Новый компьютерный вирус Downadup стремительно распространяется среди корпоративных систем в США, Европе и Азии, говорится в отчете финской компании F-Secure.

По словам специалистов F-Secure, вирус Downadup, который они отслеживают уже несколько недель, распространяется в корпоративных сетях быстрее любого другого вредоносного ПО за последние годы и уже заразил почти 9 млн. компьютеров. Для сравнения, число компьютеров, зараженных знаменитым Storm Worm было почти в 9 раз меньше.

Как отмечает Патрик Руналд (Patrik Runald), главный советник по вопросам безопасности F-Secure, сейчас червь, известный под кодовыми названиями Downadup и Conficker, заражает компьютеры пользователей с помощью уязвимости MS08-067 в операционной системе Windows, но не наносит большого вреда системам. «Создатели этого вируса еще не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит Руналд.

Недавно компания Microsoft выпустила обновление для Windows, которое должно защитить пользователей от вируса. Большинство систем автоматически скачает новое обновление, однако, по словам Руналда, червь отключает функцию автоматического обновления на зараженных системах.

«В течение последних нескольких недель, новый вариант червя, использующего уязвимость MS08-067, распространяется среди пользователей», — говорится в сообщении в официальном блоге Microsoft. По словам представителей компании, вирус распространяется, получая доступ к одному компьютеру, после чего подбирает пароли к другим ПК в той же сети. «Если пароль простой, вирус может успешно заразить ПК».

По сведениям F-Secure, еще 13 января насчитывалось всего 2,4 млн зараженных ПК, через день их было уже 3,5 млн, а по данным на 16 января вирус заразил почти 9 млн систем.

На сегодняшний день, происхождение вируса остается неизвестным, однако специалисты F-Secure предполагают, что Downadup был создан злоумышленниками из Украины. Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны. По мнению F-Secure, говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей.

Новый червь Downadup

Расскажу-ка я вам немного про сегодняшнюю угрозу номер 1 в мире вирусов.
Это безусловно червь Downadup. Если вы хоть немного разбираетесь в компьютерах или администрируете что-то - обязательно прочитайте про него всё, что сможете.
Например в статье How Big is Downadup есть вчерашняя глобальная всемирная статистика заражения этим вирусом. Уже миллионы компьютеров и каждую секунду регистрируются новые заражения.
Upd от 15 января - за вчера был заражен еще минимум 1 млн. компьютеров!
В этот раз вирус как-то нереально хитро и со знанием дела прячется от антивирусов - антивирусные компании в спешке выпускают патчи и апдейты к своим продуктам, чтобы с ним бороться, но как-то пока это не очень хорошо у них получается. Из-за NDA я не имею права рассказывать, как мы в F-Secure с этим сейчас боремся, но масштабы усилий сильно впечатляют.

Например, в блоге наш главный антивирусный гуру пишет (мой вольный пересказ):

Этот червь использует хитрый алгоритм для генерации каждый день нового имени домена, с которого будут управлять зараженной машиной. Обычно вирусы имеют один домен - его можно закрыть и вирус безопасен. Но этот червь меняет адреса серверов постоянно и закрыть их все невозможно.
Но можно вычислить часть завтрашних адресов и зарегистрировать их на себя, отсечь преступников от части компьютеров. Теоретически можно было бы сделать что-то с такими компьютерами, например, написать им, что они заражены или даже вылечить их. Но этого делать нельзя по закону! Во многих странах есть закон, запрещающий делать что-то с компьютером человека без его согласия.
Поэтому остается только сидеть и отслеживать число таких зараженных "клиентов".

В этой статье есть информация о том, как червь мгновенно распространяется по сети и как он прячется от антивирусов и от удаления.

Самый простой способ узнать, заражен ли ваш компьютер - это попробовать зайти на сайты www.f-secure.com или http://www.kaspersky.com/. Если эти сайты у вас не открываются - вы заражены.
В комментариях мне предложили еще более простой способ. Если вы под этой строкой сейчас не видите логотипа F-Secure, то вы заражены! Зато, если видите - вы не заражены этим вирусом.

У нас в офисе F-Secure на первом этаже висит монитор, показывающий красивую карту мира, где в реальном времени показаны новые заражения вирусами. Так вот, сейчас на эту карту страшно смотреть - она вся красная от маркеров заражений. При этом там отображаются только те компьютеры, которые шлют НАМ семплы вируса, а, учитывая, что F-Secure - это далеко не самая крупная антивирусная компания, масштабы заражения потрясают. При этом маркер - это один IP, то есть, в реальности это может быть тысяча компьютеров.

Главная дыра, позволяющая этому червю так быстро распространяться - это дыра в реализации RPC протокола от Microsoft. Это был ожидаемый тип вируса, когда Microsoft недавно опубликовала инфу про эту дыру, но никто не ожидал такого серьезного заражения. Да, Microsoft уже сделали и опубликовали Security Update, но не все их еще установили, а у многих Windows Update вообще отключен - это очень глупо!

Червь оказался сильно умный - он еще и полагается на глупость стандартных пользователей, заражая их через сеть, перебирая их пароли, используя список паролей, который можно найти тут. Проверьте - нет ли там вашего пароля?

Для тех, кто не совсем понял, что же делает этот червь, поясню немного. Он может сделать всё, что угодно владельцу этого червя. Идея проста - этот червь скачивает файлы с сервера и запускает их без ведома пользователя. Так что можно написать любой вирус или программу и запустить ее на зараженном компьютере. А значит можно назапускать новых вирусов или провести массированные атаки на какие-то сайты. Можно украсть данные с зараженных компьютеров. Можно удалить всё. Можно сделать всё, что угодно. Классический ботнет.

В общем, вирусы очевидно прогрессируют и остался только один шаг до попыток прямого противодействия антивирусам, когда вирусы будут блокировать антивирусы, а не наоборот. Уже сейчас вирусы активно и успешно борются с анализом сэмплов, например, отслеживая WMVare и не запускаясь под ним (тем самым сильно усложняя работу аналитиков). А то и проводят массированные атаки из ботнетов на компьютеры аналитиков.

P.S.:
Если вы обнаружили, что заражены, то тут можно скачать removal tool от F-Secure.
При этом, так как этот вирус блокирует сайты антивирусных компаний, то вы не сможете зайти и скачать этот removal tool. Но вроде как вирус блокирует только DNS запросы, то есть, прямая ссылка сработает. Так что попробуйте скачать по этой ссылке: ftp://193.110.109.52/anti-virus/tools/beta/f-downadup.zip
А вот тут в комментариях подсказывают еще один способ ручного удаления вируса: http://bishop3000.livejournal.com/105424.html?thread=2020304

UPD:
А по этой ссылке есть советы от F-Secure как вылечиться от этого вируса и как избежать заражения.
Переведу самое важное оттуда:

Что делать, чтобы избежать заражения:

- Убедитесь, что последние апдейты Microsoft у вас установлены
- Убедитесь, что у вас запущена последняя версия антивируса и он обновлен
- Выключите AUTORUN и AUTOPLAY для USB устройств
- Проверте свои пароли для входа в систему - они должны быть хорошими, а не 1111
- Особенное внимание обратите на пароли администраторов

Что делать, если вы уже заразились:

- Зайдите на сайт своего антивируса и найдите там инструкции по борьбе с вирусом
- Удаление этого вируса - сложный процесс, который может потребовать отключения части вашей сети.
- Запретите использование USB stick и заблокируйте весь ненужный трафик в файрволах.