Автора червя Sasser сдали за награду от Microsoft

События вокруг недавней эпидемии червя Sasser, поразившей компьютеры по всему миру в начале мая, обрастают новыми интересными, почти детективными подробностями. Автор вируса, арестованный на прошлой неделе немецкой полицией, успел запустить в Сеть новую модификацию червя, которая должна была ослабить разрушительное воздействие предыдущего творения и его версий. В отличие от вирусов, распространяющихся через электронную почту и приложения к письмам, Sasser загружается из Интернета напрямую, после чего атакует последние версии операционной системы Windows и заставляет компьютер перегружаться. В результате машина становится неработоспособной.

Больше всего от вируса пострадали домашние компьютеры и небольшие фирмы, хотя серьезные проблемы испытали и некоторые крупные компании. Только в почтовой службе Германии зараженными оказались до 300 тыс. терминалов, из-за чего сотрудники не могли выдавать наличные деньги клиентам. Жертвами червя стали также компьютеры инвестиционного банка Goldman Sachs, Еврокомиссии, 19 региональных офисов управления береговой охраны Британии. Кроме того, на прошлой неделе в одном из терминалов лондонского аэропорта Hithrow у авиакомпании British Airways отказала половина всех компьютеров на стойках регистрации пассажиров, а в американском городе Новый Орлеан до 500 больниц были закрыты в течение нескольких часов; пострадали также социальные и здравоохранительные учреждения в Вашингтоне.

Червь Sasser появился в Сети в ночь на 1 мая 2004 года. Как сообщила "Лаборатория Касперского", вирус распространялся по глобальным сетям, используя уязвимость в службе LSASS Microsoft Windows. Червь написан на языке C/C++ с использованием компилятора Visual C, имеет размер около 15 КБ, упакован ZiPack. При запуске червь регистрирует себя в ключе автозапуска системного реестра. Он сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку cmd.exe и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP, для чего червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя N_up.exe, где N - случайное число.

Немецкие спецслужбы сработали оперативно, и уже 7 мая представитель полиции федеральной земли Нижняя Саксония Франк Федерау сообщил об аресте 18-летнего юноши, который сознался в создании вируса Sasser. На тот момент число зараженных машин, по данным BBC, достигло 18 миллионов. Задержанный, 18-летний Свен Яшан, только что закончил школу и собирался продолжать занятия информатикой. По данным немецкого еженедельника Stern, есть основания подозревать немецкого подростка в создании еще одного вируса - Netsky.ac. В доме родителей юноши проведен обыск и обнаружено множество улик. Кстати, ранее некоторые эксперты высказывали предположение, что человек, создавший вирус, находится в России.

Как полагают некоторые обозреватели, подросток создал Sasser не только для того, чтобы прославиться, но и из сыновней любви - чтобы поправить дела небольшой компании PC-Help по обслуживанию ПК, принадлежащей его матери.

Однако к поимке кибер-злоумышленника имеют отношение не только немецкие правоохранительные органы, но и известная всем корпорация Microsoft, заявившая, что созданный ею для награждения информаторов за сведения об организаторах вирусных атак фонд в $5 млн принес первые плоды. Именно в ходе "скоординированной международной правоохранительной операции" местные власти арестовали 18-летнего жителя Ротенбурга всего через неделю после появления в Интернете первого вируса Sasser. "Спустя 48 часов после поступления информации наши следователи и полиция Германии смогли найти и арестовать распространителя вируса Sasser, - заявил главный юрисконсульт Microsoft Брэд Смит. - Мы считаем, что этот человек является автором всех четырех вариантов вируса Sasser".

Арест вирмейкера стал первым успехом программы Microsoft Antivirus Award - фонда в $5 млн, предназначенного для награждения людей, предоставивших информацию о распространителях вирусов. Microsoft предложил три награды по $250 тыс. за сведения об ответственных за вирусы MSBlast, Sobig и MyDoom, однако никаких арестов по этим случаям пока не произведено. Автор второстепенного варианта червя MSBlast был арестован еще до начала программы.

Microsoft не объявлял никаких наград за информацию об авторах и распространителях червя Sasser, тем не менее информаторы пришли в среду в германский офис софтверного гиганта и поинтересовались, будет ли выплачена такая награда. "Мы без колебаний приняли решение предложить $250 тысяч", - сказал Смит.

Смит не уточнил, сколько пришло людей, сообщив лишь, что их было меньше пяти. Он сказал также, что они живут в той же части Германии, но не рассказал о том, каковы отношения между арестованным автором Sasser и этими информаторами. "Это частные лица, которые знают преступника; они не вычислили его в результате технического анализа", - сказал Смит.

Арест, возможно, самый значительный с момента поимки распространителя вируса Melissa Дэвида Л. Смита в 1999 году. Специалисты по безопасности полагают, что Sasser написан группой программистов. Возможно, после ареста число подозреваемых увеличится. Более того, эксперты и германская полиция уверены, что автор червя Sasser создал еще несколько, а то и все варианты Netsky, компьютерного вируса, организующего массовую почтовую рассылку. Есть основания полагать, что по крайней мере одна версия вируса подписана той же группой программистов, называющих себя Skynet Antivirus Team. Смит не стал говорить о возможности новых арестов, но подтвердил, что расследование продолжается. Суд над молодым вирусописателем состоится в конце июня, ему грозит до пяти лет тюрьмы.

Microsoft сообщил также, что несколько новых методов исследования вирусов, которые софтверный гигант разработал за последний год, помогли идентифицировать автора вируса и проверить данные, предоставленные информаторами.

"Писатели вирусов должны осознать, что Интернет не спрячет их от закона, - сказал Смит. - Оперативные действия, предпринятые в данном случае, должны стать предупреждением для тех, кто думает о распространении или создании злокачественных вирусов и червей. И показать, что мы вместе с правоохранительными органами сможем найти и найдем того, кто выпустил зловредный код в Интернет. И что правоохранительные органы могут призвать их к ответу и сделают это, в какой бы части планеты они ни находились".