Червь Морриса: жизнь после смерти.
Новый червь успешно использует технологию 14-летней давности.
«Лаборатория Касперского», российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении нового опасного Интернет-червя «Slapper», заражающего компьютеры под управлением операционной системы Linux и использующего технологию распространения в исходных текстах, впервые примененную в 1988 г. в печально известном черве Морриса.
На данный момент компания не получила сообщений от пользователей о фактах заражения этой вредоносной программой. Вместе с тем, детальный анализ кода «Slapper» подтверждает его работоспособность и, таким образом, червь представляет собой потенциальную угрозу для пользователей Linux.
Для определения потенциальной жертвы «Slapper» сканирует компьютеры в сети Интернет и определяет те из них, на которых установлена операционная система Linux и Web-сервер Apache. При обнаружении такого компьютера червь незаметно загружает на него свою копию, используя для этого брешь в системе безопасности программного пакета OpenSSL (переполнение буфера). Главное отличие «Slapper» заключается в том, что копия, передаваемая на компьютер-жертву, представляет собой исходный, некомпилированный код червя. После загрузки «Slapper» запускает установленный практически на каждой Linux-машине компилятор языка C (gcc), получает исполняемую версию червя и запускает ее на выполнение. Такой оригинальный подход обеспечивает «Slapper» совместимость с любыми типами Linux — вне зависимости от производителя дистрибутива и версии ядра.
Этот способ был изобретен в ноябре 1988 г. и впервые применен в черве Морриса, который за короткое время поразил более 6000 компьютерных систем США (включая NASA Research Institute) и нанес убытки в размере более 96 миллионов долларов. С тех пор метод распространения в исходных кодах не использовался ни в одной вредоносной программе, вплоть до сегодняшнего дня.
«Не исключено, что «Slapper» даст новый толчок созданию многоплатформенных вирусов, которые будут поражать не только Linux, но и одновременно Windows, Unix и любые другие операционные системы. Ведь компиляторы языка С есть практически на каждой платформе, впрочем, как и бреши в системах безопасности, через которые червь сможет незаметно «проползать» на компьютеры, — комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского», — Другим побочным эффектом «Slapper» будет появление его многочисленных клонов: для создания модификаций червя достаточно лишь внести необходимые правки в исходный код программы, достать который не составляет труда. Учитывая это, мы уже начали разработку дополнения к эвристической технологии Антивируса Касперского для защиты наших пользователей от будущих клонов «Slapper», — добавил Евгений Касперский.
Кроме этого «Slapper» также представляет реальную угрозу безопасности данных на зараженных компьютерах. В черве содержатся backdoor-функции (функции несанкционированного удаленного администрирования), которые позволяют злоумышленникам совершать на зараженном компьютере ряд специфических (передача IP-адреса, адреса e-mail) и деструктивных (выполнение команд, участие в распределенной DoS-атаке, перебор файлов на диске, передача данных на удаленный компьютер и т.д.) действий.
Процедуры защиты от «Slapper» уже добавлены в базу данных Антивируса Касперского.