Диковинные вирусы: миф или реальность?

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-024-2

1. Предотвращение многократной посылки программы-шутки в антивирусную лабораторию AVP. После обнаружения подобной программы пользователь шлет ее специалистам, до конца не разобравшись в том, что софтина не представляет для него особой опасности. Из-за шквала подобного мусора, работники лаборатории были вынуждены занести такие проги в антивирусную базу.

2. Для улучшения качества продукта. Пользователи, которые посещают архивы с коллекцией программ-шуток, нередко замечают, что создатели файлов пишут о невозможности детектирования антивирем. Чтобы быть "впереди планеты всей", такие творения были внесены в антивирусную базу.

Также существуют файлы, которые определяются антивирусами, но не являются заразными. Пример такой мистификации – Eicar. Это 68-байтный комок, который выводит на экран строку EICAR-STANDARD-ANTIVIRUS-TEST-FILE! Его занесли в базу лишь потому, что он необходим для проверки работы антивируса и поставляется с ним в комплекте.

Мы пойдем другим путем!

Отдельно выделяются вирусы, имеющие нестандартные алгоритмы распространения. Совсем недавно выяснилось, что виндовый Media Player содержит багу, через которую можно было запускать локальные файлы. Вирмейкеры пронюхали это и написали чудесную mp3’шку, которая юзала эту уязвимость. Выдавая свои композиции за популярные хиты, создатели вируса заставляли проигрыватель накручивать баннеры на определенном ресурсе. Это происходило при запуске файла известным проигрывателем.

Как выяснилось, звуковой файл был простой подделкой. Композиция, содержащая в себе звук и небольшой скрипт, позволяющий открывать большое число popup-окошек, были сделаны в формате wma. Затем файл был переименован в mp3. Из-за того, что проигрыватель не обращает внимания на несоответствие расширений, становилось возможным распространять этот вирус. Теоретически, через скрипт можно произвести ActiveX-вызов и тем самым полностью завладеть системой. Чтобы избежать подобного заражения, необходимо либо использовать Winamp для проигрывания звукозаписей (наилучший вариант), либо пропатчить продукт Microsoft.

Это далеко не единственный диковинный способ передачи вирусов. Почитав тематические статьи в инете, ты удивишься многообразию способов распространения заразы.

У меня зазвонил телефон...

После того, как компьютерные мистификации обрели некоторую популярность, злоумышленники снова решили пошутить над незадачливыми ламерами в инете, только уже несколько по-другому. Теперь они нацелились на сотовые телефоны. В 2000 году по Сети ходило письмо о том, что телефоны марки Nokia и Motorola содержат опасную уязвимость и могут быть легко выведены из строя опасным вирусом. При этом шутники ссылались на известные компании Sophos и intY, чтобы придать письму достоверность. В тексте письма находилось следующее предостережение: если вам поступил звонок и на экране появилась надпись "не существует" (именно она отображается, когда номер не определен), следует немедленно отклонить вызов и выключить телефон. В противном случае, в мобилу вселится якобы опасный вирус и сотрет всю информацию с SIM-карты и из памяти трубы. При этом мобильник потеряет контакт с внешним миром, и его можно будет выбросить ;). Ну и, конечно, в приписке сказано о пересылке этого письма своим друзьям и знакомым. Как ты понял, эта обычная вирусная мистификация, и создана она для реализации двух целей: