Вирус Mydoom/Novarg переплюнул Sobig.F
Эпидемия вируса-червя Novarg (он же Shimgapi или Mydoom) по масштабам сопоставима с прошлогодней эпидемией вируса Sobig.F, отмечают эксперты. Поскольку вирус запрограммирован с 1 по 12 февраля вести атаку "denial-of-service" на сайт корпорации SCO Group, которая преследует компании за использование ОС Linux (права на которую якобы принадлежат SCO), вирус расценивается наблюдателями как довольно неожиданное оружие сообщества линуксоидов.
Антивирусные компании повысили уровень риска, присвоенный вирусу Novarg: компания Symantec определила вирус как "угрозу уровня 4" (на 1 меньше максимальной), а F-Secure и MessageLabs полагают, что риск высочайший. По данным MessageLabs, вирус распространяется в рекордных объемах: 1 из каждых 12 электронных писем. Этот результат превзошел даже лучшие результаты вируса Sobig.F (1 из 17). За первые 27 часов эпидемии MessageLabs перехватила более 1,5 миллиона копий Novarg. К настоящему моменту его появление отмечалось в 142 странах. По данным F-Secure, за первые сутки эпидемии Novarg успел заразить около 100 тысяч компьютеров.
Novarg рассылается в письмах с заголовками "Hi", "Hello", "Mail Transaction Failed", "Mail Delivery System", "Server Report" или "Test" в виде приложения с расширениями .bat, .cmd, .exe, .pif, .scr или .zip. Письма имитируют автоматически сгенерированные технические сообщения; в некоторых говорится: "The message contains unicode characters and has been sent as a binary attachment" или "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment". При открытии файла вирус инсталлируется в системную папку Windows и копируется в директорию KaZaA, где хранятся скаченные файлы. Иногда вирус притворяется исполняемыми файлами Winamp5, icq2004-final, Activation_Crack, Strip-gril-2.0bdcom_patches, RootkitXP, Officecrack или Nuke2004 и доступен другим пользователям KaZaA. Novarg сканирует компьютер в поисках электронных адресов и с помощью встроенного SMTP-клиента рассылает сам себя по всем обнаруженным адресам, в поле "From" подставляя произвольный адрес. Также вирус создает на зараженном компьютере "черный ход" (открыв TCP-порты 3127-3198), что потенциально позволит автору вируса удаленно использовать пользовательскую машину.
Для вируса уязвимы компьютеры, где установлена ОС Windows 95, 98, ME, NT, 2000 и XP. Пользователям рекомендуется проверить, не присутствует ли в их системной директории файл shimgapi.dll, и обновить базы антивирусного ПО.
Wired News, CNET News.com, IDG, The Register, InternetNews, Slashdot
Дословно
Денис Зенкин
(О новом вирусе)
Вирус начал одновременную атаку с десятков тысяч компьютеров. В данном случае группа вирусописателей в течение некоторого времени создавала распределенную сеть "зомби-компьютеров", зараженных "троянцем", позволяющим удаленно управлять машиной. Когда количество этих компьютеров достигло нескольких десятков тысяч, им была дана команда начать рассылку вируса. Таким образом, Novarg по характеру действия напоминает известный вирус Sobig.f, убытки от которого составили около $2 млрд. Сумма ущерба от Novarg вполне может достигнуть этой цифры, если новый вирус продолжит распространяться такими же темпами.
"Коммерсант", 28.01.2004