        .gif)
Софья Разумовская, "CR"
по материалам пресс-релизов компаний Symantec, Лаборатории Касперского, газеты "New York Times"
Вирусы и почта
|
Не дадут пожить спокойно!
Честное слово, до чего надоели сообщения о новых вирусах, распространяемых через Интернет. То макровирусы, теперь вот червь WormExplore.Zip. Хотя с моим личным компьютером и с компьютерами моих знакомых ничего пока не произошло, но мне сообщали достоверные сведения о массовой потере информации вследствие действия вируса "Чернобыль" 26 апреля.
Обратите внимание – передать вирус почтой, заставив вас его активировать, пока невозможно. Если только вы сами не возьметесь, без проверки, открывать присоединенный документ Winword, содержащий макровирус, или не запустите полученный с почтовым сообщением исполняемый файл, вы можете быть уверены в безопасности (пока, по крайней мере).
Сам по себе текст письма содержать вирусы не может. Так что проблема вирусов, распространяемых по электронной почте, - это проблема пользователей, не проверяющих приходящие им письма.
По февральским данным NSCA, среди источников распространения макровирусов на E-Mail Attachment приходится 36%. Для сравнения: "чужие дискеты" - 17%, "загружено из Интернета" - 7%.
Единственное надежное средство, кроме блокирования normal.dot или использования встроенных средств Word 97, это просто настороженный подход ко всем "чужим" данным. Лучше всего сохраните полученный файл и потом, в спокойной обстановке пройдитесь по нему хорошей антивирусной программой. Времени это займет в худшем случае 1-2 минуты, но оно того стоит. Запомните, что сохраненный файл, даже будучи зараженным, не может причинить вам вреда до тех пор, пока вы не попытаетесь его загрузить в соответствующее приложение.
В чем проблема?
6 июня в Израиле был обнаружен новый вредоносный червь под названием Worm.ExploreZip, способный самостоятельно распространяться через почтовые программы на Windows-системах. Вирус распространяется по электронной почте в виде прикрепленного файла zipped_files.exe; сообщение может поступить от известного вам респондента и содержать, например, следующий текст:
Hi 'имя получателя'! I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. Bye.
Червь определяет получателя, просматривая сообщения в папке Inbox (Входящие). При открытии прикрепленного файла появляется окно с сообщением о том, что архив повреждён:
Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup and try again. Please press F1 for help.
Червь копирует себя в директорию c:\windows\system под именем Explore.exe и затем изменяет файл WIN.INI, чтобы программа запускалась каждый раз одновременно с началом работы Windows. Затем червь определяет почтовую программу пользователя, чтобы распространять себя через имеющиеся там почтовые адреса. Пользователь может заметить это, поскольку его почтовая программа запускается во время работы червя.
Более того, в процессе выполнения Worm.ExploreZip просматривает диски с C: по Z: и разрушает все файлы с расширением .c, .cpp, .h, .asm, .doc, .ppt, .xls, делая их длину нулевой. Это может привести к безвозвратной потере данных и неработоспособности компьютера.
Загрызет ли червь?
Термин "червь" впервые появился в научной фантастике в 1975 году в книге Джона Бруннера "Shockwave Rider". Там червями назывались программы, созданные группой повстанцев, которые помогали разрушать вражескую компьютерную сеть.
Трудно провести четкое разделение между понятиями "вирус" и "червь". Многочисленные определения настолько близки по смыслу, что фактически переставляют манипулируют одними и теми же словами. Самое четкое различие – активность и "зловредность" червя, который распространяется сам, без каких-либо действий со стороны пользователя. А вирус чаще переносится пассивно, например, с зараженным файлом на дискете. В общем случае, вирус – более емкое понятие.
Разработчики антивирусных продуктов сообщают, что хотя вирус Worm.ExploreZip поразил меньшее число компьютеров, чем предыдущие вирусы, он нанес им более серьезный ущерб. На пораженных компьютерах уничтожались файлы. Кроме того, вирус распространялся по сети и поражал сразу большое число машин. В результате требовалось немало времени и усилий на восстановление файлов.
На прошлой неделе CERT (Computer Emergency Response Team) сообщила как минимум о 40 подтвержденных случаях заражения вирусом Worm.ExploreZip. Поступают сообщения о том, что червь нанес ущерб таким корпорациям, как Boeing, AT&T, General Electric и Microsoft.
Хотя новый Explore не способен распространиться так стремительно, как Melissa, который рассылал себя сразу 50 пользователям, все-таки высока возможность быстрого размножения, так как зараженная машина пытается заразить другие. И что более важно: если Melissa просто порождает лавину электронной почты с зараженными документами, то Worm.ExploreZip уничтожает данные на машине пользователя.
Вирус Worm.ExploreZip имеет еще одно характерное отличие. Кроме распространения исключительно с помощью электронной почты, в некоторых случаях он передается в локальных сетях. Это происходит в том случае, если зараженная машина имеет доступ к данным на жестком диске другого компьютера ("share").
Специалисты обеспокоены тем, что темпы распространения этого вируса могут быстро возрасти. С января отмечено уже несколько "эпидемий" компьютерных вирусов Worm.ExploreZip, Melissa, Happy99, а также известного уже около года вируса CIH (Chernobyl).
Как защититься
Способ первый – быть осторожным и предотвратить заражение. Способ второй – скачать обновленную антивирусную программу, способную обнаружить и обезвредить вирус Worm.ExploreZip.
Известные производители антивирусного ПО в нашей стране – "ДиалогНаука" и "Лаборатория Касперского" – как правило, довольно быстро реагируют на появление нового вида вирусов, и уже через несколько дней после появления сведений о вирусе с их веб-сайтов можно загрузить средства для борьбы с ним.
В этот раз "ДиалогНаука", программам которой я лично отдаю предпочтение (DrWeb), до сих пор (до 19 июня) молчит о Worm.ExploreZip.
Пользователи AVP с 10 июня получили возможность скачать внеочередное дополнение к антивирусной базе, содержащее процедуры обнаружения и удаления I-Worm.ZippedFiles, с корпоративного сайта "Лаборатории Касперского" по адресу http://http.kasperskylab.ru/products/updates.asp.
Компания Symantec выступает в авангарде антивирусной борьбы. Во-первых, она сообщила, что пользователи Norton AntiVirus могут защитить себя от нового вируса, загрузив обновление антивирусных баз через LiveUpdate или с Web-узла Symantec: http://www.symantec.com/avcenter/download.html. Но это средство, как вы понимаете, для зарегистрированных пользователей, в свое время купивших пакет Norton AntiVirus.
Однако, уже 14 июня Symantec объявила о объявила о том, что на ее веб-сайт http://www.sarc.com выложен бесплатный инструмент KILL_EZ.EXE, уничтожающий новый вирус Worm.ExploreZip в компьютерах под Windows 95, Windows 98 и Windows NT.
Главное преимущество KILL_EZ.EXE – в том, что он работает самостоятельно, без какого-либо антивирусного ПО. "Центр антивирусных исследований Symantec (SARC) сделал это средство доступным для всех — как для сетевых администраторов, так и для пользователей, — объясняет старший научный сотрудник SARC Кэри Нашенберг. — Администраторы могут применять этот инструмент для обследования пораженных сетей и распространять его через сценарии регистрации, чтобы быстрее искоренить заразу".
Инструмент KILL_EZ.EXE решает следующие задачи (предварительно убедившись в присутствии Worm.ExploreZip в системе):
1. Под Windows NT — устраняет изменения, внесенные вирусом в системный реестр Windows. В частности, он удаляет параметр KEY_CURRENT_USER\Software\Microsoft\
WindowsNTCurrentVersion\Windows\Run.
2. Под Windows 95 — устраняет изменения, внесенные в файл WIN.INI в каталоге Windows, в том числе удаляет строку: run=c:\windows\system\explore.exe.
3. Затем KILL_EZ.EXE полностью ликвидирует программу Worm.ExploreZip в памяти компьютера.
4. Наконец, удаляет файл EXPLORE.EXE из системного каталога Windows.
По завершении процедуры KILL_EZ.EXE сообщает, была ли система заражена Worm.ExploreZip, и если да, то выводит отчет об успешном обезвреживании вируса. Получить подробные инструкции о пользовании программой KILL_EZ.EXE и скачать ее можно по адресу: http://www.sarc.com/avcenter/kill_ez.html.
Корпорация Intel выступила в необычной для себя роли распространителя антивирусного ПО. Она объявила о том, что с июля 1999 года будет укомплектовывать свои системные платы Intel в штучной упаковке бесплатными полнофункциональными версиями высококачественного ПО для защиты от вирусов и обеспечения безопасной работы в Интернет производства таких ведущих разработчиков ПО, как корпорация Symantec, корпорация NovaStor, компания PC Guardian, Inc., а также Finjan Software, Inc. Таким образом, конечный пользователь вместе с платой Intel приобретает в свое распоряжение полезные для работы бесплатные программы.
"Вирусная инфекция"
В последнее время западные исследователи все чаще сравнивают процесс заражения вирусом компьютера с биологическим инфекционным процессом или с социальными "эррозионными" явлениями. Например, недавно корпорации Intel, IBM и Symantec объявили о создании антивирусного программного комплекса под названием "Цифровая имунная система" ("Digital Immune System"). На Западе многие всерьез считают, что к компьютеру следует относиться не как к умному бездушному устройству, а как к части компьютерной экосистемы. Такая экосистема может заболеть и лечить ее нужно по тем же принципам, что и человека в современной медицине.
"Подобно тому, как сельское хозяйство становится хрупким и нестабильным, если полагается на урожай только одной культуры, так и современный компьютерный мир уязвим, поскольку сильно зависит от программ Microsoft. – подчеркнул W. Daniel Hillis, исследователь из компании Walt Disney. – Заметьте, что червь атаковал крупные американские ведомства типа Boeing и General Electric. По моему мнению, ни одно правильственное ведомство не должно позволить, чтобы количество компьютеров с одной операционной системой превышало 34% от общего числа."
Мне кажется, что-то разумное в сравнении компьютеров с биологическими огранизмами есть. Особенно если считать компьютер неотделимым от человека. Ведь компьютер ничего не делает сам, без людского вмешательства. Именно человек заражает компьютер своими действиями: неразумностью, неосторожностью, беспечностью, злым умыслом и т.п. Естественно, что по-человечески действуют и законы "заражения", и методики "излечения".
|
|