Новости / август 2003

Война между вирусами. И гениальный "червь", написанный итальянкой


25.08.2003

Вирус, уничтожающий другой вирус и скачивающий на компьютер средства защиты. Такого еще не было. Но историю с дракой червей в Сети затмила новая эпидемия вируса-пирамиды.

Последние недели лета оказались очень урожайными на интересные вирусы. Во второй декаде августа эксперты зафиксировали появление нового "червя", получившего названия Lovesan, Blaster, MSblast и др. Многообразие имен не должно удивлять - новую эпидемию обычно практически одновременно регистрируют несколько антивирусных фирм, и каждая из них дает ему имя. После чего отказаться от "своего" имени в пользу названия, выбранного конкурентами, естественно, никак не возможно.

Как уже рассказывал "Русский Фокус" (см. № 27 от 18.08.2003 г., с. 19), в теле нового червя содержались упреки в адрес Билла Гейтса, зарабатывающего деньги вместо того, чтобы исправлять ошибки в программах Microsoft. И в назначенный день все компьютеры, зараженные Lovesan, должны были осуществить атаку на майкрософтовский сайт обновлений операционной системы Windows (windowsupdate.com) и "обрушить" его.

Задуманная эффектная атака не удалась. Как выяснилось, авторы червя были не в курсе, что сейчас Microsoft раздает обновления операционной системы вовсе не с сайта windowsupdate.com. Адрес совсем другой, а посетителей сайта с указанным именем просто "перебрасывали" по правильному адресу. Ну а в критический день господа из Microsoft просто отключили эту переадресацию - и из атаки ничего не вышло.

Через несколько дней после неудавшейся атаки на Microsoft мировые новостные агентства с удивлением сообщили о появлении в Сети вируса, излечивающего компьютеры от Lovesan. Возможно, здесь не обошлось без майкрософтовских программистов. Новый червь, получивший имя Welchia, во-первых, принудительно прекращает работу Lovesan и стирает принадлежащие ему файлы, во-вторых, проверяет, загружена ли на данный компьютер "заплатка" для Windows, закрывающая "дыру" в защите, которую использует Lovesan. Если не загружена - с сайта Microsoft (на этот раз с правильного адреса!) загружаются необходимые исправления.

"Вирусы воюют с вирусами, - поражаются интернет-журналисты. - "Хакеры дерутся друг с другом. Неужели они думают, что нас они уже победили?!" Легенды о благородном вирусе перепечатывает пресса разных стран.

Но вирус - это всегда опасно. И эксперты, посвятившие жизнь борьбе с этой заразой, не верят в благородство неизвестных хакеров. Российская антивирусная компания "Лаборатория Касперского" даже выпустила специальное предупреждение о том, что "Полезных вирусов не бывает. Эти два понятия несовместимы. Побочные действия Welchia по удалению Lovesan и попытке обновления Windows - это верхушка айсберга, которая вводит пользователей в заблуждение. Настоящее значение этой вредоносной программы скрывается под водой и может остаться незамеченным". Имеется в виду, что "добрый" червь Welchia, как и многие другие вирусы, делает компьютер беззащитным перед атакой извне. И с помощью используемых в этом формально безобидном вирусе средств посторонний человек (и в том числе - неизвестный автор этого вируса) может проникнуть в зараженный компьютер и натворить там много гадостей.

Тем временем мир потрясла эпидемия нового вируса, затмившая приключения Lovesan. Червя Sobig, созданного известной итальянской вирусописательницей, работающей под псевдонимом Gigabyte, некоторые из антивирусных экспертов называют гениальным. Он работает по принципу пирамиды, и каждая новая эпидемия - Sobig.a, Sobig.b, Sobig.c... - охватывает все большее количество компьютеров в мировой сети.

Компьютеры, зараженные во время всех предыдущих эпидемий Sobig, ожидают, когда из Интернета поступит приказ на дальнейшие действия. Периодически из Сети приходит приказ рассылать по списку адресов новую версию этого червя. В принципе, в перерыве между "волнами" Sobig, заставить работать на себя компьютеры-зомби может и не имеющий никакого отношения к написанию этого вируса человек. Например, зараженные ПК (а их к настоящему времени насчитываются уже многие тысячи) можно использовать для спамовой рассылки без ведома владельцев этих компьютеров. Так что создательница этой вирусной пирамиды могла бы, в принципе, приторговывать результатами своей деятельности.

Начавшаяся в конце прошлой недели эпидемия шестой версии червя Sobig.f сравнилась по масштабам с крупнейшими вирусными атаками в истории Сети. По словам руководителя информационной службы "Лаборатории Касперского" Дениса Зенкина, теперь специалисты по борьбе с вирусами с тревогой ожидают новой волны - Sobig.g - которая предположительно должна прийтись на первую декаду сентября.

Источник: "Русский фокус" от 25 августа 2003 года