Новый червь, атакующий веб-серверы Linux, поразил более 3500 машин. Он создает злокачественную сеть peer-to-peer и использует ее для нападения на другие компьютеры, бомбардируя их данными.

Как сообщает компания Symantec, которая в пятницу утром обнаружила около 2000 зараженных и активно атакующих компьютеров, червь распространяется довольно быстро - уже к вечеру в пятницу число жертв выросло до 3500. В субботу компания опубликовала свежий бюллетень, в котором предупреждает, что червь продолжает активно действовать, заражая все новые серверы.

Мишенью для червя служат веб-серверы Apache на разных версиях Linux, включая Red Hat, SuSE, Debian, Mandrake и Slackware. Для самокопирования на новые серверы он использует брешь в защите модуля Apache OpenSSL, обеспечивающего работу широкоиспользуемого сервиса шифрования secure socket layer. Бюллетень Symantec содержит анализ кода червя, получившего название Linux.Slapper.Worm, в котором вскрыты некоторые подробности о созданной из пораженных серверов атакующей сети. "Slapper включает ряд peer-to-peer возможностей, которые позволяют ему устанавливать связь с другими клиентами и участвовать в распределенных атаках denial-of-service (DDoS)", - говорится в документе.

Пока не известно, насколько опасен этот червь. В пятницу Symantec присвоила ему степень опасности 2 балла из 5 (пять соответствует максимальной опасности), но в последнем бюллетене она называет опасность "высокой". Лаборатория Касперского в субботу распространила заявление, в котором подчеркивает, что от ее заказчиков не поступало никаких сообщений о заражении компьютеров новым червем.

Создаваемая из зараженных серверов сеть peer-to-peer уже используется для атак на DNS-серверы крупного интернет-сервис-провайдера - сообщение об этом опубликовано на веб-сайте Internet Storm Center, который наблюдает за чрезвычайными происшествиями в Сети, сравнивая данные добровольно присылаемых логов брандмауэров. Дополнительные подробности о создаваемой сети DDoS содержатся в e-mail, распространенном среди клиентов поставщика услуг веб-хостинга RackShack.net. Компания предупреждает администраторов, что несколько ее серверов оказались задействованы в атаках против других провайдеров. "Этим утром мы обнаружили, что более 20 наших машин используются для атаки DoS, - говорится в заявлении системного администратора компании Патрика Смита (Patrick Smith). - Сейчас мы обследуем пострадавшие хосты: виновником, похоже, является червь".

[Роберт Лемос (Robert Lemos), CNET News.com]