Архивы: по дате | по разделам | по авторам

Ее звали Мелисса

Архив

автор : Владислав Бирюков 06.04.1999

   В конце марта деловая жизнь в США была нарушена неизвестно откуда взявшимся вирусом с невинным названием "Melissa".

   Заражению подверглись корпоративные сети корпораций Intel и Microsoft, причем последняя была вынуждена временно прекратить рассылку писем. Двадцать крупнейших клиентов компании Network Associates, специализирующейся на разработке антивирусного ПО, сообщили о проблемах, вызванных новым вирусом; в одной из компаний было заражено сразу 60 тыс. компьютеров. Федеральное бюро расследований США обратилось к нации с предупреждением.

   Между тем "Мелисса" оказалась просто еще одним макровирусом, правда, очень удачным (конечно, только с точки зрения своего создателя). Вирус распространяется в виде вложения в электронное письмо и заражает файлы Microsoft Word 97 и Word 2000. При открытии инфицированного файла "Мелисса" добавляет свой код в файл normal.dot и заражает все открываемые в дальнейшем документы, то есть ведет себя, как обычный макровирус. Но на этом зловредная программа не останавливается.

   Используя возможности языка Visual Basic, "Мелисса" вызывает Microsoft Outlook (с другими почтовыми программами она не работает) и рассылает редактируемый документ по первым пятидесяти адресам электронной почты, внесенным в адресную книгу Outlook. При этом получателям письма вместе с копией вируса достается еще и чужой документ, возможно, вовсе не предназначенный для чужих глаз. Первые копии "Мелиссы" рассылались через Usenet с файлом, содержащим список порносайтов. Письмо с вирусом содержит заголовок (subject) "Important message from... (сюда добавляется имя отправителя - предыдущей жертвы)", а само сообщение гласит: "Here is that document you asked for... don't show anyone else".

   Рассылка зараженных документов с каждого компьютера происходит только один раз (при этом вирус делает специальную пометку в системном реестре), но возрастающее в геометрической прогрессии число циркулирующих электронных писем может привести к перегрузке и выходу из строя почтовых серверов.

   Оригинальная версия "Мелиссы" не обладает деструктивными свойствами, а лишь перегружает работу сети и может случайно отослать конкуренту конфиденциальный документ. Кроме того, при совпадении двух чисел - текущей даты и времени в минутах в момент активации вируса - в редактируемый документ добавляется пара строчек довольно безобидного текста.

   В то же время уже появились сообщения о многочисленных мутациях вируса и появлении более опасных его разновидностей. Один из вариантов вируса "Papa" (это аналог "Мелиссы", заражающий файлы Excel) вроде бы может рассылать письма со своим кодом, пользуясь не только Outlook, но и другими почтовыми программами. Кроме того, наличие многочисленных версий, а по данным компании TrendMicro их уже более двадцати, усложняет фильтрацию зараженной почты на серверном уровне, что могло бы сильно облегчить ситуацию.

   Большинство компаний, специализирующихся на антивирусных программах, уже выпустили специальные апдейты, обнаруживающие и удаляющие "Мелиссу". Их список вместе с рекомендациями по борьбе с напастью можно найти на сайте CERT (www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html). Поскольку мутировавшие варианты "Мелиссы" могут содержать самые разные варианты текста в заголовках и теле письма, эксперты по безопасности советуют до установки антивирусных апдейтов либо вообще не открывать приходящие с электронной почтой документы, либо отключить выполнение макросов во всех программах (а не только в Word). Удалить "Мелиссу" с зараженного компьютера можно также с помощью бесплатной антивирусной Web-службы housecall.antivirus.com.

   Поиски вирусописателя ведутся в США с большим энтузиазмом, правда, пока безуспешно - трудно определить, кто написал первоначальную версию, а кто просто модифицировал ее код. Если автор будет найден, ему скорее всего грозит серьезный уголовный процесс, благо прецеденты такого рода уже были.

   До России "Мелисса", похоже, еще не дошла, хотя "Лаборатория Касперского", например, уже объявила о соответствующем обновлении антивирусных баз AVP.

   (Появились сообщения, что вычислен автор Melissa. Уникальный идентификатор сетевой карты, являющийся частью GUID, хранящегося в файлах, созданных при помощи Microsoft Office, определенно указывает на известного хакера Vicodin ES, на страничке которого были обнаружены doc-файлы с тем же идентификатором, что и в файле-источнике заражения. От хакера уже открестились владельцы сайта, размещавшего его страничку, заявив, что раздел Vicodin ES закрыт с декабря прошлого года и они осуждают любые действия, причиняющие пользователям Интернета прямой или косвенный ущерб. Учитывая, что в случае поимки преступнику "светит" около 350 тыс. долларов штрафа (в списке пострадавших фирм такие монстры, как Associated Press и Compaq) и несколько лет тюрьмы, их можно понять.

   А "раскрутили" это дело президент фирмы Phar Lab Software Ричард Смит, сыгравший значительную роль в скандале с GUID в документах Microsoft Office, и аспирант Стокгольмского Университета Фредерик Бъорк. - В.Г.)