UA / RU
Поддержать ZN.ua

MELISSA ЗАРАЗИЛА СТО ТЫСЯЧ КОМПЬЮТЕРОВ

Начиная с конца марта страницы практически всей сетевой прессы пестрят заголовками, в которых на все лады обыгрывается в общем-то вполне обычное женское имя...

Автор: Александр Кондауров

Начиная с конца марта страницы практически всей сетевой прессы пестрят заголовками, в которых на все лады обыгрывается в общем-то вполне обычное женское имя. Причем по мере развития событий статьи все больше и больше напоминают сводки о какой-то войне: кого-то «бомбят», за поимку кого-то назначают награды, кого-то арестовывают… Не остались в стороне и традиционные средства массовой информации, уже всерьез пугающие читателей «сотнями разрушенных серверов» и «сгоревшими сетями». Так кто же такая Melissa и почему вокруг очередной (далеко не первой и, к сожалению, далеко не последней) вирусной эпидемии поднялась такая шумиха?

26 марта в Сети пошло гулять еще одно письмо. Письмо как письмо, ничего особенного, с файлом «в прицепе» и надписью «Важное сообщение от… Это документ, который ты просил. Посмотри и никому не показывай!» в заголовке. Файл тоже вроде обычный - документ MS Word'97. И текст тоже, в общем-то, достаточно тривиальный - список порносайтов с именами и паролями для входа. Однако маленькая «изюминка» в этом письме все же была: при первом открывании текста система просила разрешение на некое действие, совершенно непонятное большинству пользователей - «выполнить макрос». Благодушно настроенный читатель - ведь интересно же, что это за «важное сообщение», - ничтоже сумняшеся жмет кнопку «OK» и… такое же письмо, только уже от его имени рассылается еще пяти десяткам человек, адреса которых стоят первыми в адресной книге его почтовой программы.

Все дело в том, что для придания большей функциональности документы MS Word - это не просто куски текста, они могут содержать в себе некие последовательности команд - макросы, - выполняющие разнообразные операции, например, переформатируют текст под другой размер бумаги или запускают вспомогательные программы, к примеру, для просмотра включенного в текст видеоролика. Этими командами можно запрограммировать и многое другое, поэтому при установке Word предлагает включить защиту от выполнения неизвестных программ (помните, что при первом запуске система спрашивала разрешение?), однако, однажды получив разрешение отработать, вирус отключал все защиты…

Таким образом каждый, прочитавший текст, сам того не зная, становился распространителем вируса и общее количество писем начало расти в геометрической прогрессии, чему способствовало и то обстоятельство, что изначальное письмо было отправлено в конференцию, которую читают многие тысячи подписчиков. За выходные эпидемия приняла всемирный масштаб, и люди, пришедшие на работу в понедельник утром, нашли это письмо в своих почтовых ящиках, спровоцировав второй всплеск, доставивший немало трудностей почтовым системам, не рассчитанным на такие ударные количества почты.

Нужно отдать должное американскому Национальному центру по защите инфраструктуры - благодаря его предупреждению в первый же день эпидемии многие большие компании за выходные успели оповестить своих сотрудников об опасности. Некоторые даже воспользовались для этого бумажной почтой.

Cам по себе вирус Melissa опасен разве что созданием большого почтового трафика и перегрузкой больших почтовых систем - никаких разрушительных или направленных кому-либо во вред действий в нем не заложено. Однако простота макроязыка стала причиной появления модификаций вируса, уже далеко не таких безобидных.

Уже в понедельник появился первый из известных вирусов с «боевой» начинкой: построенный на основе Melissa, но работающий с электронными таблицами MS Excel, вирус Papa не только рассылает себя уже 60 адресатам, но и «бомбит» два электронных адреса, принадлежащих Фреду Коэну, немало разозлившего вирусописательское общество Codebrakers, раскрыв секрет вируса, ворующего у жертв электронные ключи к программе криптозащиты PGP и переправляющего их на сайт общества. Через некоторое время после активации вируса зараженный компьютер запускает большую серию обращений на сервер консультанта по безопасности, которая отбирает на свое обслуживание большую часть системных ресурсов сервера.

Другие клоны - Papa.B, Syndicate, Ping - умеют лучше «прятаться» в зараженном файле и в качестве «боеголовок» несут модули, отсылающие на анонимные адреса в Сети персональную информацию с зараженных систем и «бомбящие» несколько крупных фирм в Штатах и Европе. Не обделены вниманием и серверы НАТО.

ФБР довольно оперативно отреагировало на «самый быстро распространяющийся в истории вирус» и буквально на следующий же день предупредило госструктуры об опасности и начало оперативную работу по поимке автора вируса. Сначала следы вели в Братиславу, но потом выяснилось, что там находятся тоже пострадавшие. Следующим было сообщение президента компании Phar Lap Software Ричарда Смита о том, что при анализе тела вируса там был найден уникальный идентификатор, который программы производства Microsoft присваивают вновь создаваемым файлам, используя номер установленной на компьютере сетевой карты, если она есть. Опубликовав эти данные в антивирусном форуме, Смит получил от другого его участника файл, лежавший на сайте, принадлежавшем известному в прошлом вирусописателю VicodinES, с совпадающим номером сетевой карты.

Об этом открытии Смит не преминул сообщить ФБР, уже объявившему о розыске автора нашумевшего вируса (к тому времени количество пострадавших фирм перевалило за 250, а зараженных компьютеров - за 100,000). Оно, не теряя даром времени, закрыло сайт и допросило провайдера, у которого этот сайт был размещен. Сервер был изъят, а после того, как появилась «доработанная» версия Papa, были закрыты еще два сайта «исследователей вирусов» - «засветившийся» Codebrakers.org и coderz.net.

Параллельно работа шла и по другому направлению. 1 апреля было получено постановление судьи штата Нью-Джерси, предписывающее интернет-провайдеру America Online предоставить ФБР всю возможную информацию об адресе, с которого вирус попал в сеть. Тщательный анализ протоколов работы системы позволил вычислить, с какого номера телефона в систему зашел человек, назвавший правильный пароль для искомого адреса. Компьютерный поиск закончился, и оперативники в тот же день вышли на жителя города Абердин Дэвида Смита, программиста, работавшего в AT&T. В мусорнике жилого комплекса, квартиру в котором он занимал, нашли выкинутый компьютер, а его самого арестовали уже вечером у его брата в другом городке.

Сумма предъявленных ему обвинений, из которых кража адреса (skyrocket@aol.com, с которого вирус был запущен в Сеть, принадлежит не ему) - самое легкое на фоне создания помех общественной сети связи и попытки нанесения ущерба, может обойтись обвиняемому в случае, если суд докажет его вину, в 40 лет тюрьмы и почти полмиллиона долларов штрафа. ФБР, правда, не исключает выдвижения дополнительных обвинений. На следующий день Смит был выпущен под залог в сто тысяч долларов.

Любящие все подсчитывать в долларовом эквиваленте американцы уже попытались прикинуть его цену. Кроме прямых потерь от прекращения функционирования перегруженных почтовых серверов, оцениваемых в несколько десятков миллионов долларов, пришлось учесть и экстренные вызовы на работу специалистов по безопасности и системных администраторов во внеурочное время. А если прибавить сюда последствия жизнедеятельности деструктивных клонов вируса - общая сумма может вылиться уже не в одну сотню миллионов долларов.

Косвенно под обстрелом оказался Microsoft - попытки найти автора вируса по уникальному идентификатору, генерируемому продуктами фирмы, уже обратили на себя внимание защитников - неприкосновенности частной жизни. Кому будет приятно узнать, что все письма, написанные на его компьютере, имеют схожие «отпечатки пальцев»? А если эти «отпечатки» еще и будут приведены как доказательства в суде, это может серьезно осложнить жизнь и без того находящегося под перекрестным огнем гиганта программной индустрии…

Как обычно, кроме пострадавших нашлись и выигравшие. В первую очередь это - фирмы, производящие антивирусное программное обеспечение. К чести крупных фирм, таких как Symantec, Trend Micro Inc., и других, они доработали свои антивирусные пакеты буквально на следующий же день после появления вируса, и единственной трудностью была перегрузка их выходных каналов, по которым пользователи получали доработанные версии. Заодно у них появился повод для ежедневных напоминаний о себе: «Дорогой пользователь! Мы приносим свои извинения, если Вам не удалось до сих пор получить обновленную версию. Не оставляйте попыток - она вам нужна!». Результат - акции Symantec Corp. выросли на 8%…

По материалам

зарубежной прессы