Анализ, проведенный специалистами, показал, что схема распространения компьютерного вируса была примерно следующей: сеть Arpanet — Milnet — Science Internet — NSF net. В результате вирус практически вывел эти сети из строя. Минимум на два дня прекратились все научно-исследовательские работы.

При этом, учтите, не было известно, «ушел» ли вирус через Лондон в Западную Европу. Как сообщилось впоследствии в «Уолл-стрит джорнэл», вирус все-таки сумел по Internet достичь Европы и Австралии, где также были зарегистрированы случаи блокировки компьютеров.

Как невозможно сейчас восстановить хронологию вирусной атаки, так же невозможно точно установить, сколько времени потребовалось на локализацию вируса и сколько людей в этом участвовало. Но представляется правомочным предположение, что обе эти цифры весьма и весьма значительны. Судите сами…

…Продолжается 3 ноября.

15:00 Первые сообщения о том, что инфицированным узлам и другим пользователям направлен антидот.

21:00 Первое интервью в MIT, посвященное вирусу.

21:20 RISKS Разослан «worm condom» — «презерватив от червя».

22:04 RISKS Разослано сообщение о способе борьбы с вирусом, состоящем в размещении в библиотеке С внешней переменной с именем «pleasequit», установленной в ненулевое значение.

Как только DCA узнало о вирусе, оно сразу же поставило в известность об этом ФБР, которое расценило инцидент как «дело самого высокого приоритета» и начало расследование. Одновременно с ФБР самостоятельные расследования начали само DCA и NCSC (National Computer Security Center — Национальный центр компьютерной безопасности). Специалисты последнего центра, дезассемблировав вирус, заявили, что он создан с большим искусством и умело использует ряд уязвимых мест сети Arpanet.

Многие специалисты в области безопасности компьютеров отмечали оперативность, с которой отреагировали на появление в своих системах вируса пользователи. Уже 3 ноября практически во всех ведомствах и учреждениях, вычислительные системы которых были поражены вирусом, начали формироваться специальные группы для ликвидации последствий инцидента.

После первого шока, вызванного молниеносной вирусной атакой, специалисты стали анализировать ситуацию, в результате чего выяснились некоторые интересные факты.

Во-первых, вирус поразил не все системы — ряд систем остались нетронутыми в силу того, что работающие на них системные программисты переписали программы, входящие в систему безопасности с учетом обнаруженных недостатков в промышленных версиях этих программ. Иными словами, недостатки системы безопасности, позволившие вирусу блокировать тысячи компьютеров, были известны ранее (!), но лень или халатность разработчиков и системщиков спровоцировали свалившуюся напасть. Эх, знать бы, где упадешь — соломки подостлал бы!

Во-вторых, вирус использовал в процессе своего распространения подсистему отладки — даже родился термин «отладочный хук».

В-третьих, вирус, по всей видимости, был сетевым червем, поскольку ни одна из существовавших до атаки программ не была в ходе атаки искажена.

Это, так сказать, косвенные догадки.

Но с самого начала мощные компьютерные центры начали дезассемблирование вируса. Именно дезассемблирование могло дать ответ на три главных вопроса: что это такое, чем это грозит и как с этим бороться. Впрочем, следственные органы интересовали и другие вопросы: откуда именно стал распространяться вирус, какой «шутник» его запустил и кто является автором столь «удавшейся» программы. По ряду причин получить ответ на это вопрос оказалось крайне непросто.

В частности, в калифорнийском университете в Беркли ранним утром 3 ноября специалистам удалось «выловить» копию вирусной программы и приступить к ее анализу. Уже в 5 часов утра того же дня специалистами этого университета был разработан «временный набор шагов», которые рекомендовалось предпринять, чтобы приостановить распространение вируса: например, высказывалось предложение «залатать» предложенным образом обнаруженные промахи в работе утилиты Sendmail.

Около 9 часов утра специалисты университета в Беркли разработали и разослали программные «заплаты» для ВСЕХ промахов в системном программном обеспечении, позволявших вирусу распространяться; а специалистами другого университета — в Пурду — примерно в это же время было разослано описание метода борьбы с программой-захватчиком, не требующего модификации системных утилит.

Пятница, 4 ноября 1988 года.

00:27 RISKS Сообщение из университета в Пурду, содержащее довольно полное описание вируса, хотя по-прежнему, осталось неизвестным, что именно «вирус предполагает делать окончательно».