Антивирусное обозрение "Ежики" - #55 (15.09.2000)

Антивирусная Лаборатория Дизет                    http://dizet.com.ua
======================================================================
Антивирусное Обозрение "Ежики" #55
 (события, факты, комментарии)
======================================================================
Здравствуйте уважаемые читатели.

Темой сегодняшнего выпуска будет небольшая "потасовка" (не скандал,  а
именно потасовка)  антивирусных  компаний  вокруг  нового  вируса  для
Windows 2000, использующего  для  размножения  файловые  потоки  (file
stream).  Суть этой  потасовки  такова,  "Лаборатория  Касперского"  в
пресс-релизах  называет  этот  тип  вирусов    "очень    опасным"    и
"предупреждает  пользователей  об  этом",  и  при    этом,    добавляя
"Лаборатория Касперского решает проблему вирусов в ADS NTFS".

Основной  российский  конкурент  "Лаборатории  Касперского"   компания
"ДиалогНаука" и множество зарубежных антивирусных компаний заявляют  о
том, что "Касперский делает много шума из ничего".

История вкратце такова.  Свое мнение по этому поводу у меня  есть,  но
высказывать  его  я  не  буду.  Я  предлагаю  Вам  уважаемые  читатели
прочитать эти материалы и подумать.  Надеюсь, свое мнение  будет  и  у
вас.

Андрей Каримов.
======================================================================

Касперский пристреливается к Калифорнии

(Kaspersky zeroes in on California)
(c) Скотт Беринато (Scott Berinato),
eWEEK 8 сентября 2000 г.

Русские идут.

Московская антивирусная компания "Лаборатория  Касперского"  открывает
отделение в Калифорнии, переместив плацдарм войны с вирусами - и споры
по поводу мотивов этой войны - ближе к мейнстриму.  Только в этом году
существующая три года компания распространила десятки предупреждений о
новых вирусах.  Если сигналы от крупных  производителей  антивирусного
ПО, таких как  Symantec,  Network  Associates  и  Computer  Associates
International, действительно помогают компаниям противостоять вирусным
атакам, то непрерывный  поток  предупреждений,  как  опасаются  многие
менеджеры информационных систем, может  иметь  обратный  эффект.

"Они делают все, чтобы  запугать  меня,  -  говорит  начальник  отдела
защиты информации компании Amerada Hess Рэнди Беркоу (Randy Berkow). -
К их маркетингу привыкаешь... и не обращаешь внимания. Затем, когда на
пользователей обрушивается реальная атака, вирус застает их  врасплох.
Я приветствую конкуренцию, но их способ рекламы мне не нравится".

Беспардонный "Касперский"

"Касперский" придерживается агрессивного  и  беспардонного  подхода  к
маркетингу своих флагманских продуктов.  Однако некоторые  наблюдатели
считают, что компания, превращая  угрозы  вирусных  атак  в  сенсацию,
зашла слишком далеко, раскинув  общеотраслевую  сеть  дезинформации  о
якобы грозных вирусах, которые на поверку оказываются тривиальными. Из
десяти последних предупреждений "Касперского"  ни  одно  не  попало  в
список 10 наиболее часто упоминаемых  в  СМИ  вирусов,  который  ведет
компания Sophos.

"Касперский"  рассылает  предупреждения,  не  обращая   внимания    на
фактическую способность вирусов  размножаться,  -  достаточно  наличия
теоретической способности. В последнем предупреждении об угрозе вируса
W2K.stream говорится: ""Лаборатория Касперского"  не  зарегистрировала
ни одного  случая  заражения  этим  вирусом;  однако  его  способность
существования "в диком виде" не вызывает сомнений".

Стратегия  "Касперского":  сначала  посеять  страх,  используя   своих
инженеров для поиска слабых мест, а затем, играя  на  чувстве  страха,
продавать обновления к  своему  антивирусному  ПО.  "Мы  всеми  силами
стараемся создать брэнд, -  говорит  исполнительный  директор  Наталья
Касперская, поясняя, что когда инженеры компании что-то  находят,  они
тут же передают эту информацию  в  отдел  PR  для  распространения.  -
Возможно, нам просто удается быстрее получить информацию, чем  крупным
компаниям".

В США ропщут

Такая  тактика  плохо  воспринимается  сообществом  специалистов    по
антивирусной и информационной защите США.  "Компания  строит  политику
связей с  общественностью  в  ущерб  политике  просвещения,  -  сказал
вице-президент по решениям  защиты  Computer  Associates  Симон  Перри
(Simon Perry) по поводу июньского предупреждения о вирусе,  нацеленном
на сотовые телефоны. "Касперский" первым распространил новость об этом
вирусе, но она оказалась малозначимой.  Представитель лондонской фирмы
Sophos Грэхэм Клули  (Graham  Cluley)  высказался  еще  прямолинейнее.
""Касперский" - один из опаснейших преступников, - сказал  он.  -
 Это
вредительство, так как нам приходится тратить все свое  время  на  то,
чтобы успокоить пользователей после каждого нового предупреждения".

Касперская утверждает, что все это - "кислый виноград". Ее агрессивная
тактика позволила ей создать компанию, и она  не  собирается  сбавлять
обороты.  "Во  многих  случаях  Network  Associates  ведет  себя   еще
агрессивнее,  чем  мы,  -  говорит  она.  -  Эти  компании   стараются
действовать так, как будто нас не  существует.  Посмотрим,  что  будет
через пять лет".  С точки зрения бизнеса ранний успех компании  трудно
оспорить. С момента ее создания штат "Касперского" увеличился в четыре
раза и теперь составляет 100 человек.  Доходы выросли в этом  году  на
300% (абсолютные цифры эта частная компания не  разглашает).  На  долю
компании приходится половина российского рынка  антивирусного  ПО;  на
рынке Восточной Европы она также доминирует.  Эти  успехи,  по  словам
Касперской, привлекают  инвесторов  из  США.  Новый  офис  компании  в
Сан-Рамоне (штат Калифорния) будет  использоваться  для  поиска  новых
возможностей в области продуктов  и  услуг  в  США.  "Надо  отдать  им
должное, им удалось привлечь  внимание,  -  говорит  Клули.  -  У  них
хороший продукт; жаль, что они избрали такой путь".

Крики  "Пожар!"

Ситуацию усугубляет отсутствие достоверных источников  информации  для
пользователей при появлении предупреждений или вирусных атак -  разные
производители  характеризуют  одну  и  ту  же  ситуацию  по-разному  в
зависимости от того, какую выгоду они надеются из нее извлечь. На этой
неделе  "Лаборатория  Касперского"  распространила  предупреждение   о
вирусе W2K.stream, которое подхватила Finjan Software, утверждая,  что
возможно распространение вируса, "подобное СПИДу".  После этого Sophos
и  другие  производители  заявили,  что  угроза    невелика.    Сейчас
большинство компаний заводит на своих веб-сайтах разделы о лжевирусах,
стараясь  отделить  очковтирательство  от  реальных  опасностей.  "Это
напоминает крики "Пожар!" в переполненном театре, -  говорит  менеджер
по информационной защите бостонской компании Keyport Life Insurance. -
Я был свидетелем паники, которую вызывает ставка на  страх.  Возможно,
пора поставить эти  компании  на  одну  доску  с  другими  онлайновыми
аферистами".  Отрицательная  реакция  со  стороны   конкурентов    или
заказчиков пока не может убедить Касперскую в необходимости отказаться
от выбранного ею подхода. "Каждая компания должна себя  продвигать,  -
утверждает она.  -  Секрет  нашей  агрессивности  в  обширности  нашей
информации. Нам важнее предупредить людей. Это наш долг".

Источник: ZDNet.Ru
======================================================================

Антивирусная  лаборатория  "ДиалогНауки"  сообщает:  много  шума  из
ничего...

Win2k.Benny.3628 является неопасным  нерезидентным  вирусом-спутником.
Оригинальный вариант упакован утилитой сжатия Petite.  Вирус проверяет
версию операционной  системы  и  по  непонятной  причине  размножается
только под Windows 2000,  хотя  использует  алгоритм,  который  вполне
работоспособен и при работе под управлением Windows  NT.  При  запуске
вирус  пытается  инфицировать  все  EXE-файлы  в  текущем    каталоге.
Признаком заражения служит установленный атрибут сжатия данного файла,
и,  таким  образом,  все  ранее  сжатые  средствами  NTFS  файлы    не
заражаются.  Для внедрения в систему вирус используют файловые  потоки
(file streams) в файловой системе NTFS. При нахождении подходящего для
заражения файла вирус копирует его во временный файл,  замещает  собой
оригинальный код файла-жертвы и копирует содержимое временного файла в
поток  заражаемого  файла  с  именем  STR.    При    запуске    такого
инфицированного файла будет запущен  код  вируса,  который  произведет
попытку заражения системы, описанную выше.  По окончании своей  работы
вирус передает управление оригинальному файлу, находящемуся  в  потоке
STR.  При старте в операционной системе, отличной от Windows 2000, или
при невозможности запуска оригинального файла вирус выводит  сообщение
(это может произойти, например, при переносе  или  копировании  файла,
содержащего  вирус,  на  дисковый  раздел  с  файловой  системой,   не
поддерживающей файловые потоки, например, FAT/FAT32):

Win2k.Stream by Benny/29A & Ratter
This cell has been infected by [Win2k.Stream] virus!

Таким  образом,  данный   вирус    является    довольно    примитивным
компаньон-вирусом, хотя он и использует оригинальным образом некоторые
возможности файловой системы Windows NT/2000. Следует  отметить,  что,
на наш взгляд, поднятая  некоторыми  антивирусными  компаниями  шумиха
вокруг данного вируса является не  чем  иным,  как  рекламной  акцией,
организованной с целью  запугивания  очень  доверчивых  пользователей.
Возможность обитания вирусного кода  не  в  основном  файловом  потоке
призрачна и лишена всяческого "вирусного смысла".

Данный  вирус  не  был  замечен  в  "диком  виде",  но  средства   его
обнаружения и удаления из операционной системы  включены  в  очередное
(от 10.09.2000) еженедельное дополнение вирусной базы программы Dоctor
Web.
======================================================================

Лаборатория  Касперского  решает проблему вирусов в ADS NTFS

4  сентября  2000  г.  "Лабораторией  Касперского"  было  опубликовано
предупреждение      о        появлении        вируса        W2K.Stream
(http://www.kaspersky.ru/news.asp?tnews=1&nview=0&id=102),
первого  из
известных вредоносных кодов, использующего дополнительные потоки (ADS)
файловой системы NTFS.  К сожалению, многие антивирусные компании мира
с  недостаточным  вниманием  отнеслись  к  данной  проблеме  и  своими
сообщениями    дезориентировали    пользователей,      классифицировав
потенциальную угрозу как незначительную.

"Лаборатория Касперского" считает необходимым подтвердить свою позицию
и еще раз  заявляет,  что  использование  вирусами  ADS  Windows  2000
представляет серьезную потенциальную угрозу  как  для  индивидуальных,
так  и  для  корпоративных  пользователей.  Дальнейшее   игнорирование
проблемы со стороны  антивирусных  компаний  в  скором  будущем  может
привести к очередной вирусной эпидемии.

Основная проблема состоит в том, что ни один из известных антивирусных
сканеров не имеет функции  проверки  ADS.  Таким  образом,  вирус  или
троянская программа могут скрываться в них без риска быть замеченными.
Одним из выходов  является  использование  резидентного  антивирусного
монитора.  Однако и в этом случае защита  не  может  быть  абсолютной:
далеко  не  все  программы  этого  типа  поддерживают  ADS.   Ситуация
представляется  тем  более  тревожной,  так  как  большое   количество
пользователей (преимущественно корпоративных), предпочитают регулярные
проверки сканерами, нежели использование  мониторов,  которые  требуют
много системных ресурсов и снижают устойчивость систем.

Главным аргументом некоторых антивирусных экспертов против серьезности
опасности является необходимость модификации  основного  потока  NTFS,
посредством внедрения в него "пускового кода",  активизирующего  вирус
из  ADS.  В  свою  очередь,  антивирусные  сканеры    "отловят"    эту
модификацию.  Это  нельзя  считать  правильным  выводом  по  следующим
причинам.

Во-первых, крайне проблематичной представляется процедура  обнаружения
"пускового кода", который не отличается от любой  другой  подпрограммы
вызова ADS.  Можно лишь представить количество ложных срабатываний,  в
случае реализации такого метода защиты.

Во-вторых, в опровержение  этому  аргументу  специалисты  "Лаборатории
Касперского" провели ряд экспериментов и выявили  несколько  способов,
обходящих эту необходимость в Windows 2000. "Мы не намерены делать  из
пресс-релиза наглядное  руководство  для  вирусописателей  к  созданию
новых вирусов, поэтому опустим подробное описание  этих  способов.  Но
все же заметим, что они настолько просты и очевидны, что тот факт, что
скоро они станут доступны любому желающему, не вызывает  сомнения",  -
сказал  Евгений  Касперский,  руководитель  антивирусных  исследований
компании.

Существуют и другие аргументы против серьезности угрозы. Например, что
модификация ADS в защищенных директориях Windows невозможна вследствие
встроенной защиты.  Данное утверждение вообще не имеет ничего общего с
действительностью, поскольку в Windows 2000 эта защита не работает.

"Лаборатория Касперского" еще раз подчеркивает, что вирусы в ADS - это
серьезная угроза, которую трудно переоценить. "В отличие  от  создания
противоядия для нового макро-вируса, что занимает всего лишь несколько
минут, добавление поддержки ADS потребует от антивирусных компаний  не
менее недели.  В случае появления настоящих ADS-вирусов, все это время
пользователи  будут  без  защиты",  -  комментирует   Денис    Зенкин,
руководитель  информационной  службы  компании,  -  "Мы  считаем,  что
сканирование всех  дополнительных  потоков  должно  стать  необходимым
атрибутом  каждого  современного  антивируса.  Учитывая  это,  мы  уже
добавили поддержку дополнительных потоков NTFS в Антивирус Касперского
3.5, который будет выпущен на этой неделе".
======================================================================
Служба Новостей    : http://dizet.com.ua/news/
Архив рассылки     : http://subscribe.ru/archive/comp.soft.av.ezheki/

Автор рассылки     : Андрей Каримов
e-mail: info@dizet.com.ua