Александр Иванов [sanyok80@rambler.ru]
KAVернозный продукт
Вот уже второй месяц сетевую общественность терроризирует VBS-вирус, написанный с использованием запрещённых технологий социального инженеринга. В отличие от большинства своих сородичей, он никак не маскируется и не завлекает пользователей. Напротив! Аттач к письму в простом текстовом формате всегда имеет одно и тоже имя (VBS_StupidImbecile.html) и при двойном клике на нём появляется диалоговое окно с сообщением: «Нажмите ОК, если хотите инфи-цировать свой компьютер вирусом VBS. StupidImbecile». Оно дублируется на 256 языках (включая Эсперанто, Интерлингву, Ыфкуил, C# и даже некоторые пра-языки сино-тибетской семьи). Тема письма тоже не отличается оригинальностью: «This message is infected by VBS. StupidImbecile virus. Be careful!». Само же письмо содержит в себе исходники вируса с комментариями, историю его создания, готовые примеры сигнатур для обновления баз популярных антивирусов и подробную инструкцию для его ручного удаления с инфицированного ПК.
Мы попросили известного вирусолога Евгения Касперского прокомментировать появление столь странного образчика компьютерной фауны в эксклюзивном интервью для читателей газеты «АнтиЛох».
А.И. – Евгений, что Вы можете сказать о вирусе VBS . StupidImbecile ? Почему на этот раз всё так необычно?
Е.К. – Это, безусловно, самый опасный вирус среди всех когда-либо существовавших! Он рушит все стереотипы, которые мы с таким трудом донесли до пользователей. Последние оказались морально не готовы встретить старую угрозу в новом обличии. Компьютеры инфицируются тысячами за сутки с первого дня эпидемии и вплоть до настоящего момента. Спада же не предвидится вообще. По моим расчётам, в пятницу 13-ого Интернет умрёт, не выдержав вирусного натиска.
А.И. – Какой ужас! Но почему Сеть обречена на сей раз, ведь она уже пережила не одну сотню эпидемий?
Е.К. – Дело в том, что пользователи полностью деморализованы. Многие (если не все) заражаются повторно. Они просто отказываются верить в то, что вирус может придти к ним совершенно открыто, да ещё и предупреждать их через фразу. До сих пор на форумах пестрят заверения о безопасности инфицированных сообщений и шуточном характере этих писем.
А.И. – Есть ли хоть какой-то шанс спасти Всемирную Паутину?
Е.К. – Единственный выход я вижу в том, чтобы все немедленно купили специальные коробочные версии новейшего «Антивируса Касперского Телепузик-Эдишен v .6.0 build 66» с ключом регистрации на неделю.
А.И. – Простите, но при всём уважении к Вам, подобные заявления выглядят как неприкрытый пиар. Ведь в исходниках вируса уже есть примеры сигнатур и даже руководство по ручному удалению VBS . StupidImbecile . Так почему же антивирус Вашей компании позиционируется как «Единственный выход»?
Е.К. – По мнению нашей ведущей уборщицы бабы Глаши, создатель вируса только и ждёт того, что кто-то начнёт ему самостоятельно противостоять. Это тщательно спланированная атака по типу многоходовки. Цитирую: «Делать этому поганцу нечего, вот и лепит всяку хренотень! Вы тут нервничаете, взад-вперёд шастаете, а мне потом убирать!». Видите: каждый, кого эпидемия затронула хотя бы косвенно, начинает считать, что она направлена именно на него. На этот раз мы столкнулись с необычным злом, поэтому и борьба с ним должна быть необычной.
А.И. – Расскажите поподробнее!
Е.К. – К созданию своего революционного продукта мы подошли со всей серьёзностью, поэтому ещё до начала основных работ поручили Денису Зенкину провести социологическое исследование в группе даунов с тяжёлым клиническим прогнозом. По мнению нашей компании, их уровень IQ и поведенческие реакции максимально соответствуют таковым для среднестатистического пользователя. На основании полученных данных мы и разработали новый уникальный интерфейс антивируса. Вот его основные черты: пункты меню и настройки отсутствуют полностью. Последние прописаны в самом исполняемом файле и будут изменяться по мере необходимости нашими специалистами удалённо. Таким образом, пользователь будет полностью лишён бремени обучения работы с продуктом и понимания принципов его функционирования. Вместо стандартного окна с кучей параметров и флажков напротив незнакомых терминов, на фоне анимированной фотографии улыбающегося Дениса Зенкина будет всего одна кнопка «Не проверять». Для облегчения восприятия надпись продублирована ниже в формулировке «Хватит!». Как вы уже, наверное, догадались, по умолчанию «Шестёрка» проверяет всё, до чего успела дотянуться.
А.И. – То есть, надо лишь установить/запустить антивирус… и всё? Можно спать спокойно?
Е.К. – Даже ещё проще. Антивирус установится сам (при этом скрыто пропишет себя на автозапуск в реестре, оставит загрузчик в MBR и часть кода во FlashBIOS ), стоит только пользователю вставить инсталляционный диск или посетить сайт «Лаборатории Касперского»…
А.И. – Во время подготовки к сегодняшнему интервью я посетил Ваш сайт. Страница очень долго грузилась, откуда-то появились лишние полгига трафика, а потом компьютер стал жутко тормозить.
Е.К. – Поздравляю! Судя по Вашему описанию, установка «Шестёрки» прошла успешно. С Вас 80 евро за недельный ключ, иначе программа посчитает инсталляцию пиратской, а затем… нет, не скажу. Сюрприз будет!
А.И. – [часть реплик автора вырезана. Прим. ред.] Но откуда взялся такой перерасход трафика?
Е.К. – Теперь во время просмотра нашей страницы на сервер компании копируется содержимое папки \Мои Документы\ и некоторые другие данные. Это необходимо для автоматического создания резервных копий. Если лечение окажется невозможным, то вы просто восстановите свои документы из них.
А.И. – [часть реплик автора вырезана. Прим. ред.] Скажите, а почему мой компьютер «встал на ручник»? Блокнот, и тот две минуты грузится!
Е.К. – Мощности вашего ПК явно недостаточно. Судите сами: CPU Pentium 3,8 GHz HT , s / n <вырезано>; MB Albatron на чипсете Intel 955 XE , гигабайт DDR 2 800 MHz , SATA - II RAID массив уровня 0+1 ёмкостью 750 Гб - это всё вчерашний день. «Шестёрка» - передовой продукт, ей необходимо самое новое железо. И потом, SLI GeForce 6800 Ultra – это несерьёзно. Разрешение фотографии Дениса Зенкина (по многочисленным просьбам поклонников) составляет 12800 * 9600 пикселей. Анимация построена на API DirectX 10.0 a . Цветовая глубина (впервые в Мире!) 64 бита, а уровень анизотропии текстур 32-кратный!
А.И. – Откуда Вы знаете серийный номер моего процессора?!
Е.К. – Александр, Вы невнимательны. Я же говорил, что «Шестёрка» копирует на сервер компании ещё кое-какие данные. Серийные номера всех устройств и обнаруженных программ, аккаунты web - money , адресные книги, PGP -ключи… впрочем, не забивайте себе голову. Ваша информация надёжно защищена на нашем сервере и доступ к ней третьих лиц исключён.
А.И. – Но она же передаётся по обычному HTTP соединению!
Е.К. – Всё в этом мире несовершенно… Сами подумайте, кому нужны ваши персональные данные? Закроем тему и вернёмся к уникальному алгоритму проверки. Итак, мы запатентовали не имеющую аналогов технологию FastScan . Теперь антивирус проверяет не все исполняемые файлы, а только половину (через один).
А.И. – Я, конечно, не специалист, однако мне кажется, что надёжность такой проверки резко снижается по сравнению с обычной.
Е.К. – Не так сильно, как возрастает скорость. Вдвое! Two fast, two furious! Даже если поверить в исчезающе малую вероятность присутствия всех вирусов в непроверяемой половине файлов, то всё равно это не проблема. Они будут размножаться, а потому рано или поздно попадутся. Также мы существенно выигрываем в скорости за счёт отказа от проверки архивов и почтовых баз – из тех же соображений.
А.И. – А как насчёт лечения?
Е.К. – Теперь мы используем только радикальное лечение: удаление заражённых файлов с последующим восстановлением их из резервных копий на нашем сервере. Это позволило сократить сигнатуры на 23%! Представляете, какая экономия трафика при обновлении баз!
А.И. – Да уж… А если удалённого файла не окажется среди копий?
Е.К. – То есть, как это «не окажется»?! Общеизвестно, что все необходимые файлы хранятся в папке \Мои Документы\. Если пользователь использует другие варианты, то он, простите, извращенец! «Лаборатория Касперского» не оказывает техподдержку извращенцам. Для этого мы учредили дочернюю компанию… Наташа, вызови скорую! Тут корреспондент в обморок грохнулся.