Общий ущерб, нанесенный вирусом, уже превысил 10 млрд. долл. В настоящий момент практически все поставщики антивирусных продуктов выпустили обновления вирусных баз для обнаружения этого вируса, доступные с их сайтов. Для пользователей, не имеющих антивирусов, доступен онлайновый сервис по проверке компьютеров через Internet (так, например, узлы онлайновой проверки www.McAfeeB2B.com и www.mycio.com выполнили за сутки проверку более 20 тыс. компьютеров).
Аналитики отмечают, что если появившийся в прошлом году вирус Melissa (см. PC Week/RE, № 13/99, с. 17) поразил около 20% компьютеров США, то вирус "I Love You" -- свыше 50%. Возможно, это связано с тем, что новоявленный Интернет-червь использует Microsoft Outlook для рассылки своих копий по всем адресам, входящим в адресную книгу, а не по первым 50 или 60, как это делали Melissa и ее клоны. Есть еще одна особенность этого вируса -- он пытается скачать из сети Internet и исполнить файл WIN-BUGSFIX.EXE, троянскую программу, ворующую пароли пользователя и отправляющую их на адрес: MAILME@SUPER.NET.PH.
Пока известно 7 вариантов вируса "I Love You", но ожидается, что в ближайшую неделю их число значительно вырастет. Наиболее опасным из них пока признан штамм "Mother's Day virus". Он содержит сообщение, что с кредитной карты адресата снято $326,92 на подарок по случаю Дня Матери (американский национальный праздник, отмечаемый 14 мая) и требует тщательно проверить прилагаемый счет. Как только адресат открывает файл, якобы содержащий счет, вирус активируется и начинает уничтожать файлы .INI и .BAT, что может привести к гораздо более тяжелым последствиям, чем уничтожение аудио- и видеофайлов вирусом "I Love You". Два других штамма маскируются под сообщение о новом вирусе! Так, вариант "LoveLetter G" рассылается под заголовком "Virus ALERT!!!" как предупреждение от антивирусного центра компании Symantec и содержит текст "Dear Symantec customer, Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter...". Прилагаемый файл с вирусом называется protect.vbs.
Вариант "LoveLetter F", обнаруженный в ночь на 6 мая антивирусной лабораторией McAfee AVERT, рассылается под названием "Dangerous Virus Warning" и содержит текст "There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it". Прилагаемый файл с вирусом в этом случае называется virus_warning.jpg.vbs.
Высокая скорость появления новых штаммов объясняется тем, что все получатели вируса имеют его исходный код, который могут модифицировать и запускать далее.
Как защититься от таких вирусов? Самая общая рекомендация, она есть в любом антивирусном буклете "ДиалогНауки", -- не открывать подозрительные файлы, полученные по почте. Однако пользователи любопытны и склонны не следовать рекомендациям, ограничивающим их "свободу".
Еще один путь -- установить антивирус для MS Exchange и постоянно поддерживать его в актуальном состоянии. Сейчас такие продукты предлагают практически все ведущие поставщики антивирусных продуктов. Единственной проблемой в этом случае является время изготовления и получения соответствующих апдейтов. Скорость распространения вируса "I Love You" была такой высокой, что к моменту изготовления и распространения апдейта вирусных баз, большинство корпоративных сетей уже оказалось заражено этим вирусом.
Для ускорения доставки антивирусных апдейтов некоторые разработчики применяют так называемую push-технологию, "проталкивающую" обновление вирусных баз непосредственно на компьютер с антивирусом сразу же после того, как такие апдейты появляются (к великому сожалению, большинство клиентских антивирусных баз устроены так, что регулярность их обновления целиком определяется самим пользователем).
Интересным выглядит решение, предлагаемое компанией Network Associates. Выпущенный в марте этого года специализированный продукт McAfee GroupShield 4.5 for MS Exchange предлагает не только ряд новых функций обеспечения защиты почтовых систем, но включает уникальный механизм Outbreak Manager, реагирующий на лавинообразный рост числа почтовых сообщений в сети. Такая технология позволяет остановить эпидемию почтовых рассылок, вызываемых вирусами типа Melissa, "I Love You" и "Mother's Day virus" сразу же, как только они начинают работать, т. е. задолго до того, как антивирусные компанию получат образец вируса, изготовят апдейт своих продуктов и доставят этот апдейт пользователям.
Outbreak Manager реагирует на необычную активность в корпоративных сетях и предупреждает возникновение эпидемий, сообщая администратору о подозрительном нарастании числа пересылаемых почтовых сообщений. Эта же методика позволяет пресекать некоторые типы хакерских атак, строящиеся на генерации большого числа фальшивых обращений для перегрузки корпоративных серверов.
В России демонстрационные версии ПО Network Associates можно получить в компании ACT Group, являющейся ее привилегированным партнером (см. PC Week/RE, № 11/99, с. 10).
ACT Group: (095) 232 5688.
