Все новости от 7 февраля 2006 г.

Судный день или очередная страшилка?

Конец января и начало февраля ознаменовались небывалой активностью PR-отделов многих антивирусных компаний. Вот, например, чем пугала пользователей “Лаборатория Касперского” (ЛК): “3 февраля может стать последним днём для сотен тысяч ПК, пораженных червём Nyxem.e (у других компаний этот червь фигурирует под именами Win32/VB.NEI, Win32.HLLM.Generic.391, Blackworm, W32/MyWife.d@MM!M24, Email-Worm.Win32, Win32.Blackmal.F, W32/Nyxem-D, Tearec.A и рядом других. — В. М.), который представляет собой исполняемый в среде Windows файл размером 95 Кб, приложенный к письму с заголовком из заранее созданного автором списка, насчитывающего около 25 позиций. При этом текст письма и наименование приложенного файла также имеют около 20 разнообразных вариантов исполнения, что затрудняет оперативное обнаружение зараженного письма пользователем. Активизация червя производится пользователем при самостоятельном запуске зараженного файла. После запуска Nyxem.e принимает дополнительные меры для дезориентации пользователя: червь скрывает свою основную функциональность, создавая в системном каталоге Windows ZIP-архив с тем же именем, что и изначально запущенный файл, а затем открывая этот архив. При инсталляции червь копирует себя под несколькими именами в корневой и системный каталоги Windows, а также каталог автозагрузки, после чего регистрирует себя в ключе автозапуска системного реестра. Таким образом, при каждой следующей загрузке Windows автоматически запускает вредоносный процесс... Особую опасность представляет также содержащаяся в Nyxem.e деструктивная функция. В соответствии с ней червь регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов, замещая её бессмысленным набором символов. Судя по присутствию червя в мировом Интернет-трафике и все возрастающему потоку жалоб от пользователей, заражению Nyxem.e подверглось значительное число компьютеров по всему миру, количество которых может оцениваться в сотни тысяч. Это означает только одно — 3 февраля может стать “судным днём” для многих беспечных пользователей, которые могут потерять ценные данные в случае, если их компьютеры подверглись заражению Nyxem.e”.

В части запугивания пользователей не сильно отстала от ЛК и фирма Eset Software, эксперты которой писали: “По данным автоматического сервиса Virus-Radar, созданного нашей компанией для оценки вирусной ситуации, высокая активность и соответственно скорость распространения вируса Win32/VB.NEI (Nyxem/Blackworm) отмечалась начиная с 17 января. Так, уже 18 января системой Virus-Radar было зарегистрировано 5625 атак на компьютеры, защищенные Eset NOD32 (системой Virus-Radar автоматически формируется статистика атак на компьютеры, защищенные пакетом Eset NOD32). В последующие дни активность данного червя периодически менялась как в большую, так и в меньшую сторону. В некоторые дни число атак превышало 16 000 в сутки (28 января — 16 737 атак). Максимальное число компьютеров, атакованных в течение часа, было зафиксировано 31 января. Тогда было атаковано 0,541% компьютеров, защищенных системой Eset NOD32 (полную статистику атак червём Win32/VB.NEI компьютеров, защищённых антивирусом Eset NOD32, можно в режиме реального времени посмотреть по адресу: www.virus-radar.com)”.

Специалисты Eset Software также отмечают: “Пользователи, в компьютерах которых обосновался этот зловредный код, могут сильно пострадать. Данный вирус каждое третье число месяца уничтожает данные на зараженных компьютерах. Заражению могли подвергнуться даже те компьютеры, на которых были установлены антивирусные пакеты. Многие из них смогли детектировать Win32/VB.NEI только после того, как в их вирусные базы была добавлена соответствующая сигнатура. Но если компьютер подвергся атаке до выпуска сигнатуры, то получивший возможность проникнуть в систему червь мог воспрепятствовать дальнейшей работе антивируса. Таким образом, надежная защита обеспечивалась только теми антивирусами, которые детектировали Win32/VB.NEI проактивно, т. е. без необходимости иметь специальную сигнатуру”.

Пользуясь случаем, об эффективности систем проактивной защиты напомнили сотрудники отечественной компании StarForce Technologies, предложившей в конце 2004 г. (см. PC Week/RE, № 47/2004, с. 24) средство защиты от неизвестных вирусов и троянов Safe’n’Sec. Так как реальной статистикой атак в этой компании, похоже, не располагают, то упор был сделан на яркие художественные образы: “На дворе уже XXI-й век, а у нас все по классике — одна пара валенок на двоих! К сожалению, практически все персональные пользователи, а иногда и руководители предприятий до сих пор не осознают того, что защищать как отдельные ПК и корпоративные сети от вредоносных программ и несанкционированного проникновения не просто нужно, а жизненно необходимо! И защищать нужно не чем-нибудь и как-нибудь, а качественно. По традиции получается следующее: появляется в Интернете новый вирус/червь/троян и тут же начинается паника, лихорадочное обновление антивирусов для противостояния программе, которая уже сотни раз поменяла свою модификацию и существует в стольких же вариантах, а значит, обновление сигнатур мягко говоря запаздывает. Традиционные виды защиты на сегодня не способны справиться с лавиной новых, все более изощрённых видов угроз. Выход из ситуации видится в применении передовых проактивных технологий, основанных на анализе поведения программ в системе. Они останавливают опасные действия, прежде чем последние смогут нанести какой-либо вред системе и работающим приложениям. Без превентивных технологий сегодня немыслима безопасность ПК и компьютерных сетей. Когда пользователи наконец поймут, что защита должна быть предупреждающей, тогда и не будет ни мыслей типа “скоро судный день”, ни паники... Когда же это будет? Когда мы станем умнее?”.

Наиболее спокойно в эти дни, как, впрочем, и во все предыдущие, вели себя представители компании “Доктор Веб”, почти не утруждающие народ регулярными “страшилками”. Их специалисты отмечали: “Да, в последние дни в нашу компанию поступали многочисленные вопросы, связанные с ожидающейся 3 февраля так называемой “атакой компьютерного червя”, грозящей уничтожить всю информацию на сотнях тысяч компьютеров. Действительно, в конце января — начале февраля наблюдалось относительно высокое присутствие в почтовом трафике червя Win32.HLLM.Generic.391. Но в первой десятке вирусов, которая регулярно обновляется службой вирусного мониторинга нашей компании, данный червь достаточно устойчиво занимал лишь седьмое место. Поэтому говорить о каких-либо ужасающих масштабах распространения этого почтового червя либо о нарастающем присутствии его в Интернете серьезных оснований нет. Целый ряд других почтовых червей, таких как Netsky или MyDoom, представляющие не меньшую опасность, стабильно занимают в вирусной “табели о рангах” более высокие места. Для тех пользователей, у которых не установлены антивирусные программы, намеченный на 3 февраля “судный день” наверняка наступил гораздо раньше — при том обилии вредоносного кода в Интернете, которое наблюдается в наши дни, стать жертвой какого-либо компьютерного вируса на не защищенном компьютере — вопрос нескольких минут. К тому же автор червя Nyxem.e не отличается большой изобретательностью, и возможности червя по распространению гораздо слабее, чем у тех же MyDoom или Netsky. Кстати, ведущие иностранные антивирусные компании довольно низко оценивают опасность этого червя. А защититься от него можно вполне тривиально — использовать надежный антивирус. И страсти нагнетать не стоит”.

Разработчиков компании “Доктор Веб” весьма обрадовало, что пользователям их детища — антивируса Dr.Web — с первого момента появления этого страшного червя какая-либо опасность не грозила: он детектировался эвристической частью антивирусного ядра Dr.Web и поэтому попасть на компьютеры, где установлен этот антивирус, у него не было никаких шансов.

Справедливости ради необходимо отметить, что мощные эвристическе анализаторы имеют и многие другие антивирусные продукты. Но вся беда в том, что вирусописатели тоже не лыком шиты. Евгений Касперский, выступая в апреле прошлого года на международной выставке Infosecurity Europe 2005 (см. заметку “Наши в Лондоне”; PC Week/RE, № 18/2005, с. 28), сказал: “В 2005 г. 75% зловредных кодов носили криминальный характер, т. е. писались с целью заработать деньги путём кражи конфиденциальной информации (в 2004-м этот показатель равнялся примерно 50%). Как правило, авторы этих кодов, прежде чем выпустить своё творение в свет, тщательно тестируют его с помощью различных антивирусных программ, и если их продукт хотя бы один такой тест не проходит, они его дорабатывают”. Так что не следует переоценивать возможности даже самых распрекрасных систем проактивной защиты. Чем многоступенчатее защита — тем лучше! Что же касается вирусных эпидемий, как реальных, так и предсказываемых, то в них тоже есть польза: глядишь, миллион-другой пользователей, наслушавшись “страшилок”, всерьёз задумается о безопасности своих ПК.