Вирусные мистификации и вред, который они приносят, часть первая, История мистификаций

Михаил Разумов, по материалам SecurityFocus

Джерри Брайан всегда знал, если что-то было не так в его церкви. Он узнавал об этом в ту же секунду, как открывал email от пастора. Как высокоуважаемый член церкви, и известный любитель техники, Джерри часто консультировался у пастора по техническим вопросам. Однако, в этом случае, пастор передавал серьезное предупреждение.  

Секретарь в его церкви получила email от друга, который испугал ее:

У меня плохие новости. Мне только что сообщили, что моя адресная книга заражена вирусом. В результате, ваша тоже заражена, так как ваш адрес есть в моей книге. Вирус называется jdbgmgr.exe. Его нельзя обнаружить с помощью антивирусных программ. Он не проявляет себя в течение примерно 14 дней перед тем, как уничтожить систему. Он посылается автоматически по всем адресам адресной книги, независимо от того, посылаете ли вы email. Хорошие новости состоят в том, что от него легко избавиться!

Просто проделайте следующие простые шаги, у вас не будет никаких проблем.

1.      Нажмите Start, затем Find или Search

2.      В files/folders, напишите имя jdbgmgr.exe

3.      Убедитесь, что ищите на диске «С»

4.      Нажмите Find или Search

5.      Вирус имеет иконку медвежонка с именем jdbgmgr.exe – НЕ ОТКРЫВАЙТЕ ЕГО!!!

6.      Нажмите на нем правой кнопкой мыши и удалите его

7.      Зайдите в Recycle Bin, и удалите его там тоже

ЕСЛИ ВЫ НАШЛИ У СЕБЯ ВИРУС, ВЫ ДОЛЖНЫ ПРЕДУПРЕДИТЬ ВСЕХ В ВАШЕЙ АДРЕСНОЙ КНИГЕ.

Извините за неприятности, но это произошло безо всякого моего вмешательства. Я получил его из чьей-то адресной книги.

После получения этого email, секретарь посмотрела и убедилась, что jdbgmgr.exe находится на ее диске! У нее вирус! Она вызвала людей из технической поддержки церкви и стала проверять остальные компьютеры в здании. Все они были заражены! jdbgmgr.exe был везде! Уже практически началась массовая процедура по удалению вируса, как Джерри пришел к пастору хорошими новостями. Церковь не стала жертвой вируса. Она стала жертвой мистификации jdbgmgr.exe.

Начавшись среди испаноговорящих пользователей Сети в начале апреля 2002 г., мистификация быстро распространилась на англоговорящих в середине апреля. В настоящее время встречается и на русском языке. Никто не знает, сколько людей попалось на нее, но все это продолжается до сих пор. К сожалению, когда люди удаляют jdbgmgr.exe, они удаляют не злонамеренный вирус, а системный файл, помещенный в их систему компанией Microsoft.

Microsoft разъясняет в статье Knowledge Base, что jdbgmgr.exe – это "Microsoft Debugger Registrar for Java". К счастью, если вы удалили этот файл, вы вряд ли причинили себе вред, если только вы не используете Microsoft Visual J++ 1.1 для разработки программ, написанных на языке программирования Java. А если вы являетесь таковым разработчиком, следуйте инструкциям, данным на веб-странице Microsoft. 

Краткая история мистификаций

Вирусная мистификация jdbgmgr.exe не является единственным инцидентом. В действительности, существовало несколько вспышек вирусных мистификаций в последние годы. Например, мистификация "Budweiser Frogs screensaver" в 1997 г. Этот email предупреждал людей о screen saver Bud frogs, если вы скачаете который, вы потеряете все данные на жестком диске, и в то же время кто-то в Интернет получит ваше имя пользователя и пароль. Конечно, ничего подобного не происходило при запуске этого screen saver. Вы могли покрыться холодным потом, получив это письмо, но с вашим компьютером ничего бы не случилось. Логическая несовместимость потери всех данных на жестком диске и пересылки вашего имени с паролем кому-то в Интернет, похоже, никогда не посещала умы жертв этой мистификации.

Другая мистификация, которая напугала людей, была так называемым вирусом "Virtual Card for You" в 2000 г. Жертвы предупреждались через email, что только что был обнаружен новый вирус, который классифицирован Microsoft (www.microsoft.com) и McAfee (www.mcafee.com), как наиболее разрушительный, чем когда-либо до этого. Далее следовали подробности:

Вирус действует следующим способом: Он автоматически посылает свои копии всем получателям в вашем списке контактов с темой "A Virtual Card for You".

После того, как эта виртуальная карточка открывается, компьютер зависает, и пользователю приходится перезагрузиться. При нажатии комбинации клавиш ctrl+alt+del, или нажатии кнопки reset, вирус уничтожает нулевой сектор, разрушая таким образом жесткий диск.

Пожалуйста, разошлите это сообщение всем, кому сможете. Вчера, всего за несколько часов, этот вирус вызвал панику в Нью-Йорке, согласно сообщениям CNN (www.cnn.com).

Ничего из этого email не было правдой. Не было никакого вируса, CNN не распространяла никакого предупреждения, и не было никакой паники в Нью-Йорке (Возможно ли, чтобы небольшой компьютерный вирус вызвал панику в Нью-Йорке?! Должно случиться что-то серьезное, чтобы в Нью-Йорке возникла паника – например нехватка сыра, или гигантская горилла на вершине Empire State Building.). Тем не менее, тысячи людей верили в это, и электронное послание продолжало распространяться.

Хотя вирусные мистификации стали появляться еще с 1988 года, дедушкой из всех считается Good Times virus, первая действительно удачная вирусная мистификация. Она начала свою жизнь в 1994 г. в AOL, и проявляется до сих пор. Ее потомков – легион, так как множество других мистификаций скопировали подходы Good Times. В этом смысле, его можно считать наиболее влиятельной вирусной мистификацией. Содержание ее следующее:

Какой-то злоумышленник рассылает email с заголовком "Good Times", если вы получите что-то вроде этого, НЕ ЗАГРУЖАЙТЕ ФАЙЛ!

Он содержит вирус, который перезаписывает ваш жесткий диск, стирая с него всю информацию. Пожалуйста, будьте осторожны и перешлите это письмо всем, о ком вы беспокоитесь. FCC выпустила предупреждение в прошлую среду, касающееся вопроса особой важности для обычных пользователей Интернет. Вероятно, пользователем AMERICA ON LINE был сконструирован новый компьютерный вирус, который является беспрецедентным в своей разрушительной способности... Как говорит FCC, настолько ужасающим делает вирус тот факт, что не требуется пересылать программу на новый компьютер для его заражения. Вирус может распространяться через существующие email системы Интернет.

После заражения компьютера может случиться несколько событий. Если компьютер имеет жесткий диск, он наверняка будет уничтожен. Если программа не будет остановлена, процессор компьютера будет загружен бесконечным бинарным циклом n-й сложности – что может сильно повредить процессор, если продлится слишком долго. К сожалению, большинство компьютерных новичков не поймут, что происходит, пока не будет слишком поздно. К счастью, существует один надежный способ обнаружения того, что называется "Good Times" вирус. Он всегда распространяется на другие компьютеры одним и тем же способом в текстовом сообщении с темой "Good Times". Избежать заражения после получения сообщения легко, просто НЕ ОТКРЫВАЙТЕ ЕГО! Процесс загрузки файла в ASCII буфер почтового сервера приводит к инициализации и запуску основной программы "Good Times".

Эта программа высокоинтеллектуальна – она разошлет свои копии всем адресатам, каких найдет в receive-mail и sent-mail. Затем она начнет уничтожать компьютер, на котором будет запущена.

Итого таков: если вы получите сообщение с темой "Good Times", удалите его немедленно! Не читайте его. Проверено, что не зависимо от того, кто указан в поле "From", письмо заражено вирусом. Предупредите своих друзей и пользователей вашей системы о самой новой угрозе в Интернет! Это поможет сохранить им множество времени и денег.

 ********ВАЖНО******* ПОЖАЛУЙСТА, РАЗОШЛИТЕ ЭТО ПИСЬМО ВСЕМ, О КОМ ВЫ БЕСПОКОИТЕСЬ

Как и в случае с другими мистификациями, которые мы рассмотрели, это «предупреждение» было наполнено ложью и несоответствиями. Нет способа, которым можно заразит вирусом чью-то машину при просмотре plain-text сообщения (к сожалению, это не совсем так для людей, который используют Outlook для email в формате HTML, как описано в articles on Outlook security). Мистификация использует технические выражения, которые производят впечатление на технически необразованных людей, но в действительности ничего не означают, например «бесконечный бинарный цикл n-й сложности». И в конце концов, вы в самом деле думаете, что пользователь America OnLine может создать технически сложный вирус?

Мистификация Good Times была довольно забавной. Зачастую системные администраторы получали письмо и немедленно рассылали его всем сотрудникам своих компаний, предупреждая сотрудников не открывать email с темой "Good Times". Конечно, email, предупреждающий людей не открывать сообщение с "Good Times" в его теме, само имело в теме "Good Times"! Это не наносило никакого вреда компьютерам, но приводило к серьезным случаям разногласий по всей Америке.