-червь
В нескольких корпоративных сетях обнаружена программа, автоматически атакующая веб- и e-mail-серверы Microsoft и способная распространяться по интернету.
Червь DoS.Storm, сообщения о котором впервые появились на этой неделе, поселяется на серверах с программным обеспечением Microsoft и используется для привлечения этих серверов к участию в интернет-атаках на софтверного гиганта. «Мы наблюдаем, что хакерские программы сращиваются с вирусными и идут дальше e-mail-червей, — говорит директор антивирусного центра Symantec Винсент Вифер (Vincent Weafer). — И эта тенденция будет нарастать».
По словам менеджера службы информационной защиты Microsoft Стива Липнера (Steve Lipner), сама Microsoft если и пострадала, то очень мало. «Никаких признаков того, что компания подвергается атаке, нет, — сказал он. — Мы связались с корпоративным отделом защиты информации, но им нечего сообщить». И все же, как показывают инциденты начала этого года, червь может пробраться в серверы компании и вызвать проблемы.
Известно несколько вариантов двух червей, Ramen и Lion, заражающих машины Linux. Еще один червь, Sadmind, заражал машины под Solaris и выводил из строя веб-серверы Microsoft. В отличие от других червей, DoS.Storm состоит из двух компонентов: интернет-червя и средства для инициирования атак типа denial-of-service. Первый занимается распространением кода через интернет. Оказавшись в сервере с ПО от Microsoft, DoS.Storm начинает сканировать 10 млн интернет-адресов в поисках уязвимых компьютеров. Затем вступает в работу вторая часть кода, наводняя запросами данных серверы, управляющие главным веб-сайтом Microsoft. Согласно недавнему исследованию, каждую неделю в интернете случается около 4000 таких DoS-атак. Кроме того, червь генерирует постоянный поток e-mail с текстом F**k you! на адрес gates@microsoft.com. Это неправильный адрес, так что письма возвращаются отправителю.
Для своего распространения червь использует известную лазейку Web server folder traversal в Microsoft Internet Information Service (IIS) версий 4.0 и 5.0. Это старая дыра — она обнаружена в октябре прошлого года. Ее устраняет поправка, вышедшая в августе 2000 года. В мае Microsoft выпустила общий патч, решающий все известные проблемы IIS. Патч появился в связи с другой брешью в защите ПО.
Из антивирусных компаний пока только Symantec сообщила о черве DoS.Storm. По словам Вифера, его обнаружили в своих сетях лишь несколько клиентов Symantec. «Если люди своевременно устанавливают патчи, то проблем быть не должно, — говорит он. — Конечно, вопрос в том, как много тех, кто этого не делает». По мнению Вифера, даже те компании, которые не залатали дырку, очень легко обнаружат этого червя. Его бурная деятельность по поиску других уязвимых серверов и извержению потоков данных и писем приводит к заметному сужению большинства каналов корпоративной сети, что должны заметить даже самые неопытные системные администраторы. «Каждый, у кого установлен хороший брандмауэр и система обнаружения проникновений, легко увидит это», — говорит Вифер.
|