Как тут не вспомнить: бойтесь данайцев... Атаке подвергся по крайней мере каждый десятый подключенный к Internet компьютер.
Вирус чрезвычайно опасен; кроме прямой порчи данных и нарушения целостности защиты операционной системы, он рассылает большое количество своих копий, перегружая сети и серверы электронной почты, парализуя работу целых офисов.
Такой грандиозной атаки не было, пожалуй, со времен знаменитого червя Морриса. Но если тогда основным объектом атаки были Unix-системы, то теперь — Windows. Дело в том, что действие червя основано на командных файлах Visual Basic.
По сообщению компании «ДиалогНаука», первые обращения от российских пользователей были зафиксированы в 14 часов 4 мая. Количество пострадавших росло в геометрической прогрессии. В «ДиалогНауке» и «Лаборатории Касперского» (равно как и в ведущих западных компаниях-производителях антивирусных средств) были срочно подготовлены новые «вакцины».
5 мая начали появляться модификации вируса, отличающиеся измененным заголовком и телом письма. Например, в заголовке сообщения они могут содержать строки Fwd: Joke, Mothers Day Order Confirmation и т. д. Имена вложенных сообщений также изменены, но прежними остаются расширения. Модификации отличаются и своими деструктивными действиями; одна из них, наиболее вредоносная, вместо уничтожения картинок в формате JPG уничтожает файлы INI и BAT, что приводит к невозможности загрузить компьютер. Как избежать чтения пришедшего сообщения-червя, чтобы не дать ему возможности «ожить»? Первый вариант, самый простой, — закрыть почтовую программу, срочно оповестить системного администратора, связаться со своим поставщиком антивирусов, взять у него самые свежие сигнатуры, установить их и запустить антивирусную программу, после чего возобновить работу с почтовым клиентом. Антивирусная программа распознает приходящие из Internet сообщения-черви и вовремя их нейтрализует.
Второй вариант менее тривиален: перейти на чтение почты из операционной среды, отличной от Windows, например, из среды Unix, Macintosh или Windows 3.x. В частности, вполне может быть так, что ваш Internet-провайдер предоставляет своим пользователям возможность выполнять некоторые операции на своем сервере в среде Unix (по крайней мере, мой провайдер — «Зенон» — это позволяет). В этом случае прежде, чем читать почту, войдите через Telnet на почтовый сервер, просмотрите пришедшие к вам сообщения, удалите те, что содержат червь, после чего, не мешкая, загрузите почту. Вполне возможно, системный администратор согласится помочь и просмотрит ваш почтовый ящик, удалив подозрительные сообщения.
Михаил Зырянов
Furens quid femina possi*
Понятное на любом языке словосочетание I LOVE YOU невольно связывается в сознании с женщинами. Но они-то как раз и ни при чем. Зато ярость, гигантский ущерб и коварство налицо.
Итак.
Официальное название — VBS.Loveletter.A. Вирус относится к типу «червей».
Первые атаки вируса зафиксированы в Гонконге в четверг, 4 мая в полдень по местному времени.
По оценкам аналитической компании Computer Economics ущерб, нанесенный вирусом во всем мире, составил около 6-7 млрд. долл. «Любовное послание» получили более 45 млн. абонентов. Только в США число атакованных пользователей ПК превысило 2,5 млн.
По сообщению McAfee.com, зараженными оказались 60 компаний из списка Fortune 100. Среди пострадавших, к примеру, AT&T, представители которой объявили о закрытии 75 тыс. из 138 тыс. ее почтовых серверов «по соображениям безопасности».
Network Associates провела экспресс-анализ разрушительных последствий вируса, и установила, что в Голландии и Швеции пострадало около 60% ее клиентов, не менее 30% в Германии и 40% в Великобритании.
В теле «любовного» письма содержится командный файл Visual Basic. Командный файл этот злобен и вредоносен. Червь безнадежно портит файлы с расширениями VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, JPG, JPEG, MP2, MP3, некоторые важные системные библиотеки DLL, файлы EXE и INI клиентов IRC. Чересчур «продвинутые» современные почтовые клиенты интерпретируют этот командный файл уже при чтении сообщения, менее интеллектуальные — при открытии файла, вложенного в сообщение. Отсюда следует первая и главная рекомендация: ни в коем случае не открывать файл, вложенный в тело «червивого» письма, даже если покажется, что это чисто текстовый файл. Не зря этот файл носит двусмысленное имя: LOVE-LETTER-FOR-YOU.TXT.vbs (обратите внимание на два расширения; при стандартных настройках Windows — не показывать расширения для зарегистрированных типов файлов — он действительно выглядит как текстовый).
Если червь попадает на благодатную почву, то уже при первом просмотре сообщения он может «ожить», начав рассылку самого себя новым жертвам; их адреса он почерпнет из адресной книги Outlook. Кроме того, с помощью Internet Explorer червь пытается скачать своего троянского «брата» — файл WIN-BUGSFIX.EXE, установив ссылку на него в IE в качестве стартовой страницы. Если трюк удается и файл скачивается, червь модифицирует системный реестр Windows так, чтобы этот файл запускался в начале работы с Windows.
Поиски злоумышленника ведут в Юго-Западную Азию, что соответствует географии распространения вируса. Один из подозреваемых — германский студент, который скрывается под псевдонимом Spyder и проживает на Филиппинах. Вирус был отправлен им через провайдера Supernet.
Стоит отметить, что вирус, имеющий непосредственное отношение к продуктам Microsoft, таким как Outlook и Visual Basic Script, появился в самое неподходящее для корпорации время, хотя вряд ли кому-нибудь придет в голову обвинять ее саму.
Компании, предлагающие антивирусные продукты, сработали весьма оперативно. Впрочем, программные средства — ничто перед соблазном открыть неожиданное сообщение и узнать что-то весьма приятное для себя.
Computerworld Россия
* На что способна женщина в исступлении (лат.)
По сообщению CNN, Реомель Рамонес, 27-летний сотрудник компьютерного отдела банка Equitable Bank, подозреваемый в создании вируса ILOVEYOU, был арестован в своем доме в Маниле. Ему грозит от 6 до 20 лет тюремного заключения и немалый штраф. Однако подозреваемого пришлось выпустить на свободу за недостаточностью улик. Полиции предоставлена возможность в течение десяти дней собрать доказательства вины Рамонеса. Помимо него следователи подозревают его подругу, а также еще восемь бывших студентов колледжа AMA Computer College