Шумиха вокруг Интернет-червя «CodeRed» и его модификаций продолжает порождать новые, иногда парадоксальные слухи и мнения. 7 августа американский Институт системного администрирования, телекоммуникаций и безопасности (SANS) опубликовал детальное описание червя «CodeRed II», в котором рекомендовал пользователям форматировать жесткие диски и полностью переустанавливать операционную систему и все приложения.
«Форматирование диска для защиты компьютера от «CodeRed II» аналогично использованию гильотины в качестве лекарства против простуды, — комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского», — Более того, простая переустановка всего программного обеспечения не только не спасет от этого червя, но даст пользователям ложное чувство безопасности».
Как известно, в отличие от других двух модификаций червя, «Code Red II» устанавливает на зараженных компьютерах троянскую программу для осуществления несанкционированного удаленного контроля. Для этого на диске создаются служебные файлы и изменяются ключи системного реестра Windows. По такой же схеме работают практически все другие троянские программы, и для их нейтрализации необходимо лишь удалить вредоносные файлы и восстановить оригинальное содержимое системного реестра (рекомендации по удалению троянской компоненты «CodeRed II» см. в «Вирусной Энциклопедии Касперского»). Эти действия занимают не более 10 минут в отличие от нескольких часов или дней, которые требуются для полной переустановки операционной системы.
Важно отметить, что переустановка операционной системы — это, напротив, гарантия того, что «Code Red II» снова проникнет на компьютер. Дистрибутив Windows 2000 просто не содержит сервисных пакетов и «заплаток», необходимых для устранения бреши в системе безопасности Internet Information Server (IIS), которую использует этот червь.
Наиболее эффективным средством борьбы с «CodeRed» и ему подобными бестелесными червями является установка на IIS специального фильтрационного модуля, проверяющего все поступающие на Web-сервер запросы. Такие функции выполняются дорогостоящими специализированными межсетевыми экранами и другими комплексами класса Intrusion Detection Systems (IDS). Помимо существенных финансовых затрат, их установка и эксплуатация требует от пользователя глубоких знаний компьютерных технологий.
«Далеко не всем пользователям под силу работать с системами обнаружения внешних вторжений. И далеко не все способны потратить на это уйму денег. Вместе с тем, защита от червей, подобных «CodeRed» необходима всем», — добавил Евгений Касперский. «Лаборатория Касперского» предлагает бесплатную утилиту — Антивирус КасперскогоTM для IIS. В отличие от комплексов IDS, она занимает всего лишь несколько десятков килобайт дискового пространства, практически не влияет на производительность Web-сервера и требует для установки нескольких минут. Кроме того, Антивирус КасперскогоTM для IIS гораздо более эффективен, поскольку реализован в виде системного фильтра. Это позволяет перехватывать и проверять поступающие запросы на более низком уровне архитектуры IIS, т.е. еще до начала непосредственной обработки запроса.
Другим важным преимуществом Антивируса КасперскогоTM для IIS является возможность оперативного обновления программы для защиты от очередного вредоносного кода. Таким образом, пользователю не придется ждать выпуска «заплатки» от Microsoft для обнаруженных брешей в системе безопасности IIS.
В планах «Лаборатории Касперского» — разработка технологии эвристического анализа кода специально для защиты от бестелесных вредоносных программ наподобие CodeRed. Это позволит пользователям успешно отражать атаки не только существующих червей этого класса, но также тех из них, которые могут появиться в будущем.
Вы можете загрузить Антивирус КасперскогоTM для IIS здесь:
Рекомендации по работе с Антивирусом КасперскогоTM для IIS-сервера
«Лаборатория Касперского» не рекомендует лечиться от простуды с помощью гильотины