Вирус Hybris: коварный хит 2001 года
Hybris virus: Sleeper hit of 2001
Роберт Лемос (Robert Lemos), ZDNet News
11 января 2001 г.
По мнению экспертов, Hybris, компьютерный червь, модифицирующий себя при помощи зашифрованных модулей, может стать самым разрушительным вирусом года.
гЭто не почтовый вирус быстрого или массового поражения. Он действует медленно и изощренно, + говорит технический директор по антивирусным исследованиям компании TruSecure Роджер Томпсон (Roger Thompson). + Но, как известно: тише едешь + дальше будешьё.
Большинство компьютерных червей быстро распространяется и так же быстро исчезает. Однако червь Hybris, появившийся три месяца назад, по словам Томпсона, не думает исчезать. Он напоминает вирус Happy99.exe, или Win32/Ska, который начал распространяться в январе 1999 года и больше года продолжал поражать тех, кто не знал о его существовании. Как и Happy99, Hybris наблюдает за сообщениями e-mail, отправляемыми из ПК в сеть. Обнаружив такое сообщение, червь добавляет адреса из его заголовка в свой список. Впоследствии он выбирает адресатов из этого списка и отправляет им свои собственные копии. Вместо лавинообразной рассылки сообщений, как в вирусах типа Melissa и LoveLetter, Hybris образует постоянную струйку опасных писем, что делает его менее заметным. Другая особенность червя: он написан в виде 32-битной Windows-программы. гЕго трудно убить, как и большинство вирусов Win32, + говорит директор антивирусного отделения компании Network Associates Винсент Джулотто (Vincent Gullotto). + Все они за считанные секунды заражают сотни файловё.
Сочетание медленного распространения с быстрым способом заражения, похоже, оказалось действенным. Впервые обнаруженный в октябре 2000 года, Hybris, по данным Trend Micro, до сих пор не покидает десятку самых активных вирусов в США и в мире. Хотя статистика Trend Micro учитывает лишь небольшой процент инцидентов, это одно из немногих средств количественного измерения активности вирусов.
Опасные модули
Еще одна особенность Hybris заключается в том, что этот вирус использует зашифрованные модули. Подобно вирусам Babylonia, LoveLetter и MTX, он может обращаться за информацией по интернету и модифицировать себя + в данном случае через группу Usenet alt.comp.virus. Он находит там и включает в свой код различные расширения, после чего начинает распространяться в новой форме. Обычно антивирусное сообщество подавляет сайты, поставляющие такие модули, но, так как для публикации кода используется новостная группа самого этого сообщества, ее невозможно ликвидировать, не подорвав свою собственную способность бороться с вирусами.
Эксперты подозревают, что автором Hybris является тот же человек, который создал Babylonia + вирус-концепцию, самосовершенствующийся через веб-сайт Source of Chaos в Японии. Имя его автора Vecna фигурирует и в копирайте кода Hybris. На прошлой неделе компания Aladdin Knowledge Systems объявила о том, что у нее есть доказательства авторства так называемой группы VX-Brazil, а Vecna является членом этой группы.
Способность Hybris менять характер работы и подпись делает его потенциально очень опасным. В зависимости от того, какой модуль загружен, червь может превращаться в лазейку в защите ПК или в программу, искажающую файлы. В настоящее время известны по крайней мере восемь таких модулей. гВ один прекрасный день автор сможет легко получить контроль над огромным количеством ПКё, + говорит Томпсон из TruSecure, добавляя, что для компаний это не так страшно, так как системные администраторы обычно достаточно часто обновляют определения вирусов антивирусных программ, чтобы обнаруживать все версии Hybris. То же следует делать и пользователям домашних компьютеров. А к файлам, вложенным в письма, всегда нужно относиться с подозрением.
 |