Компьютерра - Журнал «Компьютерра» № 44 от 28 ноября 2006 года

Каждый новый шаг Microsoft на ниве антивирусов все больше напоминает поведение слона в посудной лавке. В прошлом номере мы уже писали, как служба Windows Live OneCare невзлюбила Gmail. На сей раз настал черед российских разработчиков. 15 ноября пользователи Dr.Web завалили службу технической поддержки компании жалобами на обнаруженную в модуле проверки электронной почты SpIDer Mail троянскую программу Hackdef.L (тревожные сообщения выдавало одно из антивирусных детищ Microsoft — утилита Malicious Software Removal Tool, MSRT).

По сути, семейство троянцев Hackdef является классическим представителем backdoor-программ для несанкционированного удаленного администрирования. Вредоносный код устанавливается в систему в виде фонового драйвера, перехватывает API различных системных сервисов и позволяет злоумышленникам управлять зараженным компьютером. Последнее грозит владельцу целым спектром неприятных последствий, включая установку зомби-робота для рассылки спама, перехват кодов доступа к онлайн-службам и банковским счетам и внедрение дополнительных вредоносных модулей по желанию вирусописателей. В общем, обвинение в адрес Dr.Web было выдвинуто очень серьезное.

С самого начала антивирусные эксперты отнеслись к вердикту MSRT прохладно, квалифицировав действие утилиты как «ложное срабатывание» (профессионалы не без юмора называют его «опаньки»). В частности, вирусные аналитики «Лаборатории Касперского» сразу заявили, что SpIDer Mail не может быть заражен, поскольку троянец Hackdef в принципе ничего заражать не умеет. И действительно, через два дня Microsoft выпустила обновленную версию MSRT, а описание Hackdef на сайте корпорации пополнилось извинениями в адрес пользователей, столкнувшихся с ложными срабатываниями утилиты. Перед разработчиками Dr.Web никто извиняться и не подумал.

В принципе, «опаньки» редко, но случаются у всех антивирусов. Можно припомнить случай, когда испанская компания Panda разместила в своих базах данных открытый код одной троянской программы, на который, естественно, набросились все остальные антивирусы. Для минимизации риска «ложного срабатывания» обычно применяются сложные автоматизированные системы тестирования обновлений на огромном объеме разного софта. Похоже, Microsoft еще многому придется учиться у старожилов антивирусной индустрии. ДЗ

Фантастические романы пестрят всевозможными сценариями конца света, наступившего в результате неосторожного обращения человека с техникой. Но сегодня нет необходимости верить на слово фантазерам. Всех желающих поучаствовать в генеральных репетициях высокотехнологических апокалипсисов приглашает виртуальный мир онлайновой игры Second Life, где в последние две недели развернулись поистине фантастические события.

Напомним, что проект Second Life был основан в 2003 году американской компанией Linden Labs. В отличие от классических многопользовательских онлайновых стратегий, условия в игре максимально приближены к реальным. Это, в частности, подразумевает наличие виртуальной экономики, основанной на собственной денежной единице, привязанной плавающим курсом к доллару США, и право частной собственности. Возможность тратить и зарабатывать настоящие деньги плюс полная свобода действий принесли Second Life заслуженное признание. Сегодня в игре зарегистрировано больше миллиона пользователей, часть которых зарабатывает виртуальной торговлей на свою настоящую жизнь, а совокупное перетекание средств между игроками оценивается в несколько десятков миллионов долларов ежегодно. Территории в онлайновой вселенной покупают и арендуют многие крупные компании, привлекающие таким образом дополнительных клиентов (General Motors, Reuters) или экспериментирующие с новыми методами совместной работы сотрудников через Сеть (IBM, Sun). Естественно, на SL-сообщество, как мухи на мед, слетаются и разного рода мошенники, что периодически выливается в скандалы. Впрочем, все шло более или менее спокойно, пока не появилась утилита CopyBot.

Восстановить точный ход событий не представляется возможным, но, судя по разрозненным публикациям, в начале ноября отдельные пользователи Second Life обрели способность копировать объекты виртуального мира. Буквально мановением руки в любом количестве воспроизводились одежда, автомобили, дома — все, что попадало в руки этих «волшебников» (объекты в Second Life можно создавать самому, после чего — дарить или продавать другим игрокам). Появление «репликаторов» грозило уничтожением самого смысла торговых отношений между пользователями виртуального мира и крахом всей игры. Неудивительно, что в сообществе Second Life начались массовые волнения: предприниматели, опасаясь разорения, обратились к руководству с просьбой разобраться и защитить их от мошенников, а кое-кто в знак протеста даже закрыл свои магазины.

К этому времени выяснились любопытные детали. Оказалось, что копирование виртуальных ценностей осуществляется с помощью сторонней (по отношению к программе-клиенту Second Life) программы под названием CopyBot. Создали ее отнюдь не злобные хакеры, а несколько энтузиастов, участвующих в проекте Libsecondlife. Дело в том, что Linden Labs официально приветствует разработку стороннего программного обеспечения для Second Life. Члены Libsecondlife работают над собственной программой-редактором для создания новых объектов виртуального мира. Изучая сетевой протокол игры, они и наткнулись на неожиданный побочный эффект: как оказалось, вклинившись в информационный обмен между программой-клиентом и сервером, можно создавать точные копии виртуальных объектов. Так появилась утилита CopyBot, а поскольку ее исходные тексты были открыты, программой смогли воспользоваться многие любопытствующие.

К середине ноября, в результате совместных усилий игроков и администрации, были расставлены точки над i. Пользователей Second Life уведомили, что копирование чужой виртуальной собственности является нарушением правил и, в случае обнаружения, влечет за собой немедленное исключение игрока. Создатели CopyBot удалили программу со своего сервера. А пострадавшим от деятельности репликаторов рекомендуют обращаться в настоящий суд, апеллируя к хорошо известному за пределами Сети закону DMCA. И это, к сожалению, единственный действенный рецепт защиты: как оказалось, технически предотвратить копирование виртуальных объектов в игре невозможно. Лучшее, что можно сделать, — внимательно следить за окружающими и вовремя отлавливать мошенников. Чем в ближайшем будущем и займутся добровольные виртуальные дружины.

А через несколько дней после того как улеглись страсти вокруг CopyBot, разразилась новая катастрофа. Воскресным днем 19 ноября в отдельных районах игры появились прыгающие золотистые кольца. Забавные объекты не причиняли никаких неудобств до тех пор, пока кто-нибудь не пытался изучить их вблизи: от прикосновений кольца множились, увеличивая нагрузку на интернет-канал. Новая зараза, придуманная неизвестным пользователем, получила название «серой слизи» (grey goo) — термин позаимствовали у классика нанотехнологий Эрика Дрекслера, именовавшего так вышедшую из-под контроля массу самореплицирующихся нанороботов. В расчетах Дрекслера серой слизи понадобилось менее двух суток, чтобы погубить Землю. В живом эксперименте, невольно проведенном участниками Second Life, grey goo вызвала «конец света» всего за несколько часов и задолго до того, как кольца заполонили все свободное пространство. Размножаясь, они резко повышали нагрузку на игровые серверы, так что вскоре пользователи лицезрели вместо колец десятки лоскутков с предупреждениями «missing image». Администрация была вынуждена отключить всех игроков и провести чистку почти трех тысяч серверов, образующих игровую сеть. Споры о том, можно ли назвать происшедшее вирусной атакой (первой в своем роде), ведутся по сей день — ведь компьютеры пользователей не пострадали. Но последствия для игроков все же ощутимы: чистка серверов заставила «откатить» базу данных на несколько часов назад, что стерло из памяти игры созданные за это время объекты.