Все новости от 22 декабря 1998 г. Объявлена тревога по поводу нового «умного» вируса
Гигантский вирус-гибрид атаковал сеть MCI WorldCom, выведя из строя серверы компании и уничтожив данные. Официальный представитель MCI назвал этот вирус, заложенный крекером-злоумышленником и распространившийся на тысячи серверов, «первым очевидным инцидентом кибер-терроризма».
Все утро руководители компании Network Associates (Санта-Клара, штат Калифорния), специализирующейся на средствах антивирусной защиты, не отходят от телефонов, предупреждая своих пользователей о новом «умном вирусе», нападающем на сети Windows и распространяющемся в них. Об этом сообщил генеральный менеджер Network Associates Джин Ходжез (Gene Hodges). Он отказался назвать пострадавшую компанию, но сказал, что зараженными оказались 10 объектов и несколько тысяч серверов. «Злоумышленники очень хорошо знали, куда поместить вирус, чтобы он распространился очень быстро», — сказал Ходжез.
Компания MCI/WorldCom подтвердила, что жертвой стала именно она. По словам представителя фирмы, атака «быстро локализована, и заказчики не пострадали».
Локализация очага поражения
'Не думаю, что будет преувеличением сказать, что это самая настоящая информационная бомба',
— Джин Ходжез, генеральный менеджер Network Associates.
|
|
Вирус компрессирует исполняемые файлы на серверах и рабочих станциях, делая их неработоспособными. Кроме того, он зашифровывает файлы .DOC или .XLF таким образом, что становится невозможно получить к ним доступ. Ключ к шифру до сих пор не найден. «Мы не знаем, кто разработал этот вирус, — заявил Ходжез, — но судя по тому, как он был внедрен и как быстро распространился, его автор очень хорошо осведомлен о тонкостях администрирования сети, и его намерением было вызвать серьезные повреждения. Ясно также, что автор вируса отлично знает Unix и NT».
Сам вирус, написанный на языке С и тоже частично зашифрованный, представляет собой достаточно интеллектуальную программу. Она регистрируется в средствах администрирования домена и копирует свой код по всей сети, поражая другие серверы и даже рабочие станции, подключенные к этим серверам. Программа способна использовать любой канал связи, в котором идентифицируются ресурсы NT. В сетях Unix или NetWare вирус не распространяется.
Своевременная реакция
Программа, обнаруженная в четверг, оказалась чрезвычайно велика по стандартам компьютерных вирусов — ее размер составляет 120 Кбайт. Часовой механизм был настроен таким образом, чтобы код мог максимально быстро распространиться в промежуток времени между тремя часами дня и шестью утра, когда в этой компании обычно присутствует самый малочисленный персонал администраторов сети. Чтобы изолировать вирус, компании пришлось отключить свои линии междугородной связи.
По словам специалистов из Network Associates, они раскрыли алгоритм компрессии и уже сегодня опубликуют метод восстановления файлов, характерный для ПО Network Associates. Сегодня же должен быть опубликован детектор «умного вируса». Компания сотрудничает с Microsoft и установила контакт с другими антивирусными группами. На пресс-конференции, которая состоится во второй половине дня, будет зачитано официальное предупреждение. «Не думаю, что будет преувеличением сказать, что это самая настоящая информационная бомба», — заявил Ходжез.
|