Ve večerních hodinách v pondělí 11.srpna se začaly na počítačích řady uživatelů dít podivné věci – nejčastěji docházelo k opakovanému samovolnému restartu (s odpočtem 60 sekund) a k silné síťové aktivitě. Během několika hodin bylo jasné, že se jedná o nový virus, který dostal jméno Blaster (nebo Lovsan). Tento virus se vůbec nešíří elektronickou poštou, ale využívá bezpečnostní chybu v systémech Windows NT4/2000/XP. Tato chyba, nazývaná "Buffer Overrun In RPC Interface" (nebo též DCOM/RPC či MS03-026), byla objevena 16. července 2003. Firma Microsoft na její odstranění okamžitě vydala speciální záplatu. Nicméně, jak se brzy ukázalo, velká většina uživatelů bezpečnostní záplaty nepoužívá, a tak měl virus otevřenou obrovskou cestu pro svoje šíření.

Win32:Blaster je dlouhý 6176 slabik a je zkomprimován programem UPX. Po svém spuštění používá sekvenční hledání IP adres od náhodně vygenerované adresy. Algoritmus preferuje sítě sousedící s infikovaným počítačem. Win32:Blaster tak zkouší najít další vhodné cíle napadení. Vždy zkoumá 20 po sobě následujících adres a pokouší se připojit na port 135. Pokud je úspěšný, zkusí několik různých různých metod, jak využít výše zmíněnou bezpečnostní díru na vzdáleném počítači. V případě, že se mu to podaří, zkopíruje sebe sama na vzdálený počítač pomocí TFTP (Trivial File Transfer Protocol). Poté, co je červ úspěšně přenesen a uložen pod jménem msblast.exe, je na vzdáleném počítači spuštěn. Červ se šíří bez zásahu uživatele a opravdu nesmírně rychle: odhaduje se, že během prvního dne napadl více než půl milionu počítačů.

Červ byl naprogramován tak, aby od 16. srpna zahltil ze všech postižených počítačů útokem typu DDoS (Distributed Denial of Service) počítač windowsupdate.com firmy Microsoft. Naštěstí byla tato doména jen „virtuální“ a nebyla přímo službou Windows Update využívána, takže se ji podařilo včas odstavit a útok se nekonal. Štěstím bylo i to, že červ způsoboval již výše zmíněný vynucený restart operačního systému XP, takže na svoji přítomnost brzy upozornil – jinak by byl schopen přežívat po velice dlouhou dobu.

Paniky uživatelů kolem viru Blaster využívá i další úspěšný červ Win32:Dumaru, který se šíří klasicky přes elektronickou poštu. Přichází ze zfalšované adresy security@microsoft.com s textem „Use this patch immediately !“ a s připojeným souborem patch.exe.

Už 19. srpna se objevil původce další obrovské virové epidemie – Win32:Sobig-F. Je dalším červem, který patří do nechvalně známé rodiny Win32:Sobig a o kterých jsme tu už několikrát mluvili. Jeho šíření je opět časově omezeno – tento červ se přestane šířit 10. září.

Červ falšuje adresu odeslílatele "Od:" ("From:"). Adresa "Od:" ("From:") pak nemá nic společného s počítačem, ze kterého byl infikovaný mail odeslán. Podobně jako jeho předchůdci se červ pokouší stahovat a na počítač instalovat další programy – tentokrát přes 20 počítačů rozmístěných po celém světě a v určitém časovém období několika hodin. Jak už jsme si řekli před dvěma měsíci, existuje vážné podezření, že tyto červy vyrábí nějaká organizovaná skupina, která pak může napadené počítače využít například pro šíření spamu či právě nových variant virů.

Sobig-F se rozšířil velmi rychle, ale celkově napadl méně počítačů než Blaster. Objem infikovaných zpráv však překonal všechna očekávání - červ je jich totiž schopen vygenerovat a odeslat obrovské množství. Zatěžuje tak mailové servery a může vyřadit některé schránky z činnosti. Například na naši technickou podporu do dneška dorazilo takřka 200 000 infikovaných zpráv a jejich četnost bohužel příliš neklesá. Docela si dovedu představit, že pro některé uživatele či firmy se elektronická pošta stává skoro nepoužitelnou.