Полиморфный вирус Satan Bug атакует компьютеры правительственных органов США
Поставщики антивирусного ПО торопятся обновить свои продукты, чтобы бороться с зашифрованным полиморфным вирусом Satan Bug, который атакует правительственные компьютерные системы в США.
Вирус Satan Bug, ставший предметом сообщения группы наблюдения за вирусами (СIАС) из Министерства энергетики (DOE), охарактеризован как "трудноизлечимый" из-за примененного алгоритма шифрования. Satan Bug способен повреждать файлы, изменять даты их создания и отключать пользователей от ЛС путем повреждения сетевых драйверов.
Консультативная служба СIАС заявила, что вирус был обнаружен во многих местах. Источники из Министерства энергетики сообщили, что несколько подразделений пытаются бороться с ним при помощи программ детектирования вирусов.
СIАС как один из членов правительственной комиссии Forum of Incident Response and Security Teams выпускает информационные бюллетени в тех случаях, когда в DOE поступают сообщения о серьезных проблемах, связанных с вирусами.
Бюллетень СIАС извещает о том, что зашифрованные вирусы, подобные вирусу Satan Bug, особенно трудно удалить из инфицированных файлов, поскольку они присоединяются к компьютерной программе, вырезая из нее небольшой кусок и замещая его собственным кодом. После этого вирус зашифровывает и себя и "откушенный" кусок программы.
"Для восстановления инфицированной программы антивирусное ПО должно уметь расшифровывать закодированный вирус, чтобы обнаружить исчезнувшую часть файла и вернуть ее на место, - констатирует бюллетень. - Satan Bug имеет до девяти уровней шифрования, причем в каждом случае этот уровень непредсказуем".
Шифрование делает вирус невидимым для антивирусных программ-сканеров, датированных ранее августа 1993 года "Эти программы должны открыть файл для сканирования, а если вирус находится в памяти, то сам акт открытия файла будет приводить к инфицированию, - предупреждает бюллетень. - Если вы запускаете инфицированный антивирусный сканер, то почти каждый исполняемый файл на диске окажется зараженным".
Как рассказал Дэвид Стэнг (David Stang), президент компании- разработчика Norman Data Defense Systems (Фолл-Черч, штат Виргиния), вирус Satan Bug был впервые выявлен в феврале прошлого года, когда его обнаружили размещенным на нескольких электронных досках объявлений пользователем по имени Hacker 4Life.
Стэнг предположил, основываясь на степени сложности вируса и своем опыте работы с программами этого класса, что Satan Bug - это плод деятельности двадцатилетнего американского парня, а не злонамеренного четырнадцатилетнего подростка.
Компания Norman Data Defense Systems изготовила антивирусное ПО, которое удаляет вирус, оставляя файлы неповрежденными. Стэнг сообщил, что эта программа, названная Armour, к тому же предотвращает заражение.
Роджер Томпсон (Roger Thompson), президент компании Leprechan Software (Мариетта, штат Джорджия), рассказал, что его сотрудники провели весь уик-энд за обновлением своего антивирусного пакета для борьбы с вирусом Satan Bug после звонка из правительственного агентства
"Satan Bug - это сложный вирус, и его трудно обнаружить, - пояснил он. - Он содержит цикл шифрования/дешифрования, причем расшифровывает себя с помощью ключа длиной от 40 до 2000 бит. Новейшие тенденции в вирусном сообществе делают эти программы труднообнаружимыми".
Другой поставщик, фирма McAfee Associates, также объявила о создании ПО для борьбы с Satan Bug.
Satan Bug является полиморфным или кодируемым вирусом, что делает его изменчивость практически неограниченной.
