Червь из Непала, покоривший Гималаи

Тамел, центральный квартал Катманду, столицы Непала. Сотни магазинчиков, продающих все — от деревянных статуэток Будды до полного набора снаряжения длительных гималайских экспедиций. Через день мне тоже отправляться в горы, и я покупаю в одном из магазинов, специализирующемся на фототехнике, флэш-карту Compact Flash для своего фотоаппарата.

После трех недель путешествий и приключений в высоких горах я возвращаюсь в Москву и собираюсь скопировать фотографии с карты памяти в свой компьютер при помощи флэш-ридера. И первое, что я замечаю — два скрытых файла в корневом каталоге карточки: autorun.inf и VirusRemoval.vbs.

О червях и вирусах, которые все чаще и чаще распространяются через съемные накопители информации, используя метод автозапуска из autorun.inf, мы писали неоднократно, и множество пользователей сталкивалось с подобными вредоносными программами. Также история знает несколько примеров, когда винчестеры, флэшки, MP3-плееры и другие портативные устройства были инфицированы прямо на заводах компаний-производителей.

В моем случае на карточке Kingston поселился Worm.VBS.Small.n, добавленный в антивирусные базы «Антивируса Касперского» 14 ноября — через два дня после того, как я купил ее в Непале.

Детальный анализ кода червя выявил его непальское происхождение. В процессе своей работы вредоносная программа заменяет стартовую страницу браузера Internet Explorer на сайт sujin.com.np (NP — интернет-домен Непала).

Вероятнее всего, компания Kingston не имеет прямого отношения к этому инциденту и червь попал на карту памяти в Непале — возможно, в том самом магазине, где я ее приобрел.

А возможно, что «флэшка» поддельная и изготовлена на каком-нибудь подпольном непальском заводе. Именно поэтому мы публикуем указанные на ней данные, которые, быть может, помогут установить ее подлинное происхождение.

Итак, снежного человека в Гималаях я не нашел, зато привез «непальского червя». И, как вы думаете, может быть, стоит подать заявку в книгу рекордов Гиннесса на признание Worm.VBS.Small.n «компьютерным вирусом, побывавшим выше всех остальных над уровнем моря»? Ведь вместе со мной и моим фотоаппаратом он в конечном итоге достиг высоты 6189 метров. 🙂