Вирусы

Леонид Черняк

В пятницу 26-го (заметьте: 26=13х2) громко заявил о себе вирус Melissa (техническое название W97M/Melissa.A), неожиданно всколыхнувший спокойствие весеннего уик-энда (см. PC Week/RE, № 12/99, с. 8). Но Melissa недолго оставался в одиночестве. Вслед за ним на свет один за другим появились близкие родственники: мутант W97M/Melissa.B и новые - W97M/Ping.A, W97M/Zerg.A, W97M/MADCOW, X97M/Papa.A и X97M/Papa.B. Два последних содержат в письме файл в формате Excel.

Хотя и неприятно, но эти сорняки определенно вносят свежую струю в монотонное течение профессиональной жизни. Котировка акций антивирусных компаний растет, а у журналистов появляются живые темы с близким обывателю оттенком сенсационности. Например, не правда ли, интересно, что военно-морские базы США из-за Melissa на целые сутки лишились связи по электронной почте, а работа ряда крупнейших компаний, входящих в top500, была блокирована на несколько часов? Но еще интереснее было бы узнать, а кто же все-таки сподобился написать Melissa, поразивший электронную почту в глобальном масштабе.

Несомненно, в этом деле есть увлекательная криминальная составляющая, а читатель, как и зритель, любит детектив. Новую детективную историю вполне серьезно расследует не кто-нибудь, а ФБР, и не исключено, что оно сумеет ответить на вопрос об авторстве Melissa. Американская юстиция в качестве приза обещает творцу вируса тюремное заключение сроком от 5 до 10 лет и штраф на сумму 250 тыс. долл.

Решающая роль в расследовании принадлежит сугубо мирному лицу - Ричарду Смиту (Richard Smith), президенту небольшой софтверной компании Phar Lap Software. Именно ему удалось обнаружить своего рода “отпечатки пальцев” одного программиста или группы, к которой сегодня устремлено внимание всего компьютерного сообщества и правоохранительных органов. Он-то и поделился своими знаниями с ФБР, и последнее расценило создание вируса Melissa как федеральное преступление, дав тем самым старт расследованию.

Выйти на след преступников Р. Смиту удалось благодаря тому, что несколько месяцев он занимался изучением малоизвестной особенности Microsoft Word и Excel. Эти программы, не спрашивая на то разрешения владельца, записывают в тело документа уникальные номера аппаратных средств компьютера. В результате компания Microsoft получала возможность прослеживать движение документов по сети. Информация о ПК сохраняется в уникальном глобальном идентификаторе (globally unique identifier, или GUID) - 12-разрядном шестнадцатеричном числе, содержащем параметры сетевых плат. Уважая право на личную свободу, Microsoft лишь совсем недавно, да и то только после обращения Р. Смита, выпустила “заплатку”, позволяющую пользователю запретить эту шпионскую функцию. Но автору Melissa не повезло: он попался на удочку GUID.

Получив информацию о Melissa, Р. Смит решил использовать свой опыт и предположил, что вирус, а точнее, прилагаемый к письму файл list.doc должен содержать указание на тот ПК, где был создан. Это соображение он передал в дискуссионную группу по проблемам вирусологии и получил ответ от аспиранта Стокгольмского университета Фредерика Бьерка (Frederik Bjorck) с сообщением, что по некоторым признакам, в том числе по стилю программирования, можно заподозрить в авторстве человека, известного под псевдонимом VicodinES. Швед назвал также сайты, поддерживаемые этим самым VicodinES (в частности, SourceofKaos). В последнее время поступают новые сведения, и, видимо, достоверные результаты расследования станут скоро известны.

Реакция антивирусных компаний была незамедлительной. Уже в выходные дни большинство из них предложило свои средства для лечения. На многих сайтах появились увлекательные истории о борьбе с новым бедствием.

В России о готовности бороться с Melissa первой - 29 марта - объявила “Лаборатория Касперского”.

Мнение аналитика

Питер Типпетт (Peter Tippett), президент компании ICSA, входящей в состав GartnerGroup и анализирующей состояние дел в компьютерной вирусологии, считает, что к появлению нового поколения вирусов нужно отнестись со всей серьезностью. Неблагополучие в области компьютерных вирусов достигает критических пределов. Основанием для такого мнения является обследование более полумиллиона настольных рабочих станций, проведенное ICSA в 1998 г. Оно показало наличие той или иной формы инфекции в 99% ПК.

В своих методиках ICSA делит вирусы на три поколения.

Первое зародилось в 1986 г., когда на смену теоретическому представлению пришли практически реализованные вирусы Jerusalem, Form и Michelangelo, заражавшие только файлы .exe; они распространялись главным образом при копировании дискет.

Дата рождения второго поколения - август 1995 г., именно тогда появились макровирусы, передаваемые в документах MicrosoftWord.

Жизнь последнего поколения началась несколько месяцев назад. Первым его представителем можно считать Happy99 worm, а теперь вот еще Melissa и Papa. Они используют механизмы электронной почты и поэтому обладают высокой скоростью распространения.

Что же делать?

О масштабах бедствия говорить пока сложно, подведение итогов еще впереди, но показателен следующий факт. Только одно финансируемое Пентагоном Агентство по аварийным ситуациям в информационных системах (The Computer Emergency Response Team) в Университете Карнеги - Мелона получило 250 обращений от компаний, в которых в общей сложности было инфицировано более 100 тыс. компьютеров.

Время шуток кончилось. Новое поколение вирусов становится реальной угрозой для деятельности корпораций, и его надо рассматривать как фактор окружающей среды, серьезно угрожающий непрерывности бизнеса.

Post scriptum

В четверг, 1 апреля, ФБР арестовало распространителя вируса Melissa - тридцатилетнего программиста Дэвида Смита из Абердина (шт. Нью-Джерси). По иронии судьбы он оказался однофамильцем Ричарда Смита, сыгравшего важнейшую роль в расследовании.

На установление личности преступника потребовалось всего три дня. В основном это время ушло на анализ записей компании-провайдера Monmouth Internet и определение номера абонента, впервые передавшего Melissa в сеть.

Пока можно с уверенностью заявить, что Смит действительно первым отправил зараженный файл, но является ли он автором вируса, он ли тот самый VicodinES, сказать трудно. В этом вопросе мнения экспертов расходятся.