Все новости от 20 мая 2003 г. Разгаданы секреты вируса Fizzer
Многие секреты вируса Fizzer, который навел хаос в P2P- и чат-сетях, обнаружились в результате его декомпиляции.
Члены секьюрити-группы чат-сети IRC/Unity поняли, каким образом создатель вируса Fizzer может устанавливать связь с программой.
Из зараженного ПК вирус Fizzer соединяется с сетью Internet relay chat (IRC), произвольно выбранной из списка, в котором более 300 таких сетей. Затем Fizzer создает чат-канал и ждет команду от пользователя с определенным псевдонимом. Группа IRC/Unity восстановила алгоритм, определяющий, каким должно быть имя.
«Это псевдоним из трех букв, который действителен только один день, — говорит Джон Макгарригл, избранный председателем группы IRC/Unity, состоящей из администраторов более 50 разных чат-сетей. — Назвавшись этим именем, можно управлять роботом (программой вируса) через IRC».
Это выяснилось спустя менее недели с тех пор, как мелкие сети IRC стали наводняться запросами, поступающими из зараженных ПК. На прошлой неделе группа IRC/Unity — созданная для борьбы с червем Fizzer — начала работу над декомпиляцией программы, стараясь заблокировать червя.
В этот уикенд IRC/Unity обнаружила, что доступ к компьютерам, зараженным Fizzer, регулируется псевдонимом из трех букв, генерируемым посредством алгоритма, связанного с текущей датой. Тот, кто знает это псевдоним, может подавать команды любому компьютеру, зараженному вирусом, и прослушивать текущий чат-канал.
Несколько операторов IRC, пользуясь этой информацией, стали подавать зараженным ПК команды на деинсталляцию вируса.
«Многие сети активно рассылают всем клиентам IRC Fizzer команду uninstall, после чего от вируса не остается и следа», — говорит Макгарригл.
Хотя легальность этой тактики спорна, подобные действия позволяют в течение ближайших недель очистить компьютеры от вируса.
Но группа IRC/Unity не прекращает работы. Ей уже удалось определить последние действующие псевдонимы вируса, однако предстоит еще понять все тонкости алгоритма, которые помогут автоматизировать реакцию на действия вируса.
«Работы много, — говорит Макгарригл. — Мы кое-что поняли, но это еще не означает, что мы полностью побороли угрозу».
Предыдущие публикации:
|