Архивы: по дате | по разделам | по авторам

Автобус в черную дыру

Архив
автор : Михаил Попов   13.10.1998

Эпидемия известного компьютерного вируса CIH (W95.CIH), похоже, начинает спадать. Но проблем у пользователей и работы у писателей антивирусов не убавляется: на сцену выходят новые "троянские программы".

Как известно, вирус CIH активируется и производит свою разрушительную работу 26 числа каждого месяца (правда, существуют разновидности, которые срабатывают только в апреле и июне). В сентябре по сравнению с предыдущим месяцем сообщений об атаках было на удивление мало. С одной стороны, это дает повод утверждать, что вирус можно считать практически побежденным. С другой - 26 число на этот раз пришлось на субботу, когда большинство "рабочих" компьютеров было выключено.

Отличительной чертой вируса CIH является его способность перезаписывать flash BIOS, в результате чего загрузка компьютера становится невозможной. В случаях, если flash BIOS защищена от записи специальной перемычкой на плате, CIH не может испортить ее содержимого. Кроме того, BIOS можно восстановить. (Системный администратор одного московского предприятия рассказал, как у них поступают в таких случаях: к микросхеме с испорченной BIOS сверху прикладывается нормальная, так, чтобы их выводы совпали. После загрузки исправная микросхема снимается, и можно "прошивать" дефектную соответствующей программой.) Однако порча BIOS - еще полбеды. CIH может также разрушать данные, стирая первый мегабайт на всех дисках, подключенных к зараженному компьютеру.

Для вируса, распространяющегося через исполняемые файлы, его "судьба" сложилась исключительно удачно. С апреля этого года CIH разошелся по всему миру, а число пострадавших компьютеров исчисляется тысячами. В конце августа вирус умудрился проникнуть даже в дистрибутив игры, распространяемой через Web-сервер компании Origin, подразделения Electronic Arts. Через несколько часов оплошность была исправлена, но за это время многие пользователи уже успели переписать игру.

Наряду с вирусами в последнее время распространились так называемые троянские программы. Самой атакуемой системой, как нетрудно догадаться, стала Windows (как 95/98, так и NT). Много шума наделала программа Back Orifice, написанная хакерами из группы Cult of the Dead Cow. Можно называть ее отмычкой, можно - инструментом удаленного администрирования, суть от этого не меняется: проникая в компьютер, программа позволяет делать с ним все, что угодно. Для этого достаточно один раз запустить на компьютере-жертве исполняемый файл размером чуть больше 125 Кбайт (как он туда попадет - другой вопрос). После этого сервер Back Orifice навсегда поселяется в системе, не обнаруживая себя в списке задач. А лишний файл очень трудно разыскать в папке \windows\system\ среди сотен других.

Вслед за Back Orifice появилась другая напасть - программа NetBus, написанная шведским программистом Карлом Неткером (Carl Neitker). Многие специалисты по компьютерной безопасности поспешили объявить ее более опасной, нежели Back Orifice. Действительно, в отличие от последней, NetBus может работать не только под Windows 95/98, но и под NT. С другой стороны, NetBus более смахивает на опасную игрушку: в ней всего несколько функций преимущественно развлекательного характера (выдвинуть-задвинуть CD-ROM, поменять местами функции кнопок мыши, поразить пользователя неожиданным сообщением), хотя вирус может и стереть какой-нибудь файл. Более серьезная Back Orifice позволяет, например, работать с любой текстовой программой на удаленном компьютере через Telnet-сессию, манипулировать списком задач и т. д. Да и размер программы-сервера, внедряемой на компьютер пользователя, у NetBus значительно больше, чем у Back Orifice (470 Кбайт против 125), а большую программу труднее передать и спрятать.

Обнаружить любую из упомянутых программ могут многие антивирусы, например, бесплатная программа от Panda Software (www.pandasoftware.com, объем около 1 Мбайт). Поможет в борьбе с напастью также Antiviral Toolkit Pro (www.avp.ru, дистрибутив - чуть больше мегабайта). Правда, его демонстрационная версия может лишь обнаружить троянские программы, а удалять их придется вручную.

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.