Вирус поражает Windows NT, или рецепт приготовления слона из мухи

Несколько дней назад компьютерная общественность была извещена о глобальной угрозе, нависшей над всем миром - о новом сетевом вирусе-монстре WinNT.RemEx (Remote Explorer), поражающем сервера Windows NT и компьютерные сети, работающие под их управлением. Информация исходила от компании Network Associates International (NAI, бывшая McAfee).

Примечательно, что в период анонсирования информации о вирусе ни одна компания, кроме NAI, не имела его образца для самостоятельного изучения. Обычно разработчики антивирусных программ обмениваются образцами и технической информацией о новых вредоносных программах и методах их обнаружения и удаления. . Однако в случае с вирусом WinNT.RemEx (Remote Explorer) такого не произошло: в течение пяти дней компания а NAI не выпускала вирус из своих рук, одновременно раздувая рекламную шумиху вокруг новоявленного "монстра'" Образец вируса не получили даже члены международной антивирусной организации CARO.

Computer Anti-virus Researchers Organization - некоммерческая приватная организация, объединяющая антивирусные компании всего мира. "Лабораторию Касперского" в CARO представляет Евгений Касперский.

Наконец, образец вируса был получен сотрудниками "Лабораторию Касперского". Каково же было всеобщее удивление, когда в вирусе не было обнаружено практически ничего "супер-технологического", о чем так громко заявляли пресс-релизы NAI.

Евгений Касперский прокомментировал результаты исследований нового вируса следующим образом:

"Новый вирус является первым "настоящим" NT-вирусом и может восприниматься как некий супер-вирус, заражающий сервера NT. На самом деле, судя по стилю программирования, вирус был написан разработчиком среднего уровня, который имеет доступ к документации NT DeviceDevelopmentKit. Вирус не перехватывает никаких системных событий NT; не использует сетевых протоколов; не пытается получить права и пароль доступа для заражения других серверов сети; не передает свою копию в глобальные сети; и прочие "не". Более того, обычные DOS-вирусы имеют все те же возможности - они так же в состоянии заражать файлы на доступных удаленных дисках локальной сети, оставаться в системной памяти и т.п.

Данная вредоносная программа представляет собой всего лишь обычный файловый вирус, однако, исполнен как WinNT сервис. Он не сложнее, чем многие другие Windows и DOS вирусы. Более того, вирус не является неожиданностью: о возможности существования "настоящих" NT-вирусов говорили уже очень давно."

Интересно отметить, что это не далеко первая рекламная компания, проводимая NAI (McAfee). Наиболее красноречивым ее прототипом является заявление McAfee, сделанное в 1992 году по поводу загрузочного вируса Michelangelo (Stoned.March6), уничтожающего информацию на дисках 6 марта. Согласно информации McAfee очередного 6 марта вирус Michelangelo должен был стереть информацию более чем на пяти миллионах компьютеров. Благодаря панике, прибыли McAfee поднялись в несколько раз, хотя число пострадавших от "страшного" вируса было минимальным - не более 10.000 машин.

Хотелось бы также отметить, что "Лаборатория Касперского" , как и большинство антивирусных компаний мира, выражает недоумение подобным поведением NAI - одного из признанных лидеров антивирусного бизнеса. Мы считаем, что единственной задачей этого "битья в барабаны" было привлечь внимания к NAI как к "супер-техническому" эксперту в области защиты от вирусов и заработать на перепуганных пользователях Windows NT как можно больше денег. Мы считаем, что прошедшие события бросают тень на все антивирусные компании. Мы также считаем себя обязанными заявить, что "Лаборатория Касперского" никогда не пыталась, не пытается и не будет пытаться дурачить пользователей, публикуя заведомо некорректную информацию о несуществующей опасности.

Более подробную информацию о вирусе WinNT.RemEx (Remote Explorer) вы можете прочитать в Вирусной Энциклопедии Касперского