ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА

Существует несколько легенд о вирусах, заражающих электронную почту и самостоятельно рассылающих себя по глобальной сети Internet (GoodTimes, Irina, Join the crew, Greetings и т.п.).

Все эти легенды, к счастью, являются просто плохими шутками, на самом деле, никаких таких Email-вирусов не существует. Перепуганные пользователи, тем не менее, закидывают службы технической поддержки антивирусных компаний и специализированные конференции криками о помощи, поскольку кто-то сообщил им о подобном вирусе, и они считают свой компьютер зараженным. Однако в последнее время легенды постепенно становятся реальностью...

Уже был макро-вирус, рассылающий себя по MS-Mail (имя вируса - ShareFun). А вот теперь - вирус RedTeam (красная бригада). Он заражает выполняемые файлы Windows (NE EXE) и рассылает свои копии в Internet при помощи электронной почты Eudora.

Для заражения файлов вирус остается в памяти Windows как резидентная программа и записывается в Windows-файлы при их запуске. При рассылке зараженных сообщений вирус самостоятельно разбирает внутренний формат баз данных электронной почты Eudora и добавляет в Outbox сообщения, содержащие зараженное вложение (attach). Т.е. вирус рассылает свои копии в Internet только при условии установленной на компьютере электронной почты Eudora. Принять зараженное письмо и активизировать вирус могут пользователи не только Eudora, но и большинства современных электронных почт, т.к. все они используют стандартизированные протоколы обмена сообщениями. Естественно, вирус не способен автоматически запускать себя на компьютере, получившем зараженное сообщение. При открытии и просмотре письма вирус не заражает систему, так как для этого требуется не только открыть письмо, но и запустить вложенный в него зараженный EXE-файл. Сделать именно это и призывает пользователя текст письма, сообщающий о том, что появился новый вирус по имени Red Team, против которого создан антивирус, вложенный в письмо. Вложенный файл с именем K-RTEAM.EXE (Kill Red Team) имеет формат NE и длину 6351 Б. Он является зараженной программой-пустышкой, которая при запуске не производит никаких действий (за исключением, естественно, запуска вируса). Вирус создает этот файл на диске C:

(C:\K-RTEAM.EXE). Вирус не посылает повторные сообщения с одного и того же компьютера: при рассылке заражений вирус создает файл-идентификатор с именем RTBASE.TOC и при следующих запусках не вызывает процедуру рассылки писем, если такой файл уже присутствует.

Тесты, проведенные в Лаборатории Касперского, показали: вирус работоспособен в операционной системе Windows 3.xx и не вызывает каких-либо побочных эффектов (системные сообщения об ошибках, сбои в работе компьютера и т.д.) - все зараженные файлы остались работоспособными. Вирус также без побочных эффектов записал зараженные сообщения в e-mail в базу Outbox, затем зараженное письмо было послано в Internet на тестовый адрес и принято в неповрежденном виде. В среде Windows 95 и Windows NT вирус из-за ошибки не заражает KRNL386.EXE. Несмотря на это, файлы, зараженные под Windows 3.xx, остаются вполне работоспособными под Windows 95/NT. Они работают без ошибок и способны записывать сообщения в базу данных Eudora. Однако ошибка в вирусе может быть исправлена, и автор вируса выпустит в свет версию, совместимую с Windows 95/NT.

Таким образом, вирус представляет собой реальную угрозу для глобальных компьютерных сетей, поскольку использует для своего распространения наиболее популярную среду (Windows) и одну из самых популярных систем электронной почты (Eudora), имеющую 18 миллионов пользователей. К счастью, он пока не был обнаружен в живом виде.

По мнению Евгения Касперского, получившего Red Team в свою коллекцию из Польши, вирусы, использующие для своего распространения протоколы глобальных сетей и, в первую очередь, электронной почты, станут в скором будущем настоящим бедствием для пользователей всей планеты. В Лаборатории Касперского в настоящее время ведется активная подготовка к борьбе с вирусом нового поколения. К выходу готовится специализированная система для проверки почты на локальных станциях, в стадии разработки - сетевые версии антивируса для автоматической проверки электронной почты на серверах организаций и предприятий.

Источник: InfoArt News Service </mainmenu.htm> .

Алексей Топунов, руководитель направления фирмы Поликом Про,
тел. 325-8400