Очередной компьютерный вирус написан на командном языке Windows! Станет ли это настоящим кошмаром для пользователей сети Internet? Последняя неделя октября 1998 года принесла сюрприз. Специалисты Лаборатории Касперского обнаружили компьютерный вирус, действующий на неизвестном ранее принципе:...
Очередной компьютерный вирус написан на командном языке Windows! Станет ли это настоящим кошмаром для пользователей сети Internet?
Последняя неделя октября 1998 года принесла сюрприз. Специалисты Лаборатории Касперского обнаружили компьютерный вирус, действующий на неизвестном ранее принципе: вирус заражает скрипты Windows (программы на командном языке Windows). При запуске вирус ищет на диске другие файлы -скрипты и записывается вместо них. Самым опасным при этом является тот факт, что вирус в состоянии распространяться через сеть Интернет - современные броузеры выполняют зараженные скрипты на локальном компьютере, даже если они расположены на удаленном Web-сервере.
Идея подобного вируса уже ранее была реализована в нескольких вирусах для UNIX. В конце 80-х годов вирусы, написанные на командных языках клонов UNIX, стали настоящим бедствием глобальных компьютерных сетей того времени. Наибольшую известность среди них получили сетевые вирусы-черви "Cristmas Tree", "HI.COM", "Wank Worm". Не исключено, что вирус, написанный на скриптах Windows, открывает новую эру сетевых компьютерных вирусов-червей.
Обнаруженный вирус является первым известным вирусом, поражающим скрипты Windows. Он предельно прост - содержит всего чуть более 10 команд. Этот вирус является, скорее всего, пробой пера одного из "вирусописателей" достаточно известной хакерской группы "CodeBreakers". В вирусе присутствует ряд неточностей, моментально демаскирующих появление вируса в системе: при запуске вируса с удаленного Web-сервера с помощью броузера вирус заражает все файлы в кеше броузера и копирует их в Desktop компьютера (поскольку для броузера текущим каталогом является Desktop). При этом Desktop компьютера оказывается заполненным иконками зараженных скриптов - вирус размножается как кролик, что и послужило основанием для его имени: WinScript.Rabbit.
Несмотря на эти неточности и простоту своего кода, вирус несет потенциальную угрозу для всех пользователей Интернет. Базируясь на возможностях современных глобальных сетей, вирус имеет в своем распоряжении мощный механизм распространения. Не исключено, что скрипт-вирус "Rabbit" является "первой ласточкой", по образу и подобию которой будут созданы новые вирусы, использующие тот же принцип размножения.
В будущем возможно появление целой серии подобных вирусов, заражающей не только скрипт-файлы, но и другие элементы операционной системы Windows и даже Web-сервера. Вирус работоспособен под всеми версиями Windows32 (Windows95/98/NT), где имеется Microsoft Scripting Host. В Windows98 и NT 5.0 поддержка скриптов является стандартной функцией. В других версиях Windows и Windows NT обработка скриптов также возможна, если установлен специальный апдейт.
В целях безопасности Лаборатория Касперского рекомендует всем пользователям Windows 95/98/NT установить встроенную в броузер защиту программы AntiViral Toolkit Pro (AVP), для детектирования и удаления известных на сегодняшний день скрипт- вирусов. Это включено в последний апдейт AVP.
В ближайшем будущем Лабораторией Касперского планируется выпуск специальной версии AVP Inspector for Web Server, детектирующей все изменения на страницах Web-серверов.