“Любовный” вирус не успокаивается
ЗАЩИТА ДАННЫХ
Вирус типа “I Love You” и его штаммы продолжают приносить корпорациям огромные убытки. Так, к 5 мая компьютерная скорая помощь Университета Карнеги - Мелона (США) зафиксировала заражение 270 тыс. компьютеров. Среди пострадавших - компания “Форд”, ЦРУ, Конгресс США. Кроме Америки случаи заражения отмечены в Канаде, Азии, Скандинавии, Германии, Франции, Великобритании и т. д. (всего более 20 стран).
Общий ущерб, нанесенный вирусом, уже превысил 10 млрд. долл. В настоящий момент практически все поставщики антивирусных продуктов выпустили обновления вирусных баз для обнаружения этого вируса, доступные с их сайтов. Пользователи, не имеющие антивирусов, могут воспользоваться онлайновыми услугами и проверить свои компьютеры через Интернет (так, например, онлайновые узлы www.McAfeeB2B.com и www.mycio.com за сутки проверили более 20 тыс. компьютеров).
Аналитики отмечают, что если появившийся в прошлом году вирус Melissa (см. PC Week/RE, № 13/99, с. 17) поразил около 20% компьютеров США, то вирус “I Love You” - свыше 50%. Возможно, это связано с тем, что новоявленный Интернет-червь использует Microsoft Outlook для рассылки своих копий по всем адресам, входящим в адресную книгу, а не по первым 50 или 60, как это делали Melissa и ее клоны. Есть еще одна особенность этого вируса - он пытается скачать из сети Интернет и исполнить файл WIN-BUGSFIX.EXE, троянскую программу, ворующую пароли пользователя и отправляющую их на адрес: MAILME@SUPER.NET.PH.
Пока известно семь вариантов вируса “I Love You”, но ожидается, что в ближайшую неделю их число значительно вырастет. Наиболее опасным из них пока признан штамм “Mother’s Day virus”. Он содержит сообщение, что с кредитной карты адресата снято $326,92 на подарок по случаю Дня Матери (американский национальный праздник, отмечаемый 14 мая), и требует тщательно проверить прилагаемый счет. Как только адресат открывает файл, якобы содержащий счет, вирус активизируется и начинает уничтожать файлы .INI и .BAT, что может привести к гораздо более тяжелым последствиям, чем уничтожение аудио- и видеофайлов вирусом “I Love You”. Два других штамма маскируются под сообщение о новом вирусе! Так, вариант “LoveLetter G” рассылается под заголовком “Virus ALERT!!!” как предупреждение от антивирусного центра компании Symantec и содержит текст “Dear Symantec customer, Symantec’s AntiVirus Research Center began receiving reports regarding VBS.LoveLetter...”. Прилагаемый файл с вирусом называется protect.vbs.
Вариант “LoveLetter F”, обнаруженный в ночь на 6 мая антивирусной лабораторией McAfee AVERT, рассылается под названием “Dangerous Virus Warning” и содержит текст “There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it”. Прилагаемый файл с вирусом в этом случае называется virus_warning.jpg.vbs.
Высокая скорость появления новых штаммов объясняется тем, что все получатели вируса имеют его исходный код, который могут модифицировать и запускать далее.
Как защититься от таких вирусов? Самая общая рекомендация, она есть в любом антивирусном буклете “ДиалогНауки” (www.DialogNauka.ru), - не открывать подозрительные файлы, полученные по почте. Однако пользователи любопытны и склонны не следовать рекомендациям, ограничивающим их “свободу”.
Еще один путь - установить антивирус для MS Exchange и постоянно обновлять его. Сейчас такие продукты предлагают практически все ведущие поставщики антивирусных продуктов. Единственная проблема в этом случае - время изготовления и получения соответствующих апдейтов. Скорость распространения вируса “I Love You” была такой высокой, что к моменту изготовления и распространения апдейта вирусных баз большинство корпоративных сетей уже оказалось заражено этим вирусом.
Для ускорения доставки антивирусных апдейтов некоторые разработчики применяют так называемую push-технологию, “проталкивающую” обновление вирусных баз непосредственно на компьютер с антивирусом сразу же после того, как такие апдейты появляются (к великому сожалению, большинство клиентских антивирусных баз устроены так, что регулярность их обновления целиком определяется самим пользователем).
Интересное решение предлагает компания Network Associates (www.nai.ru). Выпущенный в марте этого года специализированный продукт McAfee GroupShield 4.5 for MS Exchange содержит не только ряд новых функций обеспечения защиты почтовых систем, но и включает в себя уникальный механизм Outbreak Manager, реагирующий на лавинообразный рост числа почтовых сообщений в сети. Такая технология позволяет остановить эпидемию почтовых рассылок, вызываемых вирусами типа Melissa, “I Love You” и “Mother’s Day virus” сразу же, как только они начинают работать, т. е. задолго до того, как антивирусные компании получат образец вируса, изготовят апдейт своих продуктов и доставят этот апдейт пользователям.
Outbreak Manager реагирует на необычную активность в корпоративных сетях и предупреждает возникновение эпидемий, сообщая администратору о подозрительном нарастании числа пересылаемых почтовых сообщений. Эта же методика позволяет пресекать некоторые типы хакерских атак, строящихся на генерации большого числа фальшивых обращений для перегрузки корпоративных серверов.
В России демонстрационные версии ПО Network Associates можно получить в компании ACT Group (www.act.ru), являющейся ее привилегированным партнером (см. PC Week/RE, № 11/2000, с. 10).
ACT Group: (095) 232-5688.