Каждая история должна иметь мораль. Будет она и в моем рассказе.
После подготовки для апрельского и майского номеров «Мира ПК» материалов, посвященных безопасности и защите, я расслабилась и, судя по всему, бдительность утратила не на шутку. Иначе чем же еще объясняется мое более чем легкомысленное поведение в ночь с 14 на 15 апреля?
Поздно вечером, просматривая дома переадресованную со служебного e-mail почту, обнаружила среди прочих письмо, содержащее архивный файл с интригующим именем «It about you». Поскольку домен отправителя (mts.ru) был мне знаком — я периодически получаю информацию с этого адреса, — ничто не предвещало неприятностей. Сохранив присланный архив в отведенном мной для подозрительных файлов месте, проверила его программой NOD32. Так как антивирус ничего не обнаружил, я распаковала архив. В нем оказался файл «123.exe», но почему-то с пиктограммой Блокнота. Вспоминая сейчас свои действия, вынуждена признать, что в те минуты вела себя в точности как героиня басни Крылова про мартышку и очки: «то их понюхает, то их полижет...» Неизвестно для чего сменила расширение на .txt, полюбовалась на содержимое. Еще раз проверила антивирусом, зачем-то переименовала в .doc... И любопытство оказалось все-таки сильнее здравого смысла. Да, я запустила этот файл. Вот прекрасная иллюстрация того, как успешно иррациональное в человеке сопротивляется рациональному! (Об этом, а также о других приложимых к компьютерам следствиях из законов Паркинсона мы планируем рассказать в нашем журнале осенью.)
Далее события развивались весьма стремительно. Открылся Блокнот со словом «sorry», после чего пал смертью храбрых Outpost Firewall. При попытке его перезапустить мелькнуло сообщение о том, что у меня нет на это никаких прав.
!Кстати, интересный момент: на своем компьютере с Windows XP я сама себе администратор, и это на первый взгляд кажется вполне естественным. А если бы у меня не было администраторских прав, смог бы «червь» «сломать» Outpost? Скорее всего, смог бы — ХР ведь не Linux, «здесь климат иной». Но, пожалуй, все-таки стоит подумать о том, чтобы завести пользователя с ограниченными правами и работать под ним.
Послав в ICQ-эфир сигнал SOS, отсоединилась от Интернета и попыталась взять себя в руки. Ясное дело, перезагрузку делать страшно, намерения и способности вредителя неизвестны. Провела инвентаризацию имеющихся в моем распоряжении средств — негусто. В процессы заглянула — вроде все как всегда, «только он не вернулся из боя...».
Запустила Spybot Search&Destroy — тот оптимистично меня поздравил с тем, что шпионы на ПК не обнаружены, а поскольку он у меня работает в режиме поиска любых неполадок, то порадовал сообщением, что отсутствует файл запуска брандмауэра.
!Раз существуют такие вирусы, которые способны удалить ехе-файл работающего брандмауэра, надо бы принять меры. При деинсталляции защитного экрана Outpost задает массу разумных вопросов (правда, сформулированы они с расчетом на весьма «продвинутого» пользователя), выясняя, все удалять или оставить кое-какие файлы, которые пригодятся при последующей установке. А как бы помогла функция восстановления/обновления поврежденных файлов!
Запустила CCleaner — он умер на моих глазах. Ad-Aware нашел только одного «хайджека»1 и BHO2 в Internet Explorer, что выглядело нелепо — более двух недель назад IE был принесен мною в жертву дракону (я стала пользоваться Mozilla). Я их удалила, но подобные штучки как Лернейская гидра — на месте каждой отрубленной головы вырастают две новые.
!Вообще-то внешне ситуация выглядела довольно мирно, что отнюдь не притупляло бдительность, а скорее наоборот... Вспомнилось, как во времена 286-х «писюшек» ходила по рукам дискета с набором «демок» поведения тогдашних вирусов. Как тогда красиво осыпались буквы с экрана! Нынешние паразиты лишены тех очаровательных визуальных эффектов, оттого и кажутся еще подлее.
Исчерпав имевшиеся на ПК средства и за недоступностью «помощи зала» решила использовать «звонок другу»: воистину ум хорошо, а два лучше. Взвесив все (специалисты сказали бы: «оценив возможные риски»), мы решили, что я на минуточку высуну нос «на улицу», чтобы по e-mail переслать ему эту пакость; все равно ничего хуже того, что случилось, за эти минуты не произойдет. С помощью Антивируса Касперского зловредный архив был другом проверен, вирусы не обнаружены.
Классический вопрос: что делать? Переустановка брандмауэра требует активации через Интернет, куда без защиты да еще с предателем на борту выходить крайне опасно. Снести НовОмоДный NOD32 и поставить старую добрую Panda? Есть у этого антивируса привлекательная опция — проверка содержимого ПК еще в процессе установки. Но ее смысл совершенно теряется, так как чтобы медведь порвал всю заразу «на тысячи маленьких медвежат», необходима свежая антивирусная база: сделанные обновления при деинсталляции программы не сохраняются! Посему рассчитывать на помощь панды-бабушки в данной ситуации было бы наивно: имевшийся в моем распоряжении дистрибутив снабжен базой вирусов, актуальной на 16 октября 2003 г.
Кроме Panda, из защитных программ разыскала у себя в загашнике только очень старый AVP и свеженький Safe?n?Sec. Те, кому попалась на глаза моя статья «Ты отказала мне два раза...» («Мир ПК», № 1/05), поймут, почему в столь кризисной ситуации я все-таки не рискнула воспользоваться новинкой от StarForce.
И на закуску самое неприятное: ни одной точки восстановления, ни одного «бэкапа». Знаю, что продукты для резервного копирования данных и полного восстановления системы после аварии необходимы, как зубная щетка, всем об этом рассказываю, но самой все как-то недосуг! Уже и пишущий привод приобрела, но до сохранения данных руки не дошли... А тут как представила, что черновики статей; исходники программ, которые у некоторых клиентов все еще работают и продолжают требовать обслуживания; фотографии, сделанные цифровым аппаратом (кстати, вот и минус!); адресные базы и проч. будут безвозвратно утеряны, поклялась самой себе в ближайшие же выходные заняться резервным копированием (и всем советую незамедлительно сделать то же, тем более что необходимую для этого программу от Acronis мы выложили на «Мир ПК-диск» № 6/05).
Что же еще можно было предпринять в столь драматичной ситуации? Мой ПК соединен в сеть с компьютером сына. Но так как в Интернет он выходит через меня, то противотанковые рвы и надолбы у себя не строил (что, в общем, тоже неразумно). Разобраться среди ночи, кто на меня напал и каких дел эта пакость может еще натворить, никакой возможности не было. Беда в том, что обычному человеку искать логику в действиях вирусописателей бессмысленно. Я рассудила, что разумнее будет выспаться, оставив включенным компьютер и обесточив модем.
!Тем, кто готов заподозрить меня в ураганно нарастающей паранойе, скажу, что с модемом уже имела печальный опыт. В те времена, когда мой ПК защищали, слившись в экстазе, Panda и Outpost, я полагала, что могу спать спокойно даже не выключая компьютер. Не тут-то было! Однажды среди ночи меня разбудили характерные звуки модема, пытавшегося соединиться с провайдером. Вскочив, как ошпаренная кошка, выяснила, что это Panda захотела погулять по Интернету, а всецело доверяющий ей Outpost не стал чинить никаких препятствий. С тех пор у меня вошло в привычку выключать модем, отходя от ПК на продолжительное время (чего и вам желаю).
Утром на свежую голову сообразила, что могу позвонить по телефону в службу техподдержки «Лаборатории Касперского». В качестве побочного эффекта от этого звонка пришло осознание того, что мне еще учиться и учиться общаться с «саппортом»... Но обо всем по порядку. Первую ошибку я, видимо, совершила, когда в ответ на приватно прозвучавшее «Алле, это Иван» представилась по всей форме, официально. Юноша надолго замолчал, но через несколько минут взял себя в руки и прервал мои попытки описать проблему вопросом о номере лицензии. Все правильно, зачем молодцам из службы техподдержки тратить время на владельцев пиратских копий (даже если кто-то из них обнаружит неведомый вирус).
!Накануне весьма кстати меня обстоятельно просветил в этом вопросе Милан Прохаска (управляющий директор Группы компаний VDEL, который нынче тесно сотрудничает с Red Hat, а ранее серьезно занимался техподдержкой пользователей). Первая линия «службы спасения» по сути предназначена для тщательной фильтрации клиентов. Имеется в виду уровень, на котором решаются проблемы примерно такого типа: «У меня не устанавливается ваша программа! — Какие симптомы? — Темный монитор, ничего не видно! — Пожалуйста, проверьте, включен ли ваш монитор. — Ой, да, забыл, спасибо!» Обратившись в call-центр с серьезным вопросом, вместо пресловутой фразы времен застоя «Ждите ответа... Ждите ответа...» или более современного «В данный момент все операторы заняты. Пожалуйста, не вешайте трубку», вы сможете полностью прослушать N-й концерт Бетховена в Х частях, после чего вам скажут: «Мы будем работать над вашей проблемой»... Не ждите таких необходимых вам, несчастному, сочувственных слов.
Рискуя показаться сумасшедшей, объяснила юноше, что AVP установлен не у меня, узнавать у хозяина регистрационный ключ мне не пришло в голову, просто срочно нужна консультация антивирусного специалиста... Ваня предложил написать в службу поддержки письмо с указанием номера лицензии, подробнейшим изложением проблемы и предпринятых действий. Если честно, в той панической ситуации писать сочинение у меня не было никакого желания, я вообще боялась свой раненый компьютер пускать в Интернет. Пообещав попозже так и сделать, попыталась разузнать, что ж мне предпринять в данный момент. Точнее, чего НЕ делать, чтобы хуже не стало. Ведь наверняка в «Лаборатории» уже сталкивались с подобными диверсиями и могут хотя бы предположить, заразу какого рода я подцепила. Здесь, видимо, я непроизвольно совершила вторую ошибку: будучи в состоянии крайне нервическом, повествовала о произошедшем на таком компьютерном жаргоне, какой уловить с лету, вероятно, способны не все пользователи. Но мне было не до политеса, к тому же я все еще пребывала в уверенности, что разговариваю со специалистом. Видимо, зря. Юноша предложил мне прислать в «Лабораторию» заразный файл, предварительно его заархивировав; я в очередной раз объяснила, что получила вирус уже в архиве; Ваня несколько растерялся и попросил файл разархивировать и еще раз заархивировать, лучше с паролем . Более ничего мало-мальски вразумительного я не услышала. Ну скажите, кому (кроме самой «Лаборатории») нужен такой «саппорт»?
Оставшись в одиночестве у изголовья больного, невольно вспомнила шутку, что «...13% пострадавших пытаются ласково поговорить с машиной, упрашивая вернуть потерянные данные».
Удалив NOD32, установила свою любимую «Панду». Оказалось, что я получила банальный W32/Bagle.CA.worm. Медвежонок обнаружил его в этом письме-архиве сразу же после того, как загрузил свои 5 Мбайт обновлений. Почему AVP не обнаружил этот вирус? Я запустила вредоносный файл 15 апреля в 00:36. В 00:57 приятель обновил базу Антивируса Касперского и уже после этого проверял мой «подарок». Позже выяснилось, что это письмо пропустил и Norton Symantec Antivirus, «через руки» которого оно прошло перед пересылкой на мой домашний e-mail. Позднее-то и AVP диагностировал заразу как Email-Worm.Win32.Bagle.pac, и NSA сообщил, что обнаружил и удалил Trojan.Tooso.F. То есть бес меня попутал запустить вирус на ПК именно в тот момент, когда вредоносный код еще не распознавался известнейшими антивирусными программами. Я отделалась легким испугом, но все могло закончиться гораздо печальнее.
Обещанная мною мораль заключается не в том, что не следует повторять моих ошибок, что наличие брандмауэра, антивируса и прочих защитных программ отнюдь не гарантия полной безопасности.
Во-первых, все произошедшее — серьезный повод задуматься о работе служб техподдержки. На сайте «Лаборатории Касперского» описаны различные варианты червя Bagle (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21944), и механизм его действия давно уже известен — пусть и в общих чертах. Правда, на 2:50 16 апреля среди 30 с лишним разновидностей полученный мной мутант не встретился. Впрочем, это и не удивительно — список не обновлялся с 18 марта 2004 г., и только 20 апреля «Лаборатория Касперского» в рассылке сообщила об обнаружении новой опасной модификации известного сетевого «червя» Email-Worm.Win32.Bagle. Зная имя вредителя, не составило труда познакомиться на сайте с его «привычками» — для всех модификаций они практически одинаковы (червь написан на едином ядре). Это пришлось сделать, чтобы узнать, какие файлы вирус изменяет, куда и что дописывает, не надо ли вручную еще что-то почистить, действительно ли компьютер полностью вылечен. Ладно, я в состоянии на таком уровне самостоятельно покопаться в системе. Но обычный пользователь вовсе не должен этим заниматься. Я считаю, что от специалистов из службы поддержки мы вправе требовать хотя бы знания того, что размещено на их же сайте. Этим сотрудникам положено гораздо лучше нас с вами разбираться в том, от чего они нас «лечат». Нормальный «саппорт» обязан был попытаться мне помочь. Если работающие там молодые люди считают, что их обязанности ограничиваются выяснением лицензионного номера и раздачей обещаний, они могли бы позволить мне пообщаться с более квалифицированными специалистами. В сущности, в серьезных компаниях служба технической поддержки имеет несколько уровней, каждый из которых занимается проблемами определенной сложности (подробнее об этом, а также о том, насколько эффективно работают аналогичные службы наиболее известных компаний, мы планируем рассказать в одном из осенних номеров журнала).
А во-вторых, эта трагикомическая история сама по себе может служить объяснением, почему мы никогда не беремся за тестирование антивирусных программ. Сами понимаете, испытывать их на коллекциях известных вирусов бессмысленно: и так ясно, что опознают любого зверя, чьи повадки уже описаны. Антивирусные базы различных программ в настоящее время практически не отличаются количеством сигнатур (конечно, если вы не забываете их постоянно обновлять). Даже если мы создадим собственную модификацию какого-либо «червя», ни одна антивирусная программа его не обнаружит, пока образец не попадет к специалистам, например, Symantec или Eset. Скорость отлова паразитов — величина спорная, зависит от многих параметров (в частности, от набора «железа»). Удобство в работе? Тут уж точно сколько людей, столько и мнений. У меня нечаянно получилось независимое сравнение в экстремальных условиях (в редакции было бы невозможно смоделировать подобную ситуацию). Конечно, выявились кое-какие огрехи в работе программ. Например, Panda самостоятельно обновляется всякий раз, как только происходит соединение с Интернетом, и эти настройки изменить невозможно. С одной стороны, это гарантия того, что антивирус всегда в курсе появления новых гадостей. Но как часто медведь проверяет обновления при постоянном соединении, мне неизвестно; не информируют об этом и разработчики. Впрочем, вы обязательно заметите, что антивирус загружает новые подписи, — в этот момент даже мышка уважительно замирает. AVP позволяет самостоятельно настроить режим обновлений: периодически, по событию или по условию, минимальный период — час. При скорости соединения около 160 кбит/с на процедуру получения трех файлов с сигнатурами затрачивается примерно 20 с. Но вы никогда не узнаете, насколько пополнилась антивирусная база — в отличие от «Панды», каждый раз сообщающей, сколько новых подписей она загрузила. В общем-то не так уж и важно точное количество. Однако для меня такое поведение «Панды» — своеобразный индикатор того, что она прилежно трудится. К тому же именно эта информация помогла мне осознать серьезность вирусной угрозы (хотя и не помешала натворить глупостей, но это отдельный разговор). Полезным считаю присущее «Панде» стремление проверять диски перед завершением работы Windows. Жаль только, что единственный результат сего действия — сообщение об ошибке (увы, не только на моем ПК, это, так сказать, «характерная» неполадка). Что касается NOD32 — за два месяца использования мне ни разу не удалось застать его за обновлением антивирусной базы, сам же он на редкость неразговорчив. Вполне допускаю, что просто не смогла его должным образом настроить: недружелюбный какой-то. Перечисленное мной нельзя считать крупными недостатками. Устанавливайте демоверсии, пробуйте на зуб. Только не забудьте, что все антивирусы ведут междоусобные войны и установка нового зачастую совершенно невозможна без полного избавления от предыдущего.
1Hijackers, или «погонщики», — программы, насильственно перенаправляющие пользователя на нежелательные веб-сайты, часто порнографического содержания.
2BHO (англ. Browser Helper Objects, «вспомогательные объекты для браузера») — небольшие модули, используемые разработчиками рекламных программ и программ-шпионов для создания различных компонентов, изменяющих настройки Internet Explorer и загружаемых при каждом его запуске.
Могучая кучка
В борьбе принимали участие самые отборные войска. Перечислю героев поименно.
Персональный брандмауэр:
Outpost Firewall Pro v. 2.5, разработчик Agnitum Spybot (www.agnitum.ru).
Антивирусы:
NOD32 v. 2.0, разработчик Eset Software(www.esetnod32.ru);
Panda Titanium Antivirus 2004, разработчик Panda Software (www.pandasoftware.com);
Антивирус Касперского для рабочих станций, v. 4.0.6.0 (www.kaspersky.ru).
Антишпионские программы:
Ad-Aware v. 6.0, разработчик Lavasoft;
Spybot Search&Destroy, разработчик PepiMK Software.
Утилита для чистки системного мусора:
CCleaner v. 1.18 (www.ccleaner.com).
Замечу, что все упомянутые программы (кроме Ad-Aware, Spybot Search&Destroy и CCleaner, распространяемых свободно) —лицензионные.