Начало эпидемии Slammer

Обычно антивирусные компании обмениваются образцами обнаруженных вредоносных программ друг с другом практически немедленно после их обнаружения, невзирая на общую конкурентную ситуацию. Это делается для того, что бы все существующие клиенты смогли вовремя обновить свои базы и эффективно противостоять атаке. Поражение червем Slammer несопоставимо с трагедией, например, 11 сентября, однако для интернета оно является событием именно такого масштаба. Телекоммуникационные системы Азии и Европы работали очень медленно, а банкоматы в Северной Америке перестали выдавать наличные. Также прекратили работу некоторые системы резервирования и заказа авиабилетов.

О том, что компании Symantec было известно о проблеме заранее, стало официально известно из пресс-релиза, распространенного Symantec и посвященного продукту DeepSight Threat Management System. В частности, в нем сообщается, что компания «обнаружила червя за несколько часов до того, как он начал активно размножаться», после чего «была запущена процедура извещения (пользователей DeepSight), позволявшая администраторам противостоять атаке».

Как сообщает Wired News, многие эксперты были сильно разозлены тем, что Symantec не распространил никакой информации о том, что в компании имеются сведения о Slammer . «Подобное поведение я могу назвать только огромной халатностью, - заявил Джеф Джонстон(Jeff Johnstone), эксперт консалтинговой фирмы Diamond Technical Group, занимающейся проблемами безопасности. - Это была не обычная информация о баге или заражении, речь шла о глобальной атаке на инфраструктуру интернета. Такой тип информации всегда быстро распространяется среди сообщества экспертов по безопасности». «Я сильно удивлен тем, что компания имела информацию о серьезном черве и не распространила ее, - заявил системный администратор Ли Джи-хо из корейской телефонной компании. - Моя страна сильно пострадала от Slammer , и мы могли бы подготовиться к нему и, быть может, избежать тех последствий, которые произошли».

Южная Корея была отрезана от интернета в течение почти 24 часов вследствие заражения червем Slammer . Г-н Джонстон отметил, что в случае своевременного информирования системных администраторов компанией Symantec, они могли бы остановить эпидемию, всего лишь заблокировав порт 1434. «Symantec должен был объявить о вирусе и сделать это очень громко», - считает г-н Джонстон.

Как сообщается в итоговых отчетах, червь в течение 10 минут 24 января сумел парализовать работу 75 тысяч серверов. Также были поражены тысячи других серверов по всему миру. Зараженные компьютеры рассылали миллионы копий червя по всему интернету, значительно замедляя трафик и блокируя исполнение многих бизнес-приложений.

Однако, согласно более позднему заявлению официального представителя Symantec, компания сообщила подписчикам DeepSight о черве примерно в это же время в пятницу, 24 января. Он также сообщил, что Symantec действительно не опубликовала для широкого обзора информацию о черве сразу после ее появления у компании. Также было объявлено, что и впредь подписчики DeepSught смогут получать информацию раньше, чем о ней будет официально объявлено.

Впрочем, несмотря на столь серьезные обвинения, некоторые эксперты не считают информацию об осведомленности Symantec объективной. «Я считаю это больше маркетинговым ходом, - заявил исследователь Роберт Феррел. - Они могли наблюдать некоторые изменения трафика из-за активности червя, но я уверен, что они не могли идентифицировать источник распространения и точную причину этой активности. Однако, если они сумели идентифицировать и корректно определить признаки червя Slammer раньше всех остальных, и при этом избрали тактику не делать эту информацию публичной, то они должны отвечать за нарушения в работе и разрушения, нанесенные червем наравне с автором».