"Любовные письма" больше не угроза для ваших компьютеров и сетей! "Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, представила AVP Script Checker - новую технологию защиты от скрипт-вирусов и червей, подобных недавно нашумевшему "LoveLetter". По...
"Любовные письма" больше не угроза для ваших компьютеров и сетей!
"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, представила AVP Script Checker - новую технологию защиты от скрипт-вирусов и червей, подобных недавно нашумевшему "LoveLetter".
По следам последних событий: массовая эпидемия "LoveLetter"
Количество признаний в любви в начале мая 2000 года превзошло самые оптимистичные прогнозы и как минимум в 3 раза превысило среднестатистические показатели. Признавались в любви все - от секретарш и клерков до парламентариев и министров, причем настойчиво и без разбору - всем, кому они могли это сделать, тем и признавались.
А началась эта повальная и сокрушающая любовь к ближним и дальним 4 мая 2000 года, когда то ли немецкий студент, то ли филиппинский школьник (следствие еще не определилось) разослал свой новый вирус-червь в конференции Интернет. Дальнейшее распространение червя шло фантастически быстро по причине "веерной рассылки" - он отправлял свои копии по всем адресам электронной почты из адресной книги Outlook.
Евгений Касперский таким образом прокомментировал глобальную эпидемию нового червя: "Этот червь рассылает себя САМ и СРАЗУ в момент его запуска (а не приклеивается к отсылаемым пользователем письмам, как это делает нашумевший в начале 2000 года скрипт-червь KakWorm). Червь рассылает себя по ВСЕМ адресам адресной книги (а не по 50-ти первым, как делала Melissa). В результате распространение зараженных писем имело взрывной эффект, сравнимый с ядерной цепной реакцией. Допустим, в адресной книге сервера примерно 300 адресов, в компании работает 50 человек, и примерно 20% персонала не понимают, что запускать файлы из вложений нельзя - получаем примерно следующее. Если в такую компанию попадает письмо с вирусом, то от компании уходит примерно 0.20*50*300 = 3000 зараженных писем. Как мне помнится, в атомных бомбах соотношение "разлетабельности" нейтронов примерно 3 на 1 прилетевший. То есть, компьютерная любовь бьет в 1000 раз сильнее".
Естественно, что первыми от червя пострадали страны Азии, поскольку вирус был выпущен на свободу именно там (Филиппины). Затем он пришел в Европу, из Европы в Америку и к нам в Россию. В "Лабораторию Касперского" первое, но далеко не последнее, зараженное письмо поступило первый раз в 13:08 минут по московскому времени.
В 17:30 по московскому времени, когда в США началось утро, весь мир лежал у ног новоявленного компьютерного монстра - поступили сообщения о массовых заражениях компаний и частных пользователей. По оценкам различных компаний поражению подверглось огромное количество компьютерных сетей (от 30% до 80% в зависимости от страны). Количество зараженных компьютеров на третий день нашествия червя оценивается в 3 миллиона. Ориентировочные данные об убытках колеблются от сотен миллионов до 10 миллиардов долларов США.
Противоядие найдено?
Антивирусные компании практически мгновенно выпустили вакцины, однако сразу возникла проблема: червь начал мутировать. Модифицировать его код очень легко, поскольку червь написан на скрипт-языке Visual Basic Script, то есть распространяется в исходных текстах. И изменить его код, добавить или убрать функции может любой, кто мало-мальски разбирается в этом языке.
Другая проблема, возникающая при детектировании скрипт-вирусов и червей, заключается в том, что стандартные антивирусные средства во многих случаях способны отловить опасного гостя только после того, как он уже проник в систему и поразил ее.
Схема работы большинства известных скрипт-вирусов и червей достаточно проста: при их запуске они создают на диске свои временные копии. В этот момент их и "ловят" резидентные антивирусные мониторы. Однако возможны ситуации, когда эти вирусы не создают на диске никаких файлов (они используют исключительно память компьютера). Таким образом, мониторы просто не в состоянии обнаружить факт проникновения вируса на компьютер.
Как защитить Ваш компьютер от любых "любовных писем"?
"Лаборатория Касперского" предлагает своим пользователям уникальную технологию защиты как от всех известных вариантов нового интернет-червя "LoveLetter", так и от всех его последующих мутаций. Данная защита основана на новой технологии проверки всех скрипт-программ, которые запускаются приложениями Windows (такими, как Microsoft Explorer, Microsoft Internet Explorer, Microsoft Outlook и т.д.). Защита встраивается как фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, Microsoft Windows Script Host - обработчик VisualBasic-скриптов).
Таким образом, в момент передачи скрипта на обработку и выполнение, его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов и червей. На известные вирусы скрипт проверяется при помощи резидентного перехватчика AVP Monitor, а новые неизвестные вирусы блокируются специально разработанным эвристическим анализатором.
"Подобная двухуровневая антивирусная система защиты, встроенная непосредственно в самое ядро обработчика скрипт-программ, является гарантированным средством против многочисленных Интернет-червей нового поколения" - резюмирует Евгений Касперский, - "Мы настоятельно рекомендуем пользователям установить нашу новую разработку и обновить свои антивирусные программы. Если бы я сегодня выбирал антивирусную защиту для своего компьютера - я бы так и сделал".
