ПОЧТОВЫЙ ВИРУС И ЕГО ХОЗЯИН ПОЙМАНЫ

В начале прошлой недели быстрораспространяющийся вирус заставил несколько больших корпораций закрыть свои e-mail сервера. Перед компьютерными гениями мира, наконец-то появилась проблема, достойная решения. Вирус распространялся настолько быстро, что к понедельнику многие американские корпорации предпочли провести несколько деньков без e-mail, причем половина из них была вынуждена предпринять такую меру в связи с буйством вируса в корпоративной сети

Ярослав Ведмидь

Новый вирус Melissa появился в Internet 26 марта и распространился по всему миру на протяжении нескольких часов. За последние 10 лет это второй случай появления вируса, вызвавшего немедленный всемирный резонанс. Последний раз подобная угроза всемирной компьютерной безопасности возникала в 1994 году, когда появился вирус, позволяющий хакерам коллекционировать пароли.

Вирус представляет собой вор-довский макрос и попадает на компьютеры посредством e-mail. Электронное послание с макросом поступает вместе с сообщением "Important message from....". Поскольку вирус распространяется через адресные книги "жертв", вполне возможно, что его адресантом будет кто-то из ваших друзей, коллег или клиентов. В главной части письма утверждается, что приложенный файл list.doc не что иное как "документ, который вы просили".

После того, как вы откроете приложенный файл, макрос без вашего ведома рассылается по 50 первым электронным адресам. Melissa заражает компьютеры, оснащенные текстовыми редакторами Microsoft Word 97, Word 2000, а также почтовыми программами Microsoft Outlook, Outlook Express.

Единственный существенный вред от вируса — забивание каналов связи компаний и замусоривание Internet. Менее вероятным и всевозможным последствием является отправка по электронной почте тех файлов, которые были открыты в момент активизации макроса. Таким образом, может произойти утечка секретной информации. Хотя этот момент скорее произвольный и не задумывался хакером изначально.

Избежать вреда можно просто не открывая приложения в подозрительных посланиях

2 дня счастья и 5 лет тюрьмы

Отпор вирусу был дан на уровне. Уже в понедельник многие компании, занимающиеся разработкой антивирусных программ предлагали скачать на их сайтах различные программы обезвреживающие вирус Melissa. Но до этого момента большинство больших корпораций уже были поражены, и вовсю рассылали по всему миру list.doc. Среди таковых была и Microsoft и Intell.

В тот же понедельник за дело взялось и ФБР, для начала официально предупредив об опасности. Относительно же хитроумного хакера следователи сообщили, что в случае поимки ему грозит штраф в $250 000 и от 5 до 10 лет тюрьмы. По состоянию на понедельник о создателе вируса было известно только то, что в завирусованном послании он называет себя Kwyjibo.

Хакеры в это время тоже не сидели сложа руки. Вслед за заявлением ФБР в мире появился новый Melissa-подобный вирус Papa. Разница между ними состоит в том, что Melissa содержит вордовский файл, а Papa екселевский path.xls Первая попытка распространить Papa не удалась из-за синтаксической ошибки, допущенной авторами, но через несколько часов появилась новая версия, которая оказалась вполне работоспособной. Papa саморассылается по 60 адресам из адресной книги.

Через несколько дней компания Phar Lap Software объявила о том, что нащупала некоторые следы хакера. Каждый документ Microsoft содержит digital fingertip, то есть уникальный идентификационный номер, называемый GUID. Исследование GUID документов с вирусами было избрано для поисков хакера.

В среду от Phar Lap Software появилась информация, что создатель вируса использует никнейм "VicodinES" и распространил вирус используя украденный эккаунт одного из пользователей AOL. Хозяин эккаунта инженер Скот Штейнмец едва умеет работать с наиболее популярными приложениями, поэтому как подозреваемый не рассматривался.

Однако GUID не может служить доказательством, поскольку разные пользователи часто обмениваются документами, и могут использовать те или иные их части. Оказалось, что тот, кто именует себя "VicodinES" или "Alt-F11", имеет на своем счету еще несколько вирусов, менее успешных. Вся эта информация была передана в ФБР.

В четверг, 1 апреля, ФБР нашла хакера. Им оказался 30-летний американец Дэвид Смит. Он был задержан полицией Нью-Джерси, и уже через несколько часов выпущен под залог $100 000.

Генеральный прокурор штата Нью-Джерси Питер Верньеро считает, что к созданию вируса Дэвида Смита побуждало желание посмотреть "получится ли то, что на самом деле и получилось".

Сам Смит пока комментариев по своим действиям не давал.

К концу недели отставки вируса добивались просвещенными юзерами.

Список файлов, которые не следует открывать в случае получения:

path.xls

compu_ma.exe

list.doc

photos17.exe

happy99.exe

IBMls.exe

picture.exe

yahoo.exe

ie0199.exe

aol4free.com

Ход конем

Способ атаки компьютеров, который был избран Дэвидом Смитом, называется "Троянский конь". Обычно авторы вирусов рассчитывают на доверчивого пользователя, который откроет завирусованный документ или программу. "Троянские кони" используются для похищения информации, установления программ, которые позволяют собирать пароли, форматирования жесткого диска и прочих пакостей. В случае с вирусом Melissa, автор использовал идею вируса "червяк", который самораспространяется через электронную почту. Автор червяка Роберт Морис создал свое детище в 1998 году без злого умысла (по его словам), однако ошибки в вирусе способствовали выводу из строя около 6 тыс. компьютеров.

Избрав этот метод атаки, автор вируса должен заставить жертву открыть документ или программу. Дэвид Смит, например, написал, что это важное сообщение и распространил первые копии вируса через порносайт.

Таким образом, избежать вреда можно просто не открывая приложения в подозрительных посланиях.

Одной из наиболее опасных форм "Троянского коня" может быть совмещение его с другой формой атак — с ипользованием HTML тагов. В случае симбиоза этих двух форм, может получиться вирус, который будет автоматически запускаться при попадании на ваш компьютер. Однако до сих пор таких примеров, имеющих массовые последствия, не было.

****