Самым обновленным версиям антивирусного программного обеспечения самых разных производителей не удается справиться с эпидемией вируса SirCam. Программное обеспечение, рассчитанное на то, чтобы отфильтровывать письма, содержащие заразные вложения, пропускают вирус в почтовые ящики, в результате чего пользователи, уверенные в том, что им ничего не грозит, спокойно активизируют хитроумный вирус.
Как сообщает онлайновый журнал The Register, недавно было обнаружено, что ПО компании , предназначенное для фильтрации файлов MIME (Multipurpose Internet Mail Extension - многоцелевые расширения почты Интернет), а также антивирусное ПО компании (Norton Antivirus v. 2.x для почтовых SMTP-шлюзов) не справляются с отфильтровыванием зараженных писем.
Еще раньше сообщалось, что даже в отделе ФБР по борьбе с компьютерными преступлениями новейшие версии антивирусного ПО не справились с вирусом SirCam и на одном из компьютеров подразделения вирус был активизирован, в результате чего произошла утечка в Сеть секретных документов.
При этом проблемы наблюдаются именно с обновленными версиями антивирусов, специально написанными для борьбы с новыми червями. Причина банальна: хитроумный вирус SirCam, распространяющийся в виде вложения в электронное письмо, каждый раз появляется в новом обличии, в виде файла произвольного размера со случайным именем и двойным расширением. Оба расширения выбираются вирусом из набора: для первого расширения - .doc, .xls, .zip, .exe, для второго расширения - .pif, .lnk, .bat, .com. Таким образом, прикрепленные файлы могут выглядеть по-разному. Например, так: feb01.xls.pif или normas.doc.bat.
При этом feb01.xls, normas.doc или любое другое "имя_файла.расширение" являются именами реальных файлов, украденных вирусом с предыдущего зараженного компьютера. "Захваченный" файл превращается в "приманку", маскирующую действия вредоносной программы, которая начинает рассылать зараженный файл по всем адресам, найденным в адресной книжке зараженного компьютера. Заголовок зараженного письма повторяет имя прикрепленного файла, то есть тоже оказывается разным от случая к случаю.
Таким образом, антивирусные программы, настроенные на определенный заголовок или имя прикрепленного файла, не способны идентифицировать вирус.
Вирус написан на языке Delphi и живет в среде Win32. Вирус также распространяется по локальной сети, заражая все обнаруженные им локальные диски. Таким образом, заражение одного корпоративного компьютера приводит к заражению всей системы.
Основной вредоносный эффект вируса заключается в замусоривании электронной почты огромными файлами. Кроме того, сами файлы, "похищаемые" вирусом с зараженных компьютеров и рассылаемые кому попало, зачастую содержат персональные или корпоративные секреты.
Напоминаем также, что самое эффективное средство борьбы с непрошеными программами, приходящими по почте в виде вложения - это просто не активизировать их. Не рекомендуется открывать файлы, присланные от неизвестных лиц или с подозрительными "темами", имеющие исполняемое или двойное расширение.
Рекомендуется также запретить почтовой программе Outlook Express самостоятельно открывать вложенные в письма файлы (зачастую по умолчанию эта функция разрешена, что и приводит к автоматическому запуску вируса). А некоторые решительно настроенные пользователи успешно борются с вирусом SirCam, вообще запрещая почтовым программам принимать письма с вложениями заданных типов, либо превышающие определенный размер (например, более 100К).
Copyright © 2000-2002 Нетоскоп