Архивы: по дате | по разделам | по авторам

Клин клином

АрхивКомментарий дня
автор : Евгений Золотов   20.05.2003

С эпидемией нового компьютерного червя Fizzer активисты борются методами весьма радикальными: они запускают на инфицированных вирусом машинах… свой вирус.

Самые разнообразные компьютерные вирусы уже настолько навязли в зубах, что рассказывать об эпидемии какого-нибудь нового зловредного червяка просто не хочется. Но для истории червя Fizzer следует сделать исключение. Попавший в Сеть с неделю назад, Fizzer успел наделать шуму не столько высокими темпами распространения себя любимого, сколько тем лекарством, которое придумали для него эскулапы от Сети. Впрочем, обо всём по порядку, а начнём давайте с общего описания.

И внешне, и по принципу действия Fizzer напоминает других представителей вирусного племени, паразитирующих на компьютерах под управлением Microsoft Windows. В этом плане выделяет его среди собратьев сравнительно высокая сложность алгоритмов репликации: он умеет распространяться по электронной почте (жертве приходит письмо с загадочной темой и прикреплённым исполняемым файлом - простачки, которые запускают такие аттачи, ещё находятся), через сети мгновенного обмена сообщениями (AIM, если быть точным), а также через файлообменную сеть KaZaA (Fizzer размещает в обменном фонде пользователя несколько файлов со случайными именами, в которых, конечно, хранятся его собственные копии). Попав на машину, вирус развивает бурную деятельность - рассылая письма и файлы пользователям, обнаруженным в адресной книге и контакт-листе системы, задействует (в случае обнаружения) KaZaA, а также устанавливает на машину пару программ-шпионов, одна из которых записывает весь клавиатурный ввод, а другая позволяет автору вируса или любому осведомлённому человеку получить удалённый доступ к инфицированному компьютеру. Впрочем, если бы этим дело и ограничилось, он вряд ли привлёк бы к себе внимание широких масс. Изюминка, которой он обязан славе - во встроенном механизме автоматического обновления своего кода и средствах деинсталляции.

Как выяснилось вскоре после начала эпидемии, Fizzer постоянно мониторит Сеть. Прежде всего, он подключается к IRC-сетям, ожидая поступления через определённые каналы управляющих команд. Кроме того, вирус обращается к несуществующей страничке на сервере известной системы бесплатного хостинга Geocities, где ищет исполняемый файл - своего рода обновку для себя, при нахождении которой, скачивает её и запускает. Одно из следствий этого - выросшее в десятки раз количество подключений к некоторым IRC-серверам, что, естественно, вызвало недовольство их владельцев. Вот только поделать с этим ничего было нельзя. Ведь как обычно избавляются от подобной заразы? Распространением среди инфицированных вакцины - чаще всего в виде антивирусных программ. Но, поскольку Fizzer почти никак не проявляет своего присутствия на машине, в данном случае придерживаться такой тактики - значит обречь IRC на медленную смерть, а тысячи сетян - на потерю конфиденциальной информации. Неудивительно, что владельцы IRC-сетей решили действовать самостоятельно, создав рабочую группу Fizzer Task Force (FTF) и выработав нетривиальную тактику борьбы.

Суть предложения FTF сводится к автоматической деинсталляции вируса без участия пользователя инфицированной машины или, по крайней мере, инициации ошибки в работе вируса, чтобы дать пользователю понять, что его компьютер заражён. Для этого в IRC-каналы, отслеживаемые Fizzer, начали регулярно помещать длинные последовательности символов, приводящие к краху каждой копии вируса, которая попытается их прочитать, а несуществущую страничку в Geocities зарегистрировали и выложили на неё специальный "апгрейд", заставляющий Fizzer стирать свои ключи из системного реестра Windows и удалять себя с машины. Вполне возможно, именно эти радикальные меры помогли побороть эпидемию: к 17 мая она пошла на спад. Но, к сожалению, у такого лекарства могут быть тяжёлые побочные эффекты…

В самом деле, кто - кроме самого автора Fizzer - может поручиться, что деинсталляция его или крушение перегрузкой внутреннего буфера пройдут для инфицированной машины безболезненно? Но и риск потери данных - не самое страшное. Несанкционированный запуск кода на чужой машине - то, чем фактически занимаются сейчас участники FTF - наверняка является уголовно наказуемым деянием во многих странах. Или всё же цель оправдывает средства?

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.