Статья только в электронной версии журнала
Маркетинг
Владимир Митин
Remote Explorer: не так страшен черт, как его малюют! или Рецепт приготовления слона из мухи
23 декабря корпорация Symantec (www.symantec.com) сообщила о том, что спустя всего 8 часов после получения образца вируса Remote Explorer (он распространяется по сети и поражает компьютеры, работающие под управлением операционной системы Windows NT) Центр антивирусных исследований компании (SARC, Symantec Antivirus Research Center) совместно с лабораторией им. Т. Дж. Уотсона корпорации IBM разместил в Интернете набор его определений и описание механизма обнаружения на всех компьютерных платформах.
“В настоящее время вирус не представляет угрозы для широкого компьютерного сообщества, однако администраторам и конечным пользователям необходимо иметь на своих системах новейшие непрерывно действующие средства антивирусной защиты, - отметил Энрик Салем, вице-президент подразделения Symantec по безопасности и поддержке. - Более того, Remote Explorer не может проникнуть в сеть через брандмауэр, сконфигурированный надлежащим образом”.
24 декабря “Лаборатория Касперского” (ЛК, www.avp.ru) выступила со следующим заявлением (печатается с сокращениями. - В. М.).
“Несколько дней назад компьютерная общественность была извещена о новом сетевом вирусе-монстре, поражающем серверы Windows NT и компьютерные сети, работающие под их управлением. Информация исходила от компании Network Associates International (NAI, бывшая McAfee).
Одним из наиболее интересных моментов в этом событии явилось то, что после появления информации о вирусе ни одна компания, кроме NAI, не получила его образца для самостоятельного изучения. Обычно разработчики антивирусных программ в той или иной мере помогают друг другу в борьбе с принципиально новыми вирусами (обмениваются их образцами и технической информацией о методах их обнаружения и удаления) для скорейшей модернизации своих антивирусных программ. Однако в этот раз такого не произошло: в течение пяти дней фирма NAI не выпускала вирус из своих рук и всячески раздувала шумиху вокруг него. Образец вируса не получили даже члены международной антивирусной организации CARO (Computer Anti-virus Researchers Organization).
Наконец, образец вируса был получен нашими сотрудниками и исследование началось. Каково же было всеобщее удивление, когда в нем не было обнаружено практически ничего “супер-технологического”, о чем так громко заявляли пресс-релизы NAI. Мы разложили вирус “по косточкам”, однако ничего экстраординарного найти не удалось.
Да, новинка является первым “настоящим” NT-вирусом и может восприниматься как некий супер-вирус, заражающий серверы NT. Но на самом деле, судя по стилю программирования, он был написан разработчиком среднего уровня, который имеет доступ к документации NT DeviceDevelopmentKit.
Данный вирус является всего лишь обычным файловым вирусом, однако исполненным как WinNT-сервис. Он не сложнее многих других Windows- и DOS-вирусов. Более того, появление подобного вируса не является неожиданностью: о возможности существования “настоящих” NT-вирусов говорили уже очень давно.
Интересно также отметить, что это не первая подобная громкая кампания, проводимая NAI (McAfee). Так, в 1992 г. по поводу загрузочного вируса Michelangelo (Stoned.March6) было объявлено, что очередного 6 марта будет разрушена информация более чем на 5 млн. компьютеров. В результате поднявшейся после этого шумихи прибыли McAfee поднялись в несколько раз, а от вируса в действительности пострадали всего около 10 тыс. машин.
ЛК, как и большинство антивирусных компаний мира, мягко говоря, удивлена подобным поведением NAI - одного из признанных лидеров антивирусного бизнеса. Мы считаем, что единственной задачей этого “битья в барабаны” было привлечение внимания к NAI как к “супертехническому” эксперту в области защиты от вирусов, с естественным исходом - заработать за счет перепуганных пользователей Windows NT как можно больше денег. Технические детали WinNT.RemEx (Remote Explorer) можно найти на сайте нашей компании”.