Все новости от 5 апреля 2004 г.

Эпидемия MSBlast оказалась гораздо обширнее, чем предполагалось

Эти данные получены благодаря способности софтверного гиганта наблюдать за использованием онлайнового инструмента, который его инженеры создали для очистки зараженных червем систем. С момента выпуска этого инструмента в январе червь MSBlast был обнаружен более чем в 16 млн систем, подключенных к службе Microsoft Windows Update. Всем их пользователям было предложено установить патч и воспользоваться дезинфицирующим средством. За тот же период за патчем, профилактическим средством и специальным инструментом для извлечения червя в службу Update действительно обратились около 8 млн систем.

Microsoft считает, что общее число зараженных червем пользователей близко к верхней цифре 16 млн, тогда как цифра 8 млн служит надежным показателем нижней границы уровня пораженных систем. Верхнее число может включать системы, учтенные более одного раза, так как занятые пользователи не сразу начинали бороться с червем или прерывали процесс после его начала и возвращались на Windows Update позднее. Microsoft не определяет, какие именно системы обратились за инструментом, а только фиксирует факт его использования.

«В конце прошлого года мы получали сообщения от заказчиков, которые все еще наблюдали симптомы заражения Blaster, — говорит менеджер программы безопасности Microsoft Security Response Center Стивен Тулуз. — Наши партнеры-ISP тоже фиксировали в своих сетях интенсивный трафик Blaster».

Эпидемия оказалась такой сильной, что компания срочно поручила нескольким группам программистов создать промежуточное обновление Service Pack 2 для укрепления защиты Windows ХР, приостановив работу над следующей версией операционной системы. Более того, жалобы, не прекращавшиеся несколько месяцев, вынудили Microsoft дополнить Windows Update специальным онлайновым инструментом для обнаружения и устранения червя MSBlast. Этот инструмент стал для Microsoft источником бесценной информации, позволяющей измерять степень опасности подобных интернет-червей.

Размеры эпидемии уже значительно превзошли оценки исследователей, которые следят за червем с момента его появления 11 августа. Обычно они пытаются оценить масштабы распространения червя, собирая данные, записанные сетевыми устройствами, такими как межсетевые экраны и системы обнаружения проникновений. Собирая информацию от таких устройств, можно подсчитать число интернет-адресов, из которых пытается распространяться червь.

Большинство организаций по интернет-безопасности было уверено, что MSBlast заразил максимум полмиллиона систем. «Я не сомневаюсь в новых данных», – говорит Йоханнес Уллрих, главный технолог компании Internet Storm Center, которая собирает логи брандмауэров, присылаемые тысячами добровольцев, и с их помощью определяет степень опасности угроз, поджидающих пользователей интернета. На основании этих данных Internet Storm Center пришел к выводу, что MSBlast заразил от 200 до 500 тыс. компьютеров.

Еще один наблюдатель, компания Symantec, имеет соглашения с владельцами примерно 20 тыс. сетевых устройств об использовании для анализа их журналов регистрации событий. Компания обрабатывает эти данные, наблюдая за угрозами в интернете, и, хотя она прекратила подсчет MSBlast после того, как червь заразил свыше 40 тыс. компьютеров, по оценкам Symantec, могли быть поражены «пара сотен тысяч систем», сказал старший директор по техническому обеспечению компании Альфред Хьюгер. «Я удивлен данным Microsoft, — сказал он. — Однако я не могу с ними спорить; им виднее. Конечно, мы видим, что Blaster можно черпать лопатами».

Обследование 2000 компьютеров, выполненное Symantec, обнаружило, что в среднем система, подключенная к интернету, получает сетевой пакет от компьютера, зараженного червем MSBlast, каждую секунду. Столь интенсивное распространение — одна из причин, по которым Symantec ждала до февраля, пятого месяца с начала распространения MSBlast, чтобы понизить рейтинг степени угрозы с трех до двух баллов по своей пятибалльной шкале.

Значительный разрыв между предыдущими оценками и последними данными ставит под вопрос способность интернет-исследователей точно измерять степень распространения компьютерных червей. Уллрих из Internet Storm Center отмечает, что оценки, основанные на сетевых датчиках, учитывают только данные за пределами брандмауэра. Многие компании блокируют данные, используемые червем MSBlast для своего распространения. Более того, многие интернет-сервис-провайдеры тоже блокируют эти данные, что еще больше занижает число зараженных систем в интернете.

«Конечно, часть из них мы упускаем, — говорит Уллрих. — Самое большое несоответствие может иметь место в крупных корпоративных сетях».

Тулуз из Microsoft уверен в точности данных софтверного гиганта. Windows Update устраняет уязвимость, позволяющую MSBlast распространяться, но до января этот сервис не удалял самого червя из зараженной системы. В результате многие пользователи были вынуждены обновлять свои систему уже после того, как червь благополучно заразил их компьютеры. Это и заставило Microsoft предложить инструмент для чистки этих Windows-систем. «Они были защищены от повторного заражения, но зараза в них уже сидела, — говорит он. — Средство даже не предлагалось пользователям, пока те не установили патч и мы не обнаружили на их компьютере Blaster».

В пятницу секьюрити-эксперты еще не были готовы целиком довериться новым данным. Им понадобится время, чтобы свыкнуться с новой реальностью, в которой единственный червь или вирус может угрожать миллионам компьютеров. «Это очень большое число», — сказал Хьюгер из Symantec. 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	pal 6 Apr 2004 3:20 AM
ну что, воодушевились и бегом в магазин за виндами ;)
	Yuriy 6 Apr 2004 11:07 AM
Linux forever!!!