Авторы
Можно с уверенностью утверждать, что «Helkern» появился задолго до 25 января, когда об этом сообщили антивирусные компании и средства массовой информации. Первый случай обнаружения пакетов данных, похожих на копии червя, был зафиксирован «Лабораторией Касперского» в 22:07 по московскому времени 20 января 2003 г. Данные были отправлены с компьютера, принадлежащего одному американскому провайдеру. Однако это совсем не значит, что «Helkern» был создан сотрудниками этой компании — скорее всего сервер был удаленно заражен злоумышленниками. Таким образом, правда о происхождении червя может скрываться в файлах-отчетах обращений к этому серверу.
Немного позже в тот же день код «Helkern» был обнаружен в запросе от сервера в Нидерландах. После этого червь никак не проявлял себя вплоть до 23:21 23 января, когда была зарегистрирована еще одна копия червя в запросе от другого голландского сервера. Взрыв активности «Helkern» произошел только в ночь с 24 на 25 января. Таким образом, инкубационный период червя составил почти 5 дней. За это время вредоносная программа успела заразить критическое количество серверов, которое вызвало цепную реакцию. По другим данным, эпицентр червя находился в Китае, откуда он проник в компьютерные системы в Южной Корее и Филиппинах. Затем «Helkern» достиг западной и центральной частей США и разделился на два потока: первый перекинулся в Австралию и Новую Зеландию, второй — в Западную Европу.
География распространения червя выглядит следующим образом:
| Страна | Количество зараженных серверов (в % от общего числа заражений) |
|---|---|
| США | 48,4% |
| Германия | 8,2% |
| Южная Корея | 4,9% |
| Великобритания | 4,9% |
| Канада | 4,9% |
| Китай | 3,3% |
| Нидерланды | 2,7% |
| Тайвань | 2,7% |
| Греция | 2,2% |
| Швеция | 2,2% |
Как следует из приведенной таблицы, эпидемия в большей или меньшей мере затронула практически все страны. Это еще раз доказывает несостоятельность идеи кибернетического оружия вирусного типа. Оно имеет ярко выраженное свойство бумеранга, что делает эту идею неприменимой в военных целях.
На данный момент, 27 января, эпидемия практически нейтрализована, и нормальная работоспособность Интернет восстановлена. В сети регулярно регистрируются копии «Helkern», но их количество в сотни раз ниже, нежели на пике активности червя. В целом, их присутствие в Интернет-трафике уже никак не может помешать нормальному функционированию сети. Нейтрализации червя, безусловно, помогли слаженные действия Интернет-провайдеров, внедривших фильтрацию вредоносных пакетов, рассылаемых «Helkern», и пользователей, установивших заплатку для бреши в системе безопасности Microsoft SQL Server, которой пользовался червь.
Авторы
От тех же авторов
В той же категории
Последние публикации
Отчеты
Новые инструменты и методы APT-группы Tomiris: Havoc, AdaptixC2, реверс-шеллы
Разбираем новые инструменты и методы APT-группы Tomiris: реверс-шеллы на разных языках программирования, открытые фреймворки Havoc и AdaptixC2, а также каналы связи через Discord и Telegram.
ToddyCat — ваш скрытый почтовый ассистент. Часть 1
Эксперты «Лаборатории Касперского» разбирают атаки APT ToddyCat через корпоративную электронную почту. Изучаем новую версию TomBerBil, инструменты TCSectorCopy и XstReader, а также способы кражи токенов доступа из Outlook.
Криптоафера группы BlueNoroff: «призрачные» инвестиции и фиктивные рабочие предложения
Эксперты команды GReAT проанализировали кампании GhostCall и GhostHire APT-группы BlueNoroff: несколько цепочек вредоносного ПО для macOS, поддельные клиенты Zoom и Microsoft Teams, а также изображения, улучшенные с помощью ChatGPT.
Mem3nt0 mori – Hacking Team снова с нами!
Исследователи «Лаборатории Касперского» впервые обнаружили шпионское ПО Dante, разработанное Memento Labs (бывшей Hacking Team) в дикой природе и нашли его связь с APT ForumTroll.
Эпидемия «Helkern»: хронология событий