Slammer всё?

Мое личное отношение к червю Slammer (Helkern) имеет давнюю историю. 25 января 2003 года состоялось мое первое «боевое крещение» в роли вирусного аналитика ЛК. Это был выходной день, и задача в одиночку дежурить на входящем потоке подозрительных файлов была возложена на меня, на тот момент работавшего в компании чуть более месяца.

В тот день интернет столкнулся с одной из самых грандиозных вирусных эпидемий за всю историю – червь, использовавший уязвимость в MS SQL Server, заразил несколько сотен тысяч компьютеров по всему миру всего лишь за пятнадцать минут и на несколько часов отключил от Сети Южную Корею.

Те 376 байт оказались реализацией так называемого «бестелесного» вируса, который не создает своих копий в системе и живет исключительно в оперативной памяти.

С тех пор прошло уже больше 8 лет, но, несмотря на это, Slammer продолжал жить в интернете и постоянно занимал первые строчки в отчетах по сетевым атакам. Миллионы и миллиарды вредоносных пакетов продолжали рассылаться каждый день, ища жертв и генерируя значительный объем мусорного трафика.

9 марта 2011 года произошло нечто пока необъяснимое. Наша система автоматического анализа угроз Kaspersky Security Network зафиксировала значительное снижение числа атакующих и еще более значительное — атакуемых станций. Данная статистика поступает к нам от модуля IDS (intrusion detection system), призванного отражать сетевые атаки. В ходе работы системы также производится определение источника атаки.

Давайте посмотрим на этот график:

Видно, что на протяжении последних месяцев число станций, которые подвергались атакам пакетами червя, колебалось в значительных пределах, но никогда не опускалось ниже отметки в 200 000 уникальных хостов каждый день. Но с 9 марта количество станций уменьшилось практически в 10 раз и в настоящий момент составляет около 15000 уникальных хостов в день.

Первое, что мы предположили: возможно, такое падение связано с землетрясением в Японии и последующим отключением ряда интернет-каналов. Однако эта теория оказалось неправильной. До «падения Сламмера» на территории этой страны мы фиксировали всего лишь около 150 атакуемых им станций. После 11 марта их количество снизилось до 35, но в целом эти цифры явно не могут влиять на общие показатели в сотни тысяч источников червя.

Вторая теория, основанная на совпадении начала исчезновения червя и даты выпуска очередного набора патчей от Microsoft, выглядит возможной, однако ни один из патчей того дня не имел отношения к MS SQL. Более того, как нам представляется, компьютеры-источники червя не обновляются – поскольку на них способен работать червь, использующий уязвимость, исправленную еще в 2002 году.

Еще одна теория объясняет произошедшее следствием деятельности какого-либо крупного интернет-провайдера, включившего фильтрацию трафика на порту 1434 (порт, атакуемый червем). Но рассмотрение ситуации по странам пока не находит подтверждения и этой теории. Вот так выглядела десятка стран и регионов, лидирующих по количеству целей атак червя, 8 марта 2011 года, за день до начала «падения»:

А вот так аналогичная десятка выглядела 12 марта:

В материковом Китае, который был основной целью большинства атак, уменьшение количества наиболее заметно, но подобные метаморфозы отмечены и в России, и в Бразилии, и в США, и в Испании. Выглядит странным только Тайвань, в котором, наоборот, отмечен рост.
Впрочем, эти данные практически опровергают идею о каком-то одном крупном провайдере, поскольку провайдера, работающего сразу во всех этих странах, просто не существует.

Наибольший интерес представляет изменение количества станций-источников атак, с которых происходило распространение червя в эти дни.

8 марта исходящие пакеты червя были отмечены с 711 компьютеров, распределенных по почти 50 странам мира. Первая десятка источников атак выглядела следующим образом:

Спустя 4 дня, 12 марта их количество сократилось в более чем два раза — до 296 станций в всего лишь 18 странах.

Данные о падении числа источников атак подтверждаются и центром SANS:

Источник: Internet Storm Center SANS Inst.

Эксперты этой организации также задаются вопросами о причинах произошедшего, но ответа пока нет и у них.

Итак, что мы имеем ? Мы наблюдаем практически десятикратное уменьшение активности червя (количество атакуемых целей), одновременно с более чем двухкратным снижением источников червя.

Пост был обновлен и дополнен новыми данными 22 марта, в 19:30 MSK.