Поставщики антивирусного ПО торопятся обновить свои продукты, чтобы бороться с зашифрованным полиморфным вирусом Satan Bug, который атакует правительственные компьютерные системы в США.
Вирус Satan Bug, ставший предметом сообщения группы наблюдения за вирусами (CIAC) из Министерства энергетики (DOE), охарактеризован как «трудноизлечимый» из-за примененного алгоритма шифрования. Satan Bug способен повреждать файлы, изменять даты их создания и отключать пользователей от ЛС путем повреждения сетевых драйверов.
Консультативная служба CIAC заявила, что вирус был обнаружен во многих местах. Источники из Министерства энергетики сообщили, что несколько подразделений пытаются бороться с ним при помощи программ детектирования вирусов.
CIAC как один из членов правительственной комиссии Forum of Incident Response and Security Teams выпускает информационные бюллетени в тех случаях, когда в DOE поступают сообщения о серьезных проблемах, связанных с вирусами.
Бюллетень CIAC извещает о том, что зашифрованные вирусы, подобные вирусу Satan Bug, особенно трудно удалить из инфицированных файлов, поскольку они присоединяются к компьютерной программе, вырезая из нее небольшой кусок и замещая его собственным кодом. После этого вирус зашифровывает и себя и «откушенный» кусок программы.
«Для восстановления инфицированной программы антивирусное ПО должно уметь расшифровывать закодированный вирус, чтобы обнаружить исчезнувшую часть файла и вернуть ее на место, — констатирует бюллетень. — Satan Bug имеет до девяти уровней шифрования, причем в каждом случае этот уровень непредсказуем».
Шифрование делает вирус невидимым для антивирусных программ-сканеров, датированных ранее августа 1993 года «Эти программы должны открыть файл для сканирования, а если вирус находится в памяти, то сам акт открытия файла будет приводить к инфицированию, — предупреждает бюллетень. — Если вы запускаете инфицированный антивирусный сканер, то почти каждый исполняемый файл на диске окажется зараженным».
Как рассказал Дэвид Стэнг (David Stang), президент компании-разработчика Norman Data Defense Systems (ФоллЧерч, штат Виргиния), вирус Satan Bug был впервые выявлен в феврале прошлого года, когда его обнаружили размещенным на нескольких электронных досках объявлений пользователем по имени Hacker 4Life.
Стэнг предположил, основываясь на степени сложности вируса и своем опыте работы с программами этого класса, что Satan Bug — это плод деятельности двадцатилетнего американского парня, а не злонамеренного четырнадцатилетнего подростка.
Компания Norman Data Defense Systems изготовила антивирусное ПО, которое удаляет вирус, оставляя файлы неповрежденными. Стэнг сообщил, что эта программа, названная Armour, к тому же предотвращает заражение.
Роджер Томпсон (Roger Thompson), президент компании Leprechan Software (Мариетта, штат Джорджия), рассказал, что его сотрудники провели весь уик-энд за обновлением своего антивирусного пакета для борьбы с вирусом Satan Bug после звонка из правительственного агентства.
«Satan Bug — это сложный вирус, и его трудно обнаружить, — пояснил он. — Он содержит цикл шифрования/дешифрования, причем расшифровывает себя с помощью ключа длиной от 40 до 2000 бит. Новейшие тенденции в вирусном сообществе делают эти программы труднообнаружимыми».
Другой поставщик, фирма McAfee Associates, также объявила о создании ПО для борьбы с Satan Bug.
Satan Bug является полиморфным или кодируемым вирусом, что делает его изменчивость практически неограниченной.