Рецидив эпидемии 'Code Red'? "Лаборатория Касперского" комментирует слухи о повторной эпидемии коварного Интернет-червя

В начале этой недели информационные агентства распространили заявления правительственных организаций США, Великобритании и других стран о новой вспышке эпидемии Интернет-червя 'Bady' ('Code Red'), которая должна случиться 1 августа. К сожалению, данные заявления обросли многочисленными слухами, исказившими реальное положение вещей и вызвавшими панику среди
пользователей. В этой связи "Лаборатория Касперского" считает необходимым
прояснить ситуацию.

'Bady' - это программа-червь, распространяющаяся через всемирную сеть Интернет и заражающая компьютеры с Windows 2000, Microsoft Internet
Information Server (IIS) (версии 4.0 и 5.0) и включенной службой индексирования Indexing Service. Для проникновения компьютеры червь
использует брешь в системе безопасности IIS -"Unchecked Buffer in Index Server ISAPI Extension". Данная брешь была обнаружена 18 июня 2001 г. и компания Microsoft уже выпустила соответствующую "заплатку", закрывающую
данную брешь. Одновременно, все ведущие производители антивирусного ПО также добавили в свои продукты процедуры защиты от червя.
Особенность работы 'Bady' заключается в том, что он активен только с 1 по 27
числа каждого месяца. После этого все активные копии червя автоматически переключаются в "спящий режим" и больше никогда не активизируют процедуру
распространения и никак не проявляются. Вместе с тем, за время, прошедшее с момента бнаружения 'Bady' (19 июля) он успел заразить более 350 000 компьютеров. Существует вероятность, что хотя бы на одном из них системная
дата установлена неправильно (например, с запозданием более 5 дней) и на нем
сохранилась активная копия червя. Таким образом, 1 августа снова станет возможным повторное заражение компьютеров, на которых до сих пор не
установлена "заплатка", устраняющая брешь в системе безопасности IIS и не используется обновленное антивирусное ПО.
"Мы не исключаем возможность повторения эпидемии 'Bady'. Однако случаи заражения этим червем будут эпизодическими и масштабы его распространения ни в коем случае не могут быть сравнимы с первоначальными", - комментирует
Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
Существует несколько веских причин, почему невозможно повторение эпидемии
'Bady'. Во-первых, факт существования 'Bady' получил широкий резонанс практически во всех средствах массовой информации и заставил подавляющее большинство системных администраторов установить "заплатки" и обновить антивирусные программы. Во-вторых, повторное заражение компьютеров вызовет дальнейшее снижение их производительности и сбои в работе. В результате
системные администраторы будут вынуждены произвести ручную "чистку" компьютера и все-таки установить "заплатку". В-третьих, 'Bady' нацелен
исключительно на системы с установленным комплексом IIS. Такое программное обеспечение используется только на серверном оборудовании, так что домашние пользователи и пользователи аналогичного ПО других производителей не могут
подвергнуться атаке 'Bady'.

"Сегодня своевременная установка обновлений к используемому ПО становится одним из основных правил компьютерной безопасности. Случай с 'Bady' - еще одно тому доказательство, - комментирует Денис Зенкин, руководитель
информационной службы "Лаборатории Касперского", - Установка "заплатки" от 'Bady' поможет справиться только с этим червем и его возможными
модификациями. Но это не убережет от других вредоносных программ, использующих бреши в системах защиты программного обеспечения".


Полезные ссылки:

- Бесплатная программа для обнаружения 'Bady'
- "Вирусная Энциклопедия Касперского": подробное описание червя
- "Заплатка" для Internet Information Server
/bulletin/ms01-033.asp>

Информационная служба "Лаборатории Касперского"

123363, Москва, ул.Героев Панфиловцев, 10
тел.:+7 (095) 948 56 50; факс: +7 (095) 948 43 31
e-mail: info@kaspersky.com; http://www.kaspersky.com;
http://www.viruslist.com