Infekcja przez sieć
- Michał Szafrański,
- 11.01.1999
Pojawił się pierwszy wirus skutecznie atakujący serwery i stacje robocze z systemem Windows NT.
Pojawił się pierwszy wirus skutecznie atakujący serwery i stacje robocze z systemem Windows NT.
Remote Explorer jest najgroźniejszym wirusem, jaki dotychczas pojawił się w sieciach pracujących pod kontrolą Windows NT. Pierwszy raz zainfekował serwery firmy telekomunikacyjnej MCI.
Nie jest on nowym typem wirusa. Wykorzystuje starą i powszechnie znaną metodę infekowania plików wykonywalnych (.EXE, .COM). Nowatorski jest jednak sposób jego działania. Atakuje wyłącznie komputery z systemem operacyjnym Windows NT. Jeśli użytkownik z uprawnieniami administratora systemu uruchomi zainfekowany plik, to wirus, korzystając z jego uprawnień, zainstaluje w systemie nowy serwis kontynuujący dzieło destrukcji. Zaraża inne pliki, szyfruje w nietypowy sposób popularne dokumenty .DOC i .XLS oraz zdalnie próbuje zainstalować serwisy systemowe na pozostałych serwerach i stacjach roboczych z Windows NT, do których ma prawo dostępu.
Największe firmy antywirusowe szybko zareagowały na pojawienie się wirusa. Część z nich udostępniła nowe biblioteki definicji wirusów, zawierające już opis sposobu rozpoznawania i eliminowania Remote Explorera, szybciej niż należało się tego spodziewać. Pierwszy był Net-work Associates, kolejne Sophos i Symantec. "Nowy wirus, pracujący jako serwis systemowy Windows NT, nie jest niespodzianką i wcześniej czy później należało się spodziewać jego rozpowszechnienia" - komentuje przedstawiciel Kaspersky Lab, znanej rosyjskiej firmy produkującej pakiet antywirusowy AntiViral Toolkit Pro.
Przedstawiciele innych firm walczących z wirusami podkreślają, że Remote Explorer jest wyjątkowo "inteligentny". Potrafi dobrze zaszyć się w systemie, eliminowanie jego plików wykonywalnych niewiele daje, ponieważ wirus umie je odtworzyć z innych plików. Wirus rozprzestrzenia się w godzinach nocnych oraz w weekendy, gdy zazwyczaj administratorzy mniej uwagi poświęcają systemowi.