В конце прошлой недели обнаружен новый почтовый червь, который ищет на зараженных компьютерах детскую порнографию. В случае выявления подозрительных файлов он сообщает об этом в соответствующие правительственные органы, - передает Wired News. В сообщении содержится e-mail владельца компьютера и одна из запрещенных картинок в качестве образца.
Червь называется "Noped" (возможно, это трансформация американской разговорной формы слова "нет" - "nope"). Он является нелегальным средством с общественно-полезными функциями. Первой полностью полезной разновидностью "вредоносного программного обеспечения" был червь "Cheese", появившийся в январе этого года. Он производил дезинфекцию Linux DNS-серверов, пораженных настоящим вредоносным червем "Lion").
Латающие дыры черви существовали и раньше ("Ramen"), но они, наряду с полезным эффектом, все же оказывали то или иное вредоносное воздействие. Если, конечно, пользователи, о которых "Noped" сообщает в правоохранительные органы, согласятся считать его таким уж полезным.
В британской фирме TechServ, специализирующеся на вопросах компьютерной безопасности, считают нового червя подпольным социальным сервисом. Однако специалисты фирмы сомневаются в надежности его идентификационного механизма. Они опасаются, что правительственные органы теперь будут завалены продуктами жизнедеятельности нового червя - ложными доносами о детской порнографии.
По данным TechServ, "Noped" сканирует файлы .jpg и .jpeg на предмет совпадения их имен с теми, что содержатся в специальном списке. Этот черный список составлен из имен файлов с детской порнографией, найденной на веб-сайтах и в группах новостей Usenet. Содержание файлов червь не анализирует.
Согласно Symantec, "Noped" написан на Visual Basic Script (VBS) и распространяется в виде аттачмента через почтовую программу Outlook. В теме письма содержится призыв поучаствовать в борьбе с детской порнографией: "FWD: Help us ALL to END ILLEGAL child porn NOW". В самом письме предлагается прочитать прилагаемый документ как можно скорее: "Hi, just a quick e-mail. Please read the attached document as soon as you can. Thanks". Имя приаттаченного файла "END ILLEGAL child porn NOW.TXT". Дальнейшее расширение .vbs может быть скрыто, в зависимости от установок Outlook.
При открытии аттачмента загружается "Блокнот", а в нем появляется текст, в котором излагаются законодательные аспекты детской порнографии (американские). В браузере Internet Explorer в качестве стартовой страницы устанавливается сайт автора вируса. Также вносятся некоторые изменения в системный реестр Windows и производится сканирование жесткого диска. Один из подозрительных файлов посылается в правоохранительные органы с адреса хозяина компьютера.
Каким бы социально полезным не был "Noped", это все же незаконное ПО, и Symantec на своем сайте добросовестно разместила подробные инструкции по упразднению червя.