Участники телеконференций alt.cracks и alt.crackers предупреждали друг друга об опасности, исходящей от пользователя под псевдонимом «Slasher». Он (или она) внедрял вирусы в свои программы и рассылал их по Сети. Предполагается, что злоумышленник пользовался услугами именно EarthLink. Компания уже получила несколько жалоб с требованием отключить «Slasher». На практике, однако, все не так просто. Для отключения пользователя его нужно буквально схватить за руку в момент преступления.
Не только EarthLink боится спасовать перед возрастающей угрозой. Специалисты National Computer Security Association с уверенностью предсказывают увеличение количества вирусов в Сети, где зараженные программы могут распространяться широко и анонимно. Если бы вирус Hare не был так безграмотно написан, то принес бы намного больше вреда. Пользователи же столь охочи до бесплатного софта, что готовы скачивать и запускать что угодно.
Подпольный интернационал хакеров в действии
Первый компьютерный вирус для Windows 95, получивший имя Boza, всего через неделю после обнаружения в США и Западной Европе появился и в российских компьютерах. Впрочем, против новой напасти уже создано противоядие.
Мир стал меньше. Десять лет назад эпидемия гриппа могла добраться из Америки в Советский Союз лишь за несколько месяцев. Сегодня — за неделю. В эпоху глобальных компьютерных сетей быстрее перемещаться между континентами стали не только обычные инфекции, но и компьютерные. В конце 80-х, когда информацию переносили с компьютера на компьютер на дискетах, стандартный ассортимент компьютерных вирусов в СССР достаточно сильно отличался от «джентльменского набора» на Западе. А сейчас созданные безвестными российскими умельцами вирусы быстро попадают в США и Западную Европу, а вредоносные новинки тамошних хакеров буквально через неделю обнаруживаются в России.
8 февраля «Ъ» сообщил о появлении в США первого вируса, предназначенного для новой операционной системы фирмы Microsoft — Windows 95. Несколько дней назад вирус Boza обнаружен в России и, судя по всему, уже не является редкостью в московском компьютерном мире.
По данным фирм-производителей антивирусных средств, распространению Boza в Москве активно способствовали местные авторы вирусов. Получив по международным компьютерным сетям очередной выпуск бюллетеня австралийской группы кибертеррористов VLAD — авторов Boza, московские единомышленники этой группы якобы воспользовались содержащимся в нем текстом вируса.
Впрочем, противоядие от Boza уже существует. Американская компания Symantec несколько дней назад объявила, что каждый пользователь сети Internet может бесплатно получить доступ к «лечащей» программе Norton AntiVirus Update, находящейся на Internet-cepвepe этой компании. Адрес этого сервера — www.symantec.com.
Полиморфный вирус Satan Bug атакует компьютеры правительственных органов США
Поставщики антивирусного ПО торопятся обновить свои продукты, чтобы бороться с зашифрованным полиморфным вирусом Satan Bug, который атакует правительственные компьютерные системы в США.
Вирус Satan Bug, ставший предметом сообщения группы наблюдения за вирусами (CIAC) из Министерства энергетики (DOE), охарактеризован как «трудноизлечимый» из-за примененного алгоритма шифрования. Satan Bug способен повреждать файлы, изменять даты их создания и отключать пользователей от ЛС путем повреждения сетевых драйверов.
Консультативная служба CIAC заявила, что вирус был обнаружен во многих местах. Источники из Министерства энергетики сообщили, что несколько подразделений пытаются бороться с ним при помощи программ детектирования вирусов.
CIAC как один из членов правительственной комиссии Forum of Incident Response and Security Teams выпускает информационные бюллетени в тех случаях, когда в DOE поступают сообщения о серьезных проблемах, связанных с вирусами.
Бюллетень CIAC извещает о том, что зашифрованные вирусы, подобные вирусу Satan Bug, особенно трудно удалить из инфицированных файлов, поскольку они присоединяются к компьютерной программе, вырезая из нее небольшой кусок и замещая его собственным кодом. После этого вирус зашифровывает и себя и «откушенный» кусок программы.
«Для восстановления инфицированной программы антивирусное ПО должно уметь расшифровывать закодированный вирус, чтобы обнаружить исчезнувшую часть файла и вернуть ее на место, — констатирует бюллетень. — Satan Bug имеет до девяти уровней шифрования, причем в каждом случае этот уровень непредсказуем».
Шифрование делает вирус невидимым для антивирусных программ-сканеров, датированных ранее августа 1993 года «Эти программы должны открыть файл для сканирования, а если вирус находится в памяти, то сам акт открытия файла будет приводить к инфицированию, — предупреждает бюллетень. — Если вы запускаете инфицированный антивирусный сканер, то почти каждый исполняемый файл на диске окажется зараженным».
Как рассказал Дэвид Стэнг (David Stang), президент компании-разработчика Norman Data Defense Systems (ФоллЧерч, штат Виргиния), вирус Satan Bug был впервые выявлен в феврале прошлого года, когда его обнаружили размещенным на нескольких электронных досках объявлений пользователем по имени Hacker 4Life.
Стэнг предположил, основываясь на степени сложности вируса и своем опыте работы с программами этого класса, что Satan Bug — это плод деятельности двадцатилетнего американского парня, а не злонамеренного четырнадцатилетнего подростка.
Компания Norman Data Defense Systems изготовила антивирусное ПО, которое удаляет вирус, оставляя файлы неповрежденными. Стэнг сообщил, что эта программа, названная Armour, к тому же предотвращает заражение.
Роджер Томпсон (Roger Thompson), президент компании Leprechan Software (Мариетта, штат Джорджия), рассказал, что его сотрудники провели весь уик-энд за обновлением своего антивирусного пакета для борьбы с вирусом Satan Bug после звонка из правительственного агентства.
«Satan Bug — это сложный вирус, и его трудно обнаружить, — пояснил он. — Он содержит цикл шифрования/дешифрования, причем расшифровывает себя с помощью ключа длиной от 40 до 2000 бит. Новейшие тенденции в вирусном сообществе делают эти программы труднообнаружимыми».
Другой поставщик, фирма McAfee Associates, также объявила о создании ПО для борьбы с Satan Bug.
Satan Bug является полиморфным или кодируемым вирусом, что делает его изменчивость практически неограниченной.
Вирусы отстают, хакеры активизируются
Что касается вторжений хакеров — случаев несанкционированного доступа к настольным компьютерным системам, — то их число значительно возросло: с 339 тыс. (1989 г.) до 684 тыс. (1991 г.). В отчете по проведенному исследованию отмечается «значительный рост числа попыток пиратского доступа к персональным компьютерам, работающим под DOS», небольшое увеличение числа таких случаев для мини-компьютеров, снижение активности пиратов в отношении Macintosh и примерно прежний ее уровень на больших ЭВМ и рабочих станциях.
Фирма USA Research включила в отчет и данные по федеральным ведомствам, объединив их с данными по учреждениям местной власти. По словам Синтии Е. Карлсон, вице-президента фирмы USA Research, государственные учреждения США в целом не столь уязвимы по отношению к вирусам, как, например, учебные заведения. «Государственные служащие подходят к делу весьма серьезно и принимают массу мер предосторожности», — отметила она.
Эту точку зрения разделяет и Деннис Стайнауэр, специалист по компьютерной безопасности Национального института по стандартам и технологиям (NIST). Он отмечает, что интенсивность заражений компьютеров вирусом действительно немного снизилась. По его мнению, гораздо большую опасность сейчас представляют хакеры. «Эта проблема стоит перед многими федеральными ведомствами, включая даже ФБР», — уверенно заявил он.
Организациям, локальные компьютерные сети которых имеют выход в другие сети, в том числе в Internet, «требуются поистине огнеупорные стены для защиты от компьютерных пиратов. Попытки взлома компьютерных систем по-прежнему многочисленны», — заметил Деннис Стайнауэр.
По данным исследования, основными средствами защиты компьютеров в учреждениях являются антивирусные программы и контроль доступа к компьютерам. Применяются и другие меры, такие, как изоляция компьютеров, загрузка только защищенных от записи гибких дисков, использование различных вспомогательных программ, а также шифрование файлов. Исследование показало, что главный источник бедствия — дискеты, приносимые в организации извне. По. этой причине происходит более 60 процентов случаев заражения компьютеров вирусом.
Продолжение бактериологической войны
«Столетняя война» между авторами компьютерных вирусов и разработчиками антивирусных программ то стихает, то разгорается с новой силой. Сейчас конфликт обострился в связи с выходом на сцену, с одной стороны, двух новых опасных вирусов, а с другой — нескольких обновленных программных продуктов, нацеленных на их поиск и ликвидацию.
