Анализ эпидемии сетевого вируса Nimda by Admin Интернет-червь Nimda, появившийся осенью 2001 года, вызвал одну из крупнейших эпидемий за всю историю Интернет. В этой истории он стоит девятым в списке самых опасных вирусов, но далеко не самым последним по размеру нанесенного ущерба и числу пораженных компьютеров. Отчасти, эпидемию Nimda можно считать классической по скорости, типу и последствиям. Автор червя до сих пор не установлен и вероятней всего не будет найден никогда. Этот фактор тоже можно считать классическим, ведь были установлено и понесли наказание авторы всего лишь трех вирусов, вошедших в историю всемирных эпидемий. Именно эта безнаказанность, очевидно и является одной из главных причин, по которым Интернет сотрясали в прошлом, и еще неоднократно будут сотрясать в будущем глобальные вирусные эпидемии. Червь Nimda использовал для своего распространения три основных способа, основанных на уязвимостях в продуктах Microsoft. 1. Электронная почта. Для внедрения в систему из зараженных писем электронной почты "Nimda" использовал брешь в системе безопасности Internet Explorer которая позволяет автоматически выполнить вложенный исполняемый файл. 2. Заражение серверов, работающих под управлением Microsoft Internet Information Server. Атака IIS-серверов происходит способом, впервые примененном в IIS-черве "BlueCode". 3. Локальные и сетевые ресурсы. Кроме этого Nimda имеет опасный побочный эффект, который может допустить утечку конфиденциальной информации с зараженных компьютеров. Червь добавляет пользователя под именем "Guest" в группу пользователей "Администраторы". Таким образом, "Guest" имеет полный доступ к ресурсам компьютера. Помимо этого "Nimda" незаметно открывает все локальные диски для полного доступа всех желающих. Основную угрозу для Интернета представляет в данном случае лавинообразный рост числа запросов от зараженных серверов, а также рост трафика, создаваемого рассылаемыми вирусом письмами. Оба эти фактора приводят к существенному снижению пропускных каналов между провайдерами и может повлечь за собой полное отключение некоторых сегментов сети. К счастью, в данном случае, этого не произошло, однако перспектива подобного поворота событий была вполне реальна. Червь был выпущен в сеть 17 сентября 2001 года. В течении первых суток он набирал "критическую массу", поражая в основном незащищенные IIS-сервера. Симптомы этих атак были весьма похожи на CodeRed или обычную хакерскую DoS-атакой, поэтому пристального внимания к себе не привлекли. На следующий день, когда число пораженных систем достигло около 3 тысяч, червь стал расползаться по миру в геометрической прогрессии. После ужасных событий 11 сентября в Нью-Йорке прошла всего неделя, как ленты международных информационных агентств облетела новость о появлении в Интернет нового вируса, с гигантской скоростью распространяющегося по миру. Впервые новый червь был обнаружен одновременно в США и Корее 18 сентября 2001 года около 13 часов по GMT (именно оттуда в антивирусные компании поступили первые зараженные файлы), а уже через два часа число зараженных компьютеров превысило 11 тыс. (данные компании TruSecure). Первыми приняли на себя удар США и Канада. Восточное побережье США стало одним из главных мировых центров эпидемии. Эпидемия моментально привлекла к себе внимание информационных агентств, вспомнивших о недавних предупреждениях ФБР о готовящихся компьютерных атаках со стороны террористических организаций. Как только удалось оценить первые масштабы эпидемии, Генеральный прокурор США Джон Эшкрофт выступил с заявлением, что эпидемия Nimda может значительно превысить по своим масштабам эпидемию вируса CodeRed, прокатившуюся по Интернету в августе 2001 года. Интернет, и без того перегруженный после терактов в США, столкнулся с реальной угрозой замедления, а то и полного прекращения функционирования своих отдельных сегментов. Тем временем информация о заражениях поступала из новых стран. К концу дня 18 сентября вирус уже был обнаружен в Европе, где первыми от него пострадали Дания, Норвегия и Италия. Наибольший рост случаев заражения пришелся на страны Азиатско-Тихоокеанского региона. За одни сутки только в Южной Корее был отмечен 11-кратный рост (3711 случаев, против 372 днем раньше). До сих пор нельзя с точностью утверждать, какая из стран мира стала первоисточником столь масштабной эпидемии. Имеются данные, согласно которым первые копии вируса были обнаружены в Австралии еще во вторник, 17 сентября, где от него пострадали компьютеры Австралийского национального банка (по сообщению газеты Sydney Morning Herald). Анализ всех данных о ходе и масштабах распространения червя, позволяет с большой долей уверенности говорить о том, что вирус был целенаправленно "выпущен" в нескольких направлениях - Австралия, Южная Корея и США. В среду ZDNet Australia распространил информацию о том, что по мнению ряда австралийских экспертов по информационной безопасности главными источниками распространения червя являются три азиатские компании. Согласно имеющимся данным, основанным на анализе почти 40 тысяч атак за два дня, был сделан вывод о том, что большинство из них производится с 8 ip-адресов в Азиатско-Тихоокеанском регионе. Шесть из них принадлежат серверам Korean Network Information Centre, и по одному в Hutchison Corporate Access Hong Kong Limited и министерстве образования Таиланда. В коде червя имеются текстовые строки: "Concept Virus(CV) V.5, Copyright(C)2001 R.P.China", которые могут косвенно указывать на китайское "происхождение" Nimda, однако схожесть некоторых частей кода с вирусом Sircam дают возможность сделать предположения о едином авторе этих червей. Напомним, что в случае с эпидемией Sircam "китайского следа" выявлено не было. Еще в понедельник 17 сентября FBI's National Infrastructure Protection Center (NIPC) обнародовал предупреждение (http://www.nipc.gov/warnings/ advisories/2001/01-021.htm) о том, что некая хакерская группа 'The Dispatchers' намерена организовать атаки на неназванные Интернет-сервера, в качестве ответа на теракты 11 сентября в США. Согласно их заявлению, работы по подготовке атаки были начаты еще 12 сентября и в полной мере должны были быть реализованы 18 сентября. 'The Dispatchers' заявили, что обладают контролем примерно над 1000 компьютеров по всему миру. NIPC делает вывод о том, что речь идет о DoS -атаках и рекомендует всем сетевым администраторам принять меры предосторожности. Спустя несколько дней, когда стало ясно, что международные террористические организации непричастны к созданию Nimda, ФБР и ЦРУ потеряли интерес к эпидемии, не став утруждать себя поисками автора вируса, также как и в случае с Sircam. Эпидемия червя в дальнейшем проходила под пристальным взглядом средств массовой информации, скрупулезно фиксировавших случаи заражения. Порой происходили просто анекдотичные ситуации, как например было с американским провайдером DSL.net, просто отключившим всех своих пользователей, пострадавших от Nimda, от Интернет Всего без связи остались больше восьми сотен пользователей DSL.net, сообщает сайт Slashdot.org. Мотивируя это свое решение, представители DLS.net заявили, что они не имеют возможности помочь каждому, кто заразился. Отключенные пользователи, при обращении в сервисную службу компании, получали разъяснения, что воспользоваться услугами DLS.net им будет разрешено, только после устранения вируса на своем компьютере. Как это сделать, без доступа в Интернет, для загрузки патчей или антивирусов, компания не объясняла. Еще одним из центров эпидемии стал Гонконг. В среду поступило 36 сообщений о заражении Nimda, а в четверг - 86. В то же время компания Trend Micro заявила, что это лишь вершина айсберга, и Nimda уже заражены компьютеры не менее 1000 гонконгских компаний, а скорость распространения вируса в 5 раз превышает скорость распространения Code Red. Финансовые потери от замедления работы компьютерных сетей Trend Micro оценила в 3,85 млн. долл. в день. Nimda нанес серьезный удар по компьютерным системам штата Колорадо, заблокировав электронную почту и доступ в Интернет во многих государственных учреждениях. Червь поразил один из главных компьютерных центров штата, который обеспечивал выходом во всемирную сеть большинство департаментов, законодательный орган штата и казначейство. Техники планировали отключить компьютерную сеть штата в ночь с четверга на пятницу для восстановления повреждений и установки защиты от будущих атак. Главный специалист по информационным системам штата Боб Фейнгольд заявил, что никакой жизненно важной информации не утеряно. По его словам, вирус, главным образом, "вызвал неприятные перебои, повредив несколько десятков компьютеров". В среду пострадал германский электронный концерн Siemens AG, и поступило много тревожных сообщений от европейских банков, интернет-сервис-провайдеров и госучреждений. В четверг 19 сентября анонимный источник в британском отделении Deutsche Bank сообщил, что в течение всей среды в офисе банка не работал Интернет, а руководство было вынуждено пойти на проверки правильности использования антивирусных средств сотрудниками. Имеются сведения и о поражении ряда серверов во внутренней сети банка HSBC. Хотя червь поражал компьютеры под Microsoft Windows 98, Windows Me и Windows 2000, некоторые сообщения указывают на то, что Unix-серверы с установленным на них популярным ПО веб-сервера Apache при сканировании червем выходили из строя. Например, в результате этого побочного эффекта "упало" несколько серверов службы веб-хостинга EarthLink. Поражения вирусом не удалось избежать даже сайтам крупнейших компаний. Жертвой Nimda стали Dell и Microsoft. По многочисленным сообщениям, поступившим в издание Newsbytes, антивирусные программы начинали бить тревогу при посещении раздела Frontpage на сайте Microsoft. Проверка показала, что страница действительно скрывает загрузочный код червя. Правда, особой опасности он не представляет - файл README.EML, в котором содержится основная часть Nimda, на сайте отсутствовал. Microsoft, отрицал факт поражения своих серверов, списывая все на стороннюю компанию, на сервере которой находятся элементы страниц сайта Microsoft, посвященного программе FrontPage. Сайт Dell пострадал сильнее. Вирус был замечен на нескольких его страницах, в том числе в разделе загрузки драйверов и разделе онлайновой документации. После того, как один из крупных американских провайдеров связался с Dell и сообщил компании о поражённых страницах, часть сайта была временно отключена от Сети. За день червь добрался и до России. Информационный сайт Regions.ru распространил информацию о том, что два крупных сервера в Перми пострадали от атак "неизвестного вируса". Специалисты пермского провайдера "Невод" фиксировали несколько десятков попыток "взлома" в час. По данным компании Trend Micro, в четверг число зараженных компьютеров в Европе за сутки выросло впятеро, до 41800. Именно в ночь с пятницы на субботу пришелся пик активности вируса в Европе. Каждую секунду регистрировалось несколько сотен атак на сервера в этой части света. В пятницу банк Morgan Stanley Dean Witter предупредил о том, что вирус Nimda подорвал его возможности по распространению отчетов среди своих клиентов. "Мы ожидаем, что проблема будет решена в ближайшие дни", - говорится в заявлении банка. На пике эпидемии суммарное количество пораженных систем по всему миру оценивалось примерно в один миллион компьютеров. К выходным практически повсеместно удалось остановить рост эпидемии, однако по мнению ряда экспертов это произошло из-за того что вирус достиг пика своего распространения и соотношение числа новых пораженных систем сравнялось с числом уже вылеченных. В дальнейшем вирус вызывал локальные эпидемии, которые оперативно устранялись. Так около 3100 зараженных копий GameSpy Arcade 1.09 были загружены пользователями популярной системы онлайновых игр GameSpy. Как сообщил Reuters генеральный директор GameSpy Industries Марк Серфас (Mark Surfas), вирус попал в их систему дважды - ночью во вторник и в среду (25-26 сентября). "Мы проводили работы по обслуживанию и снизили меры безопасности", - говорит он. Если крупные компании оперативно поставили на свои сервера заплатки, устраняющие бреши в программном обеспечении, использующиеся Nimda для размножения, то частные пользователи продолжали страдать от тысяч зараженных писем. Еще одним очагом эпидемии стала сеть America Online. Как сообщает агентство Newsbytes, всего за один час в среду, веб-сайт компании пытались атаковать 6 различных систем из сети AOL, зараженные вирусом Nimda. Все компьютеры имели IP-адрес, принадлежащий America Online. Скорее всего, это были рядовые пользователи услуг AOL, а не службы самой компании. Все системы, пытавшиеся заразить веб-сайт, управлялись операционной системой Windows 2000, домашние страницы владельцев компьютеров также содержали код Nimda. Одновременно ожидался новый всплеск эпидемии, который мог произойти в пятницу, 28 сентября. В коде вируса имеется процедура, активизирующая повторную рассылку зараженных писем спустя 10 дней после заражения компьютера. Таким образом, все еще не вылеченные системы, должны были запустить в Интернет новую волну червя. Однако, на общем фоне снижения случаев заражения этот всплеск прошел практически незамеченным. В дальнейшем, появилось еще около десяти модификаций Nimda, однако только одной из них (Nimda.E) удалось приблизиться к "рекордам", поставленным первой из них. Впрочем, даже спустя несколько месяцев после первого появления червя, многие компании так и не приняли надлежащих мер безопасности. 2 ноября 2001 года жертвой Nimda.e (5-ой модификации червя) стала влиятельная американская газета New York Times. Первоначальные сообщения о том, что компьютерная сеть газеты подверглась хакерской DoS -атаке оказались неверными. Понять, почему системные администраторы компании не сразу распознали "врага" достаточно легко: "симптомы" заражения червем и DoS -атака весьма схожи. Уже в декабре компания Samsung Electronics признала, что драйвер 151 серии ЖК мониторов оказался зараженными вирусом Nimda. Поставка зараженного драйвера была моментально прекращена. Но в самую "пикантную" ситуацию попала компания Microsoft, уязвимости в программных продуктах которой, червь использовал для своего распространения. 15 июня 2002 года, то есть почти через девять месяцев после появления Nimda, представители Microsoft сообщили об обнаружении вируса в составе дистрибутива среды разработки Visual Studio .NET. По данным Microsoft, проблема касается исключительно корейских версий пакетов Visual Studio .NET различных версий, а также языков Visual Basic .NET, Visual C++ .NET, и Visual C# .NET. Сам вирус при этом содержится в одном из сжатых help-файлов, относящихся к компоненту Application Center Test. Специалисты по безопасности Microsoft проанализировали большое число возможных сценариев развития событий и пришли к выводу, что вероятность активации вируса очень мала, а скорее всего, такое просто невозможно. Однако, чтобы свести риск к нулю Microsoft рекомендует скачать обновление для корейской версии Visual Studio .NET, откуда вирус был удален. Это выглядело особенно забавно на фоне недавних обвинений со стороны самой Microsoft в адрес специалистов по компьютерной безопасности в том, что их советы по использованию уязвимостей в системах безопасности продуктов MS, являются "готовым планом" для вирусных атак. Скотт Калп, управляющий Центра безопасности Microsoft, назвал распространение этих сведений и программ "информационной анархией", и заявил, что самые серьезные эпидемии вирусов-червей были прямым следствием подобных действий. В то время как многие эксперты утверждали, что распространение такой информации помогает системным администраторам лучше понять степень угрозы и способы ее устранения, Калп назвал это распространением излишней информации. Позицию Microsoft можно было понять, учитывая громадный шквал критики, обрушившийся в первые дни эпидемии в ее адрес. Как это неоднократно случалось в прошлом, и как будет еще случаться в будущем. 25 сентября авторитетная аналитическая компания Gartner опубликовала свой комментарий к вспыхнувшей эпидемии вируса Nimda. В нем было рекомендовано всем компаниям, пострадавшим от Code Red и Nimda, незамедлительно рассмотреть альтернативы IIS, а также возможность переноса веб-приложений на веб-серверы от других разработчиков. Некоторые эксперты оказались не согласны с реакцией Gartner, называя ее панической и перестраховочной. Старший консультант компании Sophos Грэм Клули (Graham Cluley) предположил, что массовый переход на альтернативное ПО веб-сервера может вызвать еще большие потрясения, чем сохранение и регулярное латание Microsoft IIS. "Code Red пользовался не столько уязвимостью IIS, который, как и любое ПО, не лишен ошибок, сколько тем, что администраторы игнорируют всяческие предостережения, поступавшие задолго до появления вируса", - сказал Клули. Прямолинейней всех поступили, как всегда, военные. 13 марта 2002 года Microsoft получила официальное предупреждение от американских военно-воздушных сил. По словам представителя ВВС США Джона Гиллигана, у него была встреча с представителями компании. Он заявил, что ВВС США "ожидают от Microsoft лучших решений для проблем с безопасностью". Если та не решит в ближайшее время проблем с безопасностью собственного программного обеспечения, то американские ВВС могут отказаться от использования продукции компании. Фактически, ВВС США призвали Microsoft залатать вообще все дыры в Windows, что фактически является абсолютно невозможным. Первая попытка оценки масштабов эпидемии была предпринята спустя неделю после ее начала. По сообщениям информационного агентства Reuters, за 10 дней, прошедших с начала появления вируса 18 сентября, более миллиона компьютеров по всему миру оказались зараженными этой вредоносной программой. По данным, приводимым Computer Economics на 22 сентября, материальный ущерб, нанесенный действиями Nimda, уже составил $530 млн. Однако, ожидалось, что вскоре он превысит отметку в 2,4 млрд. долларов, - именно такая сумма потребовалась на нейтрализацию разрушений, нанесенных в июле и августе 2001 года другим высокоактивным червем - Соde Red. В ноябре 2001 года Computer Economics подсчитал потери от самых вредоносных вирусов года и на этот раз ущерб от Nimda был оценен в $635 млн. Эпидемия Nimda заставила британскую компанию MessageLabs опубликовать любопытное исследование, в котором предсказывается, что к 2008 г. использование Интернета станет просто невозможным из-за постоянных вирусных эпидемий. Так приводимая компанией динамика распространения почтовых червей дает основания предполагать, что к указанному сроку вирус будет содержаться в каждом десятом электронном послании. Интересно заметить, что, по данным MessageLabs, еще в 1999 г. один вирус приходился на 1400 писем, в 2000 г. - уже на 700, а сейчас вирус находится в каждом 300-м письме. Экстраполируя эти результаты, специалисты MessageLabs обещают, что в 2004 г. зараженным будет каждый сотый e-mail, а в 2015 г. вирусы будут "сидеть" в 75% электронной корреспонденции. Суммарное количество зараженных компьютеров оценивается разными источниками по-разному. Это связано с разными способами сбора и анализа информации крупнейшими антивирусными компаниями. Internet Security System (ISS) оценивает число зараженных в 2001 году веб-серверов в 86 000. По данным Trend Micro, по состоянию на конец февраля 2003 года, число выявленных этой компанией компьютеров, инфицированных Nimda.A, составляет более 1 600 000. Среди регионов мира, пострадавших от вируса, первое место удерживает Азия - более 600 000 случаев, второе и третье место делят Северная Америка и Европа, с примерно одинаковыми показателями 330-350 тысяч компьютеров. Четвертое место досталось Австралии - 250 тысяч. Эти данные подтверждают вывод о том, что Nimda.A имел три глобальных центра эпидемии. Среди стран мира лидерство удерживает Тайвань - более 400 000, далее идут Австралия - 247 000 и США - более 200 000. Еще более впечатляющие данные имеются по "деятельности" Nimda.E. Эта модификация, появившаяся 29 октября 2001 года, хотя и не создавала кратковременных эпидемий, сравнимых по масштабам с вариантом A, однако за время своего существования имела пять пиков эпидемии, на протяжении одного года. И несмотря на то, что в эти пиковые моменты червю не удалось превысить рубеж в 120 000 зараженных машин, из-за большой растянутости эпидемии по времени, итоговые его результаты превосходят Nimda.A По состоянию на конец февраля 2003 года Trend Micro оценивает масштабы распространения Nimda.E так: - Северная Америка - 850 000, - Азия - более 600 000, - Европа 400 000. Выборка по отдельным странам дает результаты отличные от Nimda.A: - США - 580 000, - Мексика - 260 000, - Китай - 250 000. Одни из лидеров по числу заражений Nimda.A Тайвань и Австралия на этот раз в сумме не набирают и 130 000 случаев. Всего же по данным Trend Micro от Nimda.E пострадало почти 2 000 000 компьютеров по всему миру. Очевидно, что в действительно эти данные могут быть несколько выше. Лаборатория Касперского поставила Nimda на 5-ое место в TOP10 самых распространенных вирусов 2001 года, с показателем в 2.5% от общего числа инцидентов. На сегодняшний момент Nimda продолжает удерживаться в TOP20 с показателем в районе 0.1%-0.2%. На практике это означает, что по меньшей мере около 20 000 компьютеров по всему миру по прежнему заражены червем и регулярно осуществляют рассылку зараженных писем и проводят атаки на IIS-сервера. |