Новый сетевой вирус: что о нем знать и как с ним бороться
14 августа 2003 г.Как это часто бывает, шум поднялся, когда уже было поздно. Интернет-червь LoveSan, он же Worm.Win32.Blaster, распространился повсеместно. Его особенностью, как отмечает информационное агентство dpa, является удивительная легкость перехода с одного компьютера на другой по сети интернет. В отличие от предыдущих массовых вирусов, которые в основном перемещались по электронной почте и в большинстве случаев поражали систему только после какой-то активности пользователя (нужно было, например, открыть зараженное письмо или запустить на исполнение содержащий вирус файл), LoveSan справляется со своей задачей без посторонней помощи. Поэтому даже опытные и осторожные пользователи ПК оказались перед ним беззащитными.
На первых порах не помогали даже антивирусные программы-сканеры, проверяющие все подозрительные файлы. LoveSan подозрений не вызывал. И только последние обновленные версии умеют распознавать червя.
Без паники
Особенностью (и слабым звеном) нового вируса является то, что он довольно легко обнаруживает сам себя. Появившись в компьютере, LoveSan вскоре посылает команду на его перезагрузку. Поэтому, если ваша машина вдруг без команды хозяина пошла на рестарт, следует предпринять следующие шаги (эти действия лучше производить без подключения к интернету).
Комбинацией клавиш Ctrl+Alt+Del нужно вызвать "менеджер задач". Если среди активных процессов окажется "msblast.exe", то это не что иное как LoveSan. Первым делом этот процесс следует завершить.
Второй шаг – уничтожение одноименного файла в системном каталоге WindowsSystem32. Наконец с помощью редактора реестра (вызывается командой Regedit в строке "Выполнить") надо пройти по пути:
Hkey_Local_Machine Software Microsoft
Windows CurrentVersion Run.
В последнем каталоге удаляем строку "windows auto update" = msblast.exe.
На этом недолгая карьера червя на вашей машине будет завершена. Однако нет никаких гарантий, что он не заползет еще раз. Поэтому перед следующим подключением к интернету необходимо активизировать так называемый Firewall. Эта небольшая программа, неплохо защищающая ПК от несанкционированных внешних воздействий, входит в комплект современных версий Windows (встроена в "Свойства" сетевого подключения), а пользователи более ранних Windows могут установить бесплатный или условно-бесплатный Firewall, который легко найти практически на любом сервере программного обеспечения.
Оружие мести
Первым сайтом, который следовало бы посетить после излечения, должен стать сайт Microsoft (см. ссылку ниже), где лежат бесплатные программные "заплатки" для защиты от LoveSan. И только после "прививки" можно вздохнуть свободно – файлы не испортятся, диски останутся в сохранности.
Впрочем, как считают исследователи компьютерных вирусов, LoveSan в первую очередь ориентирован на внешний удар. Под воздействием червя 16 августа должна произойти атака на сервер обновлений корпорации Microsoft. Зачем злоумышленники решили "уронить" именно этот веб-сайт? Возможно, таким образом они мечтают отомстить американскому софтверному гиганту за недавно внедренные новые правила авторизации пользователей Windows. В соответствии с ними, незарегистрированным (а значит в большинстве случаев, нелегальным пользователям контрафактных копий операционной системы) дальнейшие обновления теперь недоступны. Независимо от успеха запланированной атаки неприятности и убытки Microsoft уже имеет. Ведь, как отмечает агентство dpa, система Windows установлена почти на 90 процентов компьютеров во всем мире. И нет для фактического монополиста ничего хуже, чем обвинений в недостаточном качестве продукта.
Кроме того, активность вируса заметно увеличивает объем обмена бессмысленными данными, что сказывается на скорости доступа к полезной информации в интернете.