AVP Script Checker — бесплатная вакцина против любых вариантов интернет-червя «LoveLetter»

«Лаборатория Касперского» представила AVP Script Checker — новую технологию защиты от скрипт-вирусов и червей, подобных недавно нашумевшему «LoveLetter» и распространяет эту программу бесплатно для всех желающих.

По следам последних событий: массовая эпидемия «LoveLetter»

Количество признаний в любви в начале мая 2000 года превзошло самые оптимистичные прогнозы и как минимум в 3 раза превысило среднестатистические показатели. Признавались в любви все — от секретарш и клерков до парламентариев и министров, причем настойчиво и без разбору — всем, кому они могли это сделать, тем и признавались.

А началась эта повальная и сокрушающая любовь к ближним и дальним 4 мая 2000 года, когда то ли немецкий студент, то ли филиппинский школьник (следствие еще не определилось) разослал свой новый вирус-червь в конференции Интернет. Дальнейшее распространение червя шло фантастически быстро по причине «веерной рассылки» — он отправлял свои копии по всем адресам электронной почты из адресной книги Outlook.

Евгений Касперский таким образом прокомментировал глобальную эпидемию нового червя: «Этот червь рассылает себя САМ и СРАЗУ в момент его запуска (а не приклеивается к отсылаемым пользователем письмам, как это делает нашумевший в начале 2000 года скрипт-червь KakWorm). Червь рассылает себя по ВСЕМ адресам адресной книги (а не по 50-ти первым, как делала Melissa). В результате распространение зараженных писем имело взрывной эффект, сравнимый с ядерной цепной реакцией. Допустим, в адресной книге сервера примерно 300 адресов, в компании работает 50 человек, и примерно 20% персонала не понимают, что запускать файлы из вложений нельзя — получаем примерно следующее. Если в такую компанию попадает письмо с вирусом, то от компании уходит примерно 0.20*50*300 = 3000 зараженных писем. Как мне помнится, в атомных бомбах соотношение «разлетабельности» нейтронов примерно 3 на 1 прилетевший. То есть, компьютерная любовь бьет в 1000 раз сильнее».

Естественно, что первыми от червя пострадали страны Азии, поскольку вирус был выпущен на свободу именно там (Филиппины). Затем он пришел в Европу, из Европы в Америку и к нам в Россию. В «Лабораторию Касперского» первое, но далеко не последнее, зараженное письмо поступило первый раз в 13:08 минут по московскому времени.

В 17:30 по московскому времени, когда в США началось утро, весь мир лежал у ног новоявленного компьютерного монстра — поступили сообщения о массовых заражениях компаний и частных пользователей. По оценкам различных компаний поражению подверглось огромное количество компьютерных сетей (от 30% до 80% в зависимости от страны). Количество зараженных компьютеров на третий день нашествия червя оценивается в 3 миллиона. Ориентировочные данные об убытках колеблются от сотен миллионов до 10 миллиардов долларов США.

Противоядие найдено?

Антивирусные компании практически мгновенно выпустили вакцины, однако сразу возникла проблема: червь начал мутировать. Модифицировать его код очень легко, поскольку червь написан на скрипт-языке Visual Basic Script, то есть распространяется в исходных текстах. И изменить его код, добавить или убрать функции может любой, кто мало-мальски разбирается в этом языке.

Другая проблема, возникающая при детектировании скрипт-вирусов и червей, заключается в том, что стандартные антивирусные средства во многих случаях способны отловить опасного гостя только после того, как он уже проник в систему и поразил ее.

Схема работы большинства известных скрипт-вирусов и червей достаточно проста: при их запуске они создают на диске свои временные копии. В этот момент их и «ловят» резидентные антивирусные мониторы. Однако возможны ситуации, когда эти вирусы не создают на диске никаких файлов (они используют исключительно память компьютера). Таким образом, мониторы просто не в состоянии обнаружить факт проникновения вируса на компьютер.

Как защитить Ваш компьютер от любых «любовных писем»?

«Лаборатория Касперского» предлагает своим пользователям уникальную технологию защиты как от всех известных вариантов нового интернет-червя «LoveLetter», так и от всех его последующих мутаций. Данная защита основана на новой технологии проверки всех скрипт-программ, которые запускаются приложениями Windows (такими, как Microsoft Explorer, Microsoft Internet Explorer, Microsoft Outlook и т.д.). Защита встраивается как фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, Microsoft Windows Script Host — обработчик VisualBasic-скриптов).

Таким образом, в момент передачи скрипта на обработку и выполнение, его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов и червей. На известные вирусы скрипт проверяется при помощи резидентного перехватчика AVP Monitor, а новые неизвестные вирусы блокируются специально разработанным эвристическим анализатором.

«Подобная двухуровневая антивирусная система защиты, встроенная непосредственно в самое ядро обработчика скрипт-программ, является гарантированным средством против многочисленных Интернет-червей нового поколения» — резюмирует Евгений Касперский, — «Мы настоятельно рекомендуем пользователям установить нашу новую разработку и обновить свои антивирусные программы. Если бы я сегодня выбирал антивирусную защиту для своего компьютера — я бы так и сделал».

AVP Script Checker распространяется бесплатно и доступен для загрузки на сайте «Лаборатории Касперского» по адресу www.kaspersky.ru/products/test.asp.