MELISSA: концепт или зло?
Не так давно в Сети появился новый почтовый вирус Melissa, который стал одним из самых быстрораспространяющихся компьютерных вирусов в истории. Для пользователя он безвреден, но, естественно, неприятен. ФБР проявило завидную оперативность и арестовало вероятного автора программы. Ниже представлены статьи о Мелиссе из российских компьютерных источников.
Компьютерра: Письма от Мелиссы
ZDNET: Вирус Melissa всполошил Америку
ZDNET: Арестован подозреваемый в изготовлении вируса
ZDNET: Подозреваемый по делу Melissa предстал перед судом
Компьютерра: Обнаружилась часть компьютерного сообщества, только выигравшая от
появления вируса Melissa
Письма от Мелиссы
Не успели мы передохнуть после атаки вируса happy99.exe, как появился новый противник - Melissa. Вирус распространяется в письме, содержащем список порнографических сайтов и действует следующим образом: посылает письмо, в котором он содержался, по первым пятидесяти адресам, занесенным в адресные книги Outlook и Outlook Express.Несмотря на уже распространившиеся слухи, вирус не удаляет файлы на жестком диске и вообще не причиняет никакого прямого вреда данным пользователя. Активизируется вирус в том случае, если пользователь открывает вложенный в письмо файл в Microsoft Word с включенной поддержкой макросов. Заголовок письма, в котором распространяется Melissa, - "Important Message From Application.UserName", текст в теле письма начинается со слов ``Here is that document you asked for ... don't show anyone else''. Если вы подозреваете, что могли стать жертвой подобного вируса проверьте в реестре наличие ключа HKEYCURRENTUSER/Software/Microsoft/Office/''Melissa?''.
Вирус Melissa всполошил Америку
Роберт Лемос (Rob Lemos), ZDNN
28 марта 1999 г.
Впервые обнаруженный в пятницу в Западной Европе макровирус Melissa, поражающий пользователей Outlook/Exchange, в выходные продолжал стремительно распространяться по Интернету (пострадали даже корпорации Microsoft и Intel). Угроза оказалась настолько серьезной, что федеральным властям США пришлось распространить специальное предупреждение.
Первые попытки предотвратить компьютерную катастрофу предприняли ФБР и Центр защиты национальной инфраструктуры (NIPC). В распространенном в воскресенье заявлении NIPC — специальной организации, созданной с целью защиты национальных информационных ресурсов, — говорится о многочисленных сообщениях по поводу распространения вируса в коммерческих, государственных и военных системах. Эксперты по компьютерной безопасности характеризуют Melissa как самый быстрораспространяющийся вирус, какой они когда-либо встречали. Число заражений растет как снежный ком, даже несмотря на характерное для выходных дней снижение трафика электронной почты.
Представители центра Computer Emergency Response Team (CERT) в Университете Карнеги-Меллона сообщили, что к вечеру воскресного дня вирусом были поражены более 100 предприятий и организаций. «Сотни и тысячи машин на каждом из них лишены способности принимать и отправлять почту, — сказал руководитель центра Джефф Карпентер (Jeff Carpenter). — Однако это ничто по сравнению с тем, что может произойти в понедельник».
Как действует Melissa
Вирус Melissa, по существу, представляет собой простой макрос Word. Он передается при открытии зараженных документов Word 8 или Word 9 соответственно из Office 97 или 2000. В некоторых случаях вирус может распространяться и автоматически — среди тех пользователей, которые выключили в своих системах опцию, предупреждающую о запуске макроса.Макрос заставляет программу Microsoft Outlook рассылать документ по первым 50 адресам из адресной книги пользователя. В строке Subject помещается текст Important Message From и имя отправителя. В теле сообщения значится: Here is the document that you asked for. Don't show anyone else ;-).
Риску подвергаются даже те, кто не пользуется программой Outlook. Зараженные документы будут отправляться и в том случае, если Outlook настроен только на отправку почты. Более того, заражается и шаблон normal.dot, используемый программой Word для каждого вновь создаваемого документа по умолчанию, так что следующие созданные пользователем документы тоже будут содержать вирус.
Предполагается, что первоначально вирус появился в новостной группе alt.sex, где прилагаемый документ Word преподносился как список паролей для входа на разные порнографические веб-сайты. В содержащемся в коде вируса файле подписи указано его имя (Melissa) и псевдоним автора: Kwyjibo.
Менеджеры сетей в замешательстве
Хотя вирус распространяется быстро, он не наносит серьезного ущерба пользователям. Помимо самовоспроизведения, он проявляет себя только в те моменты, когда текущее время совпадает с текущей датой. Например, в 2:27 после полудня 27 марта вирус копировал в текущий документ следующее высказывание героя популярного мультсериала Барта Симпсона: Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here. Главная угроза вируса в том, что большой трафик сообщений e-mail через серверы практически выводит их из строя.Тем временем специалисты по ИТ всей страны спешат предупредить пользователей о данной проблеме, рекомендуя им не открывать вложенные в сообщения документы и обновить свое антивирусное ПО. «Пользователи могут оказать существенное влияние на распространение эпидемии, — сказал директор NIPC Майкл Вейтис (Michael Vatis). — Я призываю их проявлять бдительность при чтении электронных писем в течение нескольких следующих дней и сообщать о подозрительных поступлениях администратору».
Арестован подозреваемый в изготовлении вируса Melissa
Роберт Лемос (Robert Lemos), ZDNN
2 апреля 1999 г.
В пятницу, после задержания администратора сети Дэвида Смита (David L. Smith), подозреваемого в изготовлении макровируса Melissa, мнения интернет-сообщества по поводу степени его предполагаемой вины разделились.
Одни считают, что выпуск в свет в целом беззлобной, но быстро распространившейся компьютерной программы следует считать просто неудачной выходкой. Другие жаждут крови. «Тот, кто хочет поиграть, должен быть готов заплатить! — гласит заявление, присланное в пятницу в Usenet-группу alt.comp.virus. — Если окажется, что ход вирусу Melissa действительно дал г-н Смит, он должен быть осужден по всей строгости закона».
Смиту, арестованному в четверг ночью в Итонтауне (штат Нью-Джерси), предъявлено обвинение в нарушении работы общественных средств связи, покушении и приготовлении к совершению преступления, а также умышленной краже компьютерных услуг. Все вместе это может потянуть на срок тюремного заключения до 40 лет и штраф в 480 тыс. $.
«Выпороть его!»
Администраторы информационных систем, которые провели большую часть прошлых выходных за чисткой своих систем от вируса, относятся к Смиту самым нетерпимым образом. «Я предлагаю устроить общественную порку, выстроившись в очередь, так чтобы каждый системный администратор мог задать ему свою порцию розог», — написал в alt.comp.virus менеджер информационных систем Брюс Фернбаух (Bruce Fernbaugh). — Он должен быть унижен и разорен в назидание каждому следующему идиоту, который пожелает создать вирус». По мнению Фернбауха, астрономического штрафа и тюремного заключения недостаточно.Не такое уж это преступление!
Однако другие отмечают, что на самом деле Melissa не так уж зловреден. «Конечно, макровирус временно вывел из строя серверы, и некоторым администраторам пришлось повозиться, но настоящих повреждений все же не было, — сказал директор ново-английского отделения Всемирной организации веб-мастеров Бен Дилонг (Ben DeLong). Аналогичного мнения придерживается хакер Guillermito из Франции. «Судя по тому, что Melissa не несет в себе разрушающего потенциала… и администраторам очень легко защитить от него систему, становится ясно, что программа создавалась без злого умысла», — написал он в письме в ZDNN. — Эта история напоминает мне первый макровирус Concept, содержавший комментарий: „Этого достаточно, чтобы подтвердить мою идею”».Виновата Microsoft?
По мнению Guillermito, даже если автором вируса и был Смит, в том, что катастрофа приняла столь широкий размах, следует, скорее, винить компанию Microsoft, продукты которой позволили Melissa распространиться столь стремительно. «Уровень защищенности продуктов Office близок к нулю, — пишет французский хакер. — Наверное, пользователям был необходим такой шок, чтобы они немного задумались над качеством применяемого ими ПО. Если вам нужна вычислительная техника без вирусов, не покупайте некачественные, абсолютно незащищенные продукты».
Подозреваемый по делу Melissa предстал перед судом
Алекс Уиллен (Alex Wellen) и Люк Райтер (Luke Reiter), ZDTV
8 апреля 1999 г.
Трентон (штат Нью-Джерси) — В четверг предполагаемый автор вируса Melissa Дэвид Смит (David L. Smith) впервые явился в Окружной суд Монмаута, чтобы заслушать предъявленное ему обвинение.
Одетый в синий костюм и белую рубашку 30-летний Смит, уроженец г. Абердин (штат Нью-Джерси), выслушал обвинение и свои права, практически не произнеся ни слова.
Власти штата обвиняют Смита в нарушении работы общественных средств связи, покушении на совершение преступления и приготовлении к нему, а также в умышленной краже компьютерных услуг. Все вместе это может потянуть на срок тюремного заключения до 40 лет и штраф в 480 тыс. $. В суде Смиту не задавали никаких вопросов (в ближайшее время состоится его пресс-конференция). По окончании короткого заседания Смит в сопровождении группы репортеров вернулся к своей машине, так и не сделав заявления. Отвечать на вопросы он будет на следующем слушании.
Однако уже сейчас возникли сомнения в том, что Смит действительно является автором вируса. Джонатан Джеймс (Jonathan James), 18-летний эксперт по компьютерным вирусам из Швеции, помогавший ФБР расследовать дело Melissa, нашел следы второго подозреваемого, который, по его мнению, участвовал в создании вируса. Джеймс мало что о нем знает, но утверждает, что это мужчина, который живет где-то в Европе. Он говорит по-немецки или на языке, родственном немецкому : в компонентах исходного кода Melissa есть немецкие слова. «Я изучил его программу и сравнил ее с кодом вируса Melissa. В них есть несколько поразительных совпадений, и они содержат переменные с немецкими именами», — сказал он.
Означает ли это, что автор Melissa не Смит? Джеймс этого не знает. Он подозревает, что Смит участвовал в распространении вируса, но сам его, возможно, и не писал.
Конечно, не все согласны с мнением Джеймса. Президент Phar Lap Ричард Смит (Richard Smith), который также консультировал ФБР, полагает, что за новым европейским следом может и не быть ничего серьезного. Возможно, это обычный плагиат. «Простейшее объяснение — автор вируса мог не знать, как произвести почтовую рассылку из Word, и позаимствовал у кого-то готовый код, — пояснил Смит. — То, что какие-то компоненты программы написаны по-немецки, не означает, что их автор — участник распространения вируса Melissa. Вероятно, этот код у него просто позаимствовали».
Обнаружилась небольшая часть компьютерного сообщества, только выигравшая от паники, сопровождавшей шествие макровируса Melissa.
В результате поднявшегося переполоха резко выросли продажи у компаний, распространяющих антивирусное программное обеспечение. Так, например, за неделю, последовавшую за появлением вируса, продажи Norton Antivirus выросли на 78%. Успехи Network Associates' VirusScan и Dr. Solomon's AntiVirus более скромны, но все равно увеличение продаж в полтора раза принесло огромные прибыли компаниям.
Лаборатория Касперского уже выпустила обновление, отлавливающее Мелиссу.
Обладатели системы AVP - обращайтесь на www.avp.ru .
На страницу "Компьютеры"
На Чердак
