Компьюлента. 22 августа 2003 года, 23:38
Антивирусная компания Sophos сообщает, что червь Sobig.F, эпидемия которого продолжалась всю неделю, может сработать сегодня ночью.
В пятницы и воскресенья c 23:00 до 1:00 по московскому времени (с 19:00 до 22:00 по Гринвичу) вирус будет пытаться автоматически направить заражённые им компьютеры на серверы, контролируемые его автором. Остаётся неясным, что программа попытается там скачать, но вряд ли что-то хорошее.
Фрагмент кода вируса Sobig.F
В лучшем случае, огромный трафик, создаваемый червём, только затормозит работу интернета. Если загруженная с сервера вредоносная программа окажется не столь безобидной, она может выполнить некие деструктивные действия (например, удалить все файлы на заражённом компьютере), начать DDoS-атаку или заняться рассылкой спама.
"Второе дно" у червя нашли только поздно вечером в четверг. Специалисты выяснили, какие адреса имеют сервера вирусописателя. Всего серверов двадцать - полный список можно посмотреть здесь.
Всю пятницу антивирусные компании пытались отыскать и отключить эти сервера, но так и не успели. "Мы отключили больше половины из них, - цитирует CNET слова Микки Хиппонена, руководителя антивирусных исследований компании F-Secure, - Однако пока хотя бы один сервер продолжает работать, будет атака".
Компания Sophos советует системных администраторам компаний и провайдеров заблокировать IP-адреса всех серверов, к которым обращается вирус. Кроме того, нужна запретить исходящий трафик в UDP-порте 8998 и блокировать NTP-запросы, приходящие с незнакомых адресов.
