Написание вирусов не с целью уничтожения чужих данных, а с целью самовыражения и борьбы с чем бы то ни было, становится, похоже, все более популярным. В среду американская антивирусная компания в Сети в диком виде странный вирус - , являющийся очередным клоном известного вируса LoveBug. Правда, в диком виде вирус обнаружен в одном-единственном экземпляре, и возможность его дальнейшего широкого распространения вызывает серьезные сомнения.
На этот раз автор вируса попытался рассказать заражаемым пользователям об опасности системы слежения и контроля за электронными сообщениями - , в существовании которой европейское сообщество не первый год подозревает Америку и другие англо-говорящие страны.
Почтовый вирус приходит к потенциальной жертве в письме в прикрепленном файле, который так и назван - echelon.vbs. Непонятно, рассчитывал ли вообще автор письма на широкое распространение собственного вируса, поскольку в поле subject значится "!!!", а в самом теле письма можно прочесть лишь ":-) MuCuX..." - тонким социальным инжинерингом письмо не блещет.
Самое интересное находится в теле вируса. Компании Sophos удалось выудить из кода червя пространный комментарий, разъясняющий отношение автора к Америке вообще и системе Echelon в частности.
В комментарии можно прочесть следующее: "Я НЕ из ирака и отнюдь не защищаю ирак/ислам в любом виде. Остановите Насилие Пентагона. Почему вы тестируете свое новое оружие на ираке? Вы пытаетесь защитить детей от порнографии, но вы также убиваете их и других невинных людей в ираке... ...и еще одна вещь... почему вы используете такие глупые вещи как эшелон, чтобы подслушивать?"
"Эй, все остальные, давайте перегрузим этот эшелон...", - предложил также автор.
Затем автор вируса приводит почти 2 Кб слов, на которые, по его мнению, Echelon должен среагировать. Среди них: VIP, Шамиль Басаев, Национальное агентство безопасности, терроризм, агенты, компьютерный терроризм, ВМФ, Йемен, безопасность, национальная инфраструктура, сверхсекретно, КГБ, ФБР, ЦРУ, криптография, саботаж и тому подобное. Автор решил, что при массовом распространении такого вируса система "Эшелон" начнет сбоить из-за все возрастающего объема информации, которую необходимо мониторить.
Правда, по , Echelon, согласно давнему исследованию журнала, фильтрует не по неким ключевым словам из словаря "опасных" слов, а по специально разработанным паттернам. В результате этого, даже если бы вирус и получил широкое распространение, в чем есть все основания сомневаться, системе тотальной слежки от этого распространения было бы ни тепло, ни холодно.
Помимо пропаганды свободы распространения информации, вирус также совершает и некоторые деструктивные действия. Все файлы на локальных дисках с расширением VBS, VBE, JS, JSE, CSS, WSH, SCT или HTA заменяются червем, а расширение - на vbs. Графические файлы JPG и JPEG, также заменяются вирусом, однако получают двойное расширение - filename.jpeg.vbs.
Также, если на машине установлена программа mIRC (Internet Relay Chat), вирус запускает скрипт, потенциально способный заразить вирусом компьютеры пользователей канала.
Вирус распространяется через почтовую систему Microsoft Outlook Express и существует только в среде Windows 32.
Copyright © 2000-2002 Нетоскоп