Опубликовано в Gazeta.Ru от 01-04-1999 (Выпуск No 023)
Оригинал: http://gazeta.ru/flopovod/01-04-1999_virus.htm


Дмитрий Турецкий, <dmitri@listsoft.com>
Страшная зараза!


К сожалению, сегодняшний день (а для многих и несколько последующих) будет омрачен одной неприятной новостью: несмотря на множество опровержений, к которым, каюсь, и я приложил руку, обнаружен вирус, активно взаимодействующий с железом и софтом, установленном у вас на компьютере, а также распространяющийся через Интернет. Его авторы, которые пока остаются неизвестными, использовали как военные технологии (в частности, идею бинарного газа, когда два безвредных компонента при соединении дают отравляющее вещество), так и наиболее популярные технологии распределенных вычислений и "разделенных компонент" (например, Windows, которая содержит множество .dll файлов, в каждом из которых содержится несколько специализированных функций).

Создатели вируса, который пока еще не получил названия, проанализировали библиотеки множества (по некоторым данным - нескольких сотен) распространяемых через Интернет программ, и выделили в этих (написанных ничего не подозревающими авторами) библиотеках функции, которые могут пригодится вирусу. Затем была написана небольшая программа, которая с помощью этих функций получает доступ практически ко всем ресурсам вашего компьютера - паролям, номерам телефонов и кредитных карточек, E-mail адресам и т.д. Сама программа получилась довольно маленькой (за счет того, что все функции хранятся во внешних модулях) и практически незаметной при скачивании.

Но самое интересное решение было в способе распространения: программа манипулирует пользователем и заставляет его самостоятельно установить этот вирус! Вы думаете фантастика или первоапрельский розыгрыш? А вот и нет. Все намного проще! Вирус использует функции вашего браузера и соответствующим образом несколько модифицирует WWW страницы, которые вы смотрите, в результате чего баннеры и некоторые куски текста заменяются на рекламу какой-нибудь интересной программы или, скажем, порносайта. Пользователь (то есть вы), нажав на такую рекламу, скачивает совсем не то, что ожидал, но вирус, завершив скачивание самого себя, подавляет сообщение о завершении загрузки и скачивает первоначально заказанную программу или картинку. Как я уже говорил, размер вируса очень невелик (несколько килобайт) и разница во времени загрузки почти незаметна. Хитрый читатель, конечно уже понял подвох: как вирус может скачать самого себя, если его еще нет накомпьютере? Вот тут-то и проявляется еще одно новшество: вирус модифицирует не только те страницы, которые вы смотрите, но и те, которые выкладываете на сайт! Т.е. если у вас есть своя страничка, то вирус выкладывает свою копию на ваш сайт! При этом, когда вы смотрите свой собственный сайт, вирус это понимает (так как сам же его модифицировал) и показывает вам первоначальный (ваш) вариант, так что вы сами не можете ничего заметить... Т.е. достаточно заразить одного автора популярного сайта, и вирус начнет свое шествие! Что, к сожалению, и было проделано.

Есть и еще одна сторона: за счет того что вирус использует огромное количество различных файлов, в его распоряжении оказываются довольно большие вычислительные мощности (я сказал в начале, что используются технологии распределенных вычислений). Обращали ли вы внимание на то, что при подключении к Интернету компьютер значительно больше хрустит винчестером, чем без подключения? Скорее всего, он просто занят решением каких-то задач, подброшенных вирусом. А свои вычислительные мощности (которые, судя по некоторым оценкам, уже измеряются сотнями тысяч, если не миллионами компьютеров) вирус использует для дальнейшего распространения, взломов чужих сайтов и проникновения в банковские сети. Правда, для взлома используются не самые лучшие алгоритмы, но количество задействованных компьютеров это компенсирует...

Кстати, у вируса есть и еще один способ распространения: он анализирует письма в вашей почтовой программе и рассылает от вашего имени письма с рекомендацией скачать самого себя! Причем не существует достоверного способа определить, настоящее ли это письмо или подделка, т.к. написанное вирусом письмо сохраняет все стилистические особенности и присущие вам грамматические ошибки. Причем точно также вирус анализирует пришедшие письма и странички, которые вы смотрите, и удаляет те куски информации, в которых заложена правда о нем (это стало одной из причин, почему у вируса до сих пор нет названия - название облегчило бы ему работу по удалению "нежелательной" информации). Единственный способ дать людям занать о том, что происходит - попытаться написать об этом того кого вы знаете. Но не просто перепечатать эту статью, а пересказать ее своими словами, ведь вирус - это не человек и не умеет (пока?) понимать смысл слов - он просто анализирует повторяющиеся фразы, ключевые слова и поведение пользователей после получения и прочтения того или иного текста. Так что будьте бдительны, не дайте вирусу себя одурачить!

Пишите нам: info@gazeta.ru
Copyright © Gazeta.Ru
RRU_Network
При перепечатке и цитировании ссылка на источник с указанием автора обязательна. Перепечатка без ссылки и упоминания имени автора является нарушением российского и международного законодательства, а также большим свинством.