Червь Сапфира, ударивший Интернет 2 недели назад, был самой быстрой компьютерной инфекцией распространения в истории, согласно новому техническому отчету, авторы которого называют эту последнюю инфекцию этапом в развитии червя.В отличие от компьютерных вирусов, которые включают себя в программы и не могут распространиться без помощи, компьютерные сети использования червей для размножения. Сапфир, также названный Тюрьмой, дебютировал в 21:30 тихоокеанское время 24 января и распространился больше чем к 75 000 компьютеров во всем мире за несколько минут, выбив 911 аварийных служб, банкоматы и авиакомпанию онлайновые системы покупки билетов, а также отклонив доступ в Интернет к миллионам.
В технической работе, опубликованной онлайн вчера, следователи сообщают, что в течение первых взрывчатых минут нападения Сапфир, червь удваивал свои числа каждые 8.5 секунд, больше чем в 250 раз более быстрый, чем Кодекс Красный червь, напавший на Интернет в июле 2001 (см. сравнение). В течение 10 минут Сапфир заразила больше чем 90% ранимых хозяев. «Это стало настолько быстрым, это фактически вмешалось в его дальнейший рост, потому что это забило доступную пропускную способность», говорит соавтор исследования Дэвид Мур в Супервычислительном центре Сан-Диего.Тайна успеха червя была своим крошечным размером. Инструкции Сапфир были только 376 байтов длиной о длине этого параграфа.
Такая краткость позволила Сапфир вписываться в сетевые пакеты, компьютерные системы совокупностей данных обмениваются онлайн. Путем эксплуатации причуды в серверах управления базой данных Microsoft SQL (и настольный эквивалент), Сапфир быстро послала себя потенциальным жертвам.
Например, зараженный настольный компьютер с типичной связью DSL мог раздать примерно 300 копий в секунду червя; более быстрый университет или корпоративный сервер могли послать копии до 100 раз быстрее. Для сравнения Кодекс Красный червь только посылал шесть копий себя каждую секунду.
Вспышка утихла приблизительно после 24 часов, поскольку сетевые администраторы применили участок программного обеспечения от Microsoft. Поскольку Сапфиру не приложили злонамеренный полезный груз к нему, это нанесло ущерб просто путем затопления сетей поддельным трафиком. Однако Мур говорит, что более зловещий червь, несущий до 1 500 байтов – достаточно пространства для добавления стирающие данные инструкции или другие противные команды – был бы почти как быстро.
«Это исследование ясно указывает, что существенно новый подход безопасности требуется», говорит Кери Нэкэнберг, аналитик по ценным бумагам в научно-исследовательских лабораториях Symantec в Купертино, Калифорния. Ответы на компьютерный вирус / червь, как правило, «занимают часы и требуют, чтобы компании отловили и проанализировали угрозу в лаборатории, произвели отпечаток пальца и распределили отпечаток пальца миллионам пользователей», говорит он. «К тому времени, когда традиционное лечение готово, большая часть восприимчивых машин могла поставиться под угрозу такой угрозой вспышки».