Hewlett-Packard заразила своих пользователей Windows-вирусом

Как сообщило японское информационное агентство Nikkei Business Publications (NBP) (http://www.nikkeibp.asiabiztech.com/wcs/leaf?CID=onair/asabt/news/121743), в период с 17 по 19 декабря 2000 года около 1500 пользователей загрузили с web сайта японского отделения одного из крупнейших производителей компьютерного оборудования Hewlett-Packard (HP) программы, зараженные Windows-вирусом FunLove.

Вирус, впервые обнаруженный еще в ноябре 1999 г., по всей видимости, попал в корпоративную систему от одного из субподрядчиков австралийского отделения компании, которое занимается разработкой программ. Во избежание повторения подобных инцидентов, HP приняла решение перевести сервера австралийского отделения с операционной системы Linux на Windows NT Server. Причиной такого решения, по словам официальных лиц компании, является невозможность осуществлять эффективную антивирусную проверку содержимого сервера, поскольку на данный момент не существует антивирусных программ для Linux, которые автоматически, в масштабе реального времени сканируют все используемые файлы. Как сообщается, факт отсутствия соответствующей защиты от вирусов и стал причиной проникновения FunLove на web сайт HP.

Необходимо отметить, что этот инцидент был бы невозможен, если бы HP использовал антивирусный монитор, входящий в поставку Антивируса Касперского для Linux. Монитор позволяет перехватывать в режиме реального времени файловые операции (запись, открытие и инициализацию объектов) и автоматически производить проверку на вирусы. Помимо монитора, пакет также включает антивирусный сканер для проверки файлов «по-требованию», антивирусный демон (сканер с оптимизированной системой загрузки в память), систему автоматической загрузки ежедневных обновлений антивирусной базы через Интернет, а также удобную интерактивную систему настройки. Серверная версия «Антивируса Касперского» для Linux также содержит готовое решение для интеграции системы централизованной антивирусной проверки всей почтовой корреспонденции, проходящей через почтовые шлюзы Sendmail и Qmail.

Как говорится в сообщении NBP о произошедшем инциденте, FunLove представляет собой абсолютно безобидный вирус, единственным проявлением которого является увеличение размера зараженных файлов. Вместе с тем, от внимания специалистов HP ускользнул ряд других опасных побочных действий этого вируса. FunLove модифицирует ядро Windows NT так, что отключается проверка вводимых пользователем паролей: вне зависимости от введенного пароля система принимает его как правильный и допускает пользователя к работе с защищенными ресурсами. Кроме того, вирус отключает на зараженных компьютерах разграничение доступа ресурсов Windows NT. Таким образом, любой пользователь, даже не имеющий прав администратора, может беспрепятственно полный доступ к ресурсам компьютера. Для нейтрализации ответной реакции операционной системы на изменение ядра (по умолчанию, Windows NT восстанавливает все измененные файлы ядра) FunLove также отключает встроенный контроль целостности системы.

Техническое описание вируса FunLove.