Все новости от 11 ноября 1999 г.

Вирус BubbleBoy: доказательство верности концепции

Неизвестный программист-фанат сериала Seinfeld написал вирус, действующий по принципу саморазмножающегося червя, который способен распространяться через клиентские программы Microsoft Outlook и Outlook Express. Вирус, названный BubbleBoy, не похож ни на что, с чем до сих пор приходилось сталкиваться специалистам по антивирусным программам. Он не гнездится во вложенном в письмо файле — это скрипт на языке Visual Basic, цепляющийся к адресной книге Outlook и рассылающий письма по всем содержащимся в ней адресам. Чтобы он начал действовать, достаточно просто открыть письмо.

«Поставщики антивирусных программ всегда наставляли пользователей, что если не открывать вложений, то проблем не будет, — говорит менеджер по маркетингу Network Associates Сэл Виверос (Sal Viveros). — Теперь это уже не так». Особенно уязвимыми оказались пользователи Outlook Express, так как вирус начинает размножаться даже из окна предварительного просмотра писем.

И все же большинство производителей антивирусного ПО, включая Network Associates, Symantec, Computer Associates и Trend Micro, считают BubbleBoy не очень опасным вирусом, так как ни один из их заказчиков не сообщил о случае заражения. Он служит помехой, но не несет в себе никакого кода, способного повредить компьютер.

Не такая уж неожиданность
Вероятно, создатель этого вируса, желая привлечь к себе внимание, разослал BubbleBoy в антивирусные компании и поместил его на несколько веб-сайтов. Не исключено, что это предвестник более крупных неприятностей. В прошлом месяце на конференции Virus Bulletin в Ванкувере обсуждалась возможность создания подобных вирусов. А всего несколько дней назад на ряде веб-сайтов, посвященных защите, появилось рассуждение о том, как его можно было бы сделать. По словам вице-президента Trend Micro по новым технологиям Дэна Шрейдера (Dan Schrader), это совсем не сложно. «Это интересное, но очень страшное и чрезвычайно мощное средство, — сказал он. — Правда, пока оно не вышло на волю, а уже к концу дня большинство антивирусных компаний внесут этот вирус в свои определения».

Вирусу BubbleBoy требуется Internet Explorer 5.0 с установленным Windows Scripting Host — стандартным компонентом Windows 98 и Windows 2000. Он не работает на Windows NT или Windows 95 с параметрами по умолчанию. Установка IE 5.0 в режим максимальной защиты ничего не дает.

Долгоиграющая шутка
Пользователь не знает о том, что он заражен, пока не сработает первое письмо. После этого червь меняет имя пользователя на BubbleBoy, а название организации — на Vandelay Industries. В теле сообщения значится: The BubbleBoy incident, pictures and sounds. Компания Vandelay Industries, как и сам BubbleBoy, безвременно почивший во время напряженной игры в догонялки, это долгоиграющая шутка из сериала Seinfeld. Джордж, закадычный друг Джерри, который часто оставался без работы, любит говорить, что он служит в фиктивной Vandelay Industries.

Возможно, что червь BubbleBoy пользуется пробелом в защите Microsoft, для которого есть «затычка». В компании Symantec стараются определить, не использует ли BubbleBoy дыру в защите IE 5.0, обнаруженную в августе. В бюллетене от 31 августа Microsoft поместила заплатку, исключающую возможность нарушения защиты в двух элементах Active X из IE 5.0. Результатом такого нарушения, как писала Microsoft, может стать перехват веб-сайтом управления компьютером пользователя без его ведома. Заплатка находится по адресу: windowsupdate.microsoft.com.

BubbleBoy еще раз доказал, что по мере совершенствования антивирусной технологии совершенствуются и писатели вирусов, особенно те, что используют VBS. «Сам по себе BubbleBoy не очень опасен, — говорит директор по продуктам защиты Computer Associates Нарендер Мангалэм (Narender Mangalam). — Однако он очень интересен для нас, так как служит доказательством верности концепции».

Где купить: продукты Network Associates/McAfee ; продукты Symantec.