Mydoom: вторая серия 17.02.2004 Алексей Зернов Владислав Бирюков [vvbir@computerra.ru] Как и предсказывали разные умные люди, 12 февраля эпопея с вирусом Mydoom не закончилась. Напомним, что по истечении этой даты червь прекращает собственное распространение и DoS-атаки на сайты SCO и Microsoft. Однако свято место пусто не бывает: уже 8 января в Сети появился наследник Mydoom — червь Doomjuice, предположительно написанный тем же автором.
Прописавшись в ключе автозапуска системного реестра, Doomjuice начинает вытворять самое интересное: червь извлекает из себя файл с именем SYNC-SRC-1.00.TBZ и копирует его в несколько директорий (в том числе в пользовательский каталог Documents and Settings). В этом файле находится TAR-архив с исходными текстами штамма Mydoom.a1. По всей видимости, делается это для того, чтобы распространив оригиналы Mydoom.a на большое число компьютеров, замести следы и сделать невозможным поимку настоящего автора червя (попробуй-ка докажи, что исходные образцы кода червя подозреваемый написал сам). Ну и конечно, Doomjuice нельзя было бы назвать полноценным наследником Mydoom, если бы он не подхватывал основную пиар-миссию предшественника — DoS-атаку на сайт Microsoft.com (SCO быстро уклонилась от битвы, изменив DNS-записи, так что автор, видимо, счел, бодаться с ней и дальше скучно). До 12 февраля атаки производились в «легком режиме» (с паузами между GET-запросами), а после того, как Mydoom вышел из игры, Doomjuice пришлось работать уже «по-взрослому», безостановочно бомбардируя ложными пакетами сайт Microsoft. Строка «червивого» запроса полностью имитирует формат обращения Internet Explorer, так что отфильтровать ложный трафик практически невозможно. Эпидемия Mydoom оставила после себя не только червя-наследника, но и целый шлейф слухов и домыслов. Так, в конце января на множестве сайтов было опубликовано якобы новое открытие, сделанное в ходе анализа кода Mydoom.a неким «независимым исследователем» Юари Босниковичем (Juari Bosnikovich). Согласно его высказываниям, антивирусные компании скрывают правду о ряде функций, присутствующих в коде вируса. Так, Юари утверждает, что червь создан на ассемблере, но таким образом, чтобы выглядеть написанным на языке C++. А из этого якобы следует, что большая часть функциональности Mydoom осталась нераспознанной борцами с вирусами. Для окончательного запугивания читателей «аналитик» приводит следующие факты: червь внедряется в BIOS компьютера и записывает туда код длиной 624 байта. При превышении системной датой 12.02.2004 код открывает один из TCP-портов компьютера. В конце концов, Босникович выдвигает предположение о всемирном заговоре антивирусных компаний, которые «пытаются что-то скрыть». Верится с трудом. Во-первых, при антивирусном исследовании язык программирования образца не имеет никакого значения. Объект внимания антивирусных аналитиков — результаты работы дизассемблера, которые отражают свойственные зловредному коду функциональные возможности независимо от языка программирования, при помощи которого этот код был создан. Во-вторых, записать в CMOS BIOS вредоносный код длиной 624 байта попросту невозможно. Даже если теоретически допустить такую возможность, то для внесения в BIOS новых данных придется удалить из прошивки какую-либо информацию для высвобождения места, а после этого запустить компьютер вряд ли удастся. Наконец, для открытия порта TCP/IP нужен соответствующий сетевой протокол, управляющийся не BIOS, а исключительно операционной системой. Иначе говоря, «открыть TCP-порт из BIOS» принципиально невозможно. Четвертьмиллионные награды, объявленные за голову автора Mydoom компаниями SCO и Microsoft, породили массу спекуляций относительно страны происхождения вируса. Авторы большинства публикаций практически не сомневаются, что червь написан в России. Действительно, первые перехваченные электронные письма, содержащие копии Mydoom.a, были направлены с компьютеров, расположенных в нашей стране. Однако в последующие минуты поток зараженной Mydoom корреспонденции распределился — источниками сообщений стали территориальные зоны со всего мира, преимущественно относящиеся к европейскому региону. Из нашей страны были получены и первые образцы следующей версии червя — Mydoom.b. Но может ли это стопроцентно свидетельствовать о принадлежности авторов программы к российскому компьютерному андеграунду? То, что огромная скорость распространения Mydoom.a была вызвана применением спам-технологий, не подлежит сомнению. А значит, версия вирусописателя-одиночки исключена. Сегодня организация рассылки спама — достаточно сложный и дорогостоящий бизнес. Для успеха массовой рассылки необходимо сложное программное обеспечение, генерирующее уникальные сообщения для каждого получателя. А для создания большого количества вариантов одного и того же сообщения нужно привлечь профессиональных редакторов. Таким образом, только подготовка и реализация почтовой рассылки, подобной эпидемии Mydoom.a, требует участия целой группы. Обязанности членов сообщества обычно распределены по видам деятельности: хостинг серверов и сопровождение программного обеспечения, сбор и проверка адресов, написание программ для рассылки, захват пользовательских машин и управление ими и т. д.. Следовательно на данном этапе нельзя говорить о какой-либо территориальной принадлежности источника эпидемии. То, что первые зараженные Mydoom.a сообщения исходили из России, может лишь указывать на российское происхождение ряда участников группы. Более того, вполне возможно, что с целью дезориентации следствия злоумышленники удаленно использовали зараженные троянскими компонентами компьютеры, находящиеся в России. Поэтому базовая информация об источниках первых писем с червем не может служить основанием для обвинения в отцовстве Mydoom исключительно отечественных вирусописателей. 1 Через три дня после появления исходной версии вышла модификация Doomjuice.b, которая сосредоточена исключительно на DoS-атаках, а исходники Mydoom уже не распространяет.
|