Второе пришествие «Code Red»: комментарий Лаборатории Касперского

В начале этой недели информационные агентства распространили заявления правительственных организаций США, Великобритании и других стран о новой вспышке эпидемии Интернет-червя ‘Bady’ (‘Code Red’), которая должна случиться 1 августа. К сожалению, они обросли многочисленными слухами, исказившими реальное положение вещей и вызвавшими панику среди пользователей. В этой связи «Лаборатория Касперского» считает необходимым прояснить ситуацию.

‘Bady’ — это программа-червь, распространяющаяся через всемирную сеть Интернет и заражающая компьютеры с Windows 2000, Microsoft Internet Information Server (IIS) (версии 4.0 и 5.0), а также включенной службой индексирования Indexing Service. Для проникновения в компьютеры червь использует брешь в системе безопасности IIS — «Unchecked Buffer in Index Server ISAPI Extension», которая была обнаружена 18 июня этого года. Компания Microsoft уже выпустила «заплатку», исправляющую данную брешь. Все ведущие производители антивирусного ПО также добавили в свои продукты процедуры защиты от червя ‘Bady’.

Особенность функционирования ‘Bady’ заключается в том, что он активен только с 1 по 27 числа каждого месяца. После этого все активные копии червя автоматически переключаются в «спящий режим» и больше никогда не активизируют процесс распространения и никак не проявляются. Вместе с тем, за время, прошедшее с момента обнаружения ‘Bady’ (19 июля), он успел заразить более 350 000 компьютеров. Существует вероятность, что хотя бы на одном из них системная дата установлена неправильно (например, с запозданием более 5-ти дней), и на нем сохранилась активная копия червя. Таким образом, 1 августа снова станет возможным повторное заражение компьютеров, на которых до сих пор не установлена «заплатка», устраняющая брешь в системе безопасности IIS, и не используется обновленное антивирусное ПО.

«Мы не исключаем возможности повторения эпидемии ‘Bady’. Однако на сей раз случаи заражения будут эпизодическими, и масштабы его распространения ни в коем случае не могут сравниться с первоначальными,» — комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».

Существует несколько веских причин, по которым повторение эпидемии ‘Bady’ невозможно. Во-первых, факт существования ‘Bady’ получил широкий резонанс практически во всех средствах массовой информации и заставил подавляющее большинство системных администраторов установить «заплатки» и обновить антивирусные программы. Во-вторых, повторное заражение компьютеров вызовет дальнейшее снижение их производительности и сбои в работе. В результате системные администраторы будут вынуждены произвести «чистку» компьютеров вручную и все-таки установить «заплатку». В-третьих, ‘Bady’ нацелен исключительно на системы с установленным комплексом IIS. Это программное обеспечение используется только на серверном оборудовании, так что домашние пользователи и пользователи аналогичного ПО других производителей не могут подвергнуться атаке ‘Bady’.

Полезные ссылки:

• «Вирусная Энциклопедия Касперского»: подробное описание червя
• «Заплатка» для Internet Information Server