Читаем Домашний компьютер № 8 (122) 2006 полностью

Судя по отчетному документу «Лаборатории Касперского», исследователи этой компании стараются постичь специфику распространения Bluetooth-инфекций как можно глубже. Для того чтобы оценить вероятность массового распространения мобильных вирусов, здесь изучают медицинские данные об эпидемиях, вызываемых биологическими вирусами, а также некоторые математические модели ученых-эпидемиологов. Пользуясь этим научным аппаратом, в K-Lab рассчитали, используя среднее число мобильных устройств на квадратный метр, что в принципе червь для мобильных устройств смог бы заразить почти все уязвимые устройства в Москве за время порядка 15 дней.

Поскольку в жизни нашей ничего подобного не происходит, эксперты компании предполагают, что на самом деле для всеобщего Bluetooth-заражения времени потребуется больше. Однако, подчеркивают они, совершенно ясно, что угроза локальной мобильно-вирусной эпидемии — это опасная реальность. Тем более, напоминает нам K-Lab, что это действительно уже происходило — в августе прошлого года в Хельсинки, на Чемпонате мира по легкой атлетике 2005.

Почему-то первое, что приходит на ум при таком напоминании — это штаб-квартира компании F-Secure, признанного лидера в борьбе с Bluetooth-угрозами, которая по случайному стечению обстоятельств тоже находится в Хельсинки. И почему-то не кажется бредовой идея, что следующая локальная Bluetooth-эпидемия разразится в какой-нибудь мировой столице, принимающей очередную конференцию, посвященную компьютерам или инфобезопасности…

У «Лаборатории Касперского», кстати говоря, недавно появилась еще одна, непреднамеренная и несколько комичная, связь с Финляндией. Точнее говоря, лично с небезызвестным финном Линусом Торвальдсом — отцом ядра ОС Linux (давно уже работающим в США). Суть истории такова. В апреле этого года K-Lab опубликовала информацию о полученном ею в анализ новом «кросс-платформенном» вирусе, способном заражать файлы как в Windows, так и в Linux. Вирус, впрочем, довольно-таки безвредный — просто «подтверждающий концепцию», как это называется, — но интересный именно своей природой, позволяющей ему работать в условиях существенно различных операционных систем. Правда, в Linux-сообществе быстро выяснили, что «новый» вирус написан, скорее всего, довольно давно, поскольку работать способен лишь со старыми версиями ядра. Линуса Торвальдса, однако, универсальный код «вредителя» заинтересовал настолько, что он вник в проблему, нашел причину и лично написал патч к текущей версии ядра, чтобы и современная версия ОС корректно работала с этим кодом…

После этой странноватой истории один из довольно известных (во всяком случае, голосистых) деятелей Linux-сообщества, американец Джон Барр, решил поподробнее изучить активность «Лаборатории Касперского» на поприще антивирусной борьбы в среде Linux. Причина его интереса в том, что K-Lab по меньшей мере с 2001 года то и дело объявляет о выявленных ею угрозах для ОС Linux. Барр же работает — причем весьма интенсивно — исключительно под Linux с 1999 года, но при этом НИ РАЗУ за прошедшее время не сталкивался с Linux-вирусами «вживую» (а не в виде чисто лабораторных образцов, «подтверждающих концепцию»).

Отправившись на веб-сайт K-Lab, Барр нашел там наиболее свежий аналитический отчет специалистов фирмы, посвященный «эволюции вредоносных программ под ОС *nix в 2005 году». Конкретно для Linux, в частности, там приведены данные о крутейшем росте числа вирусов — всего за год, с 2004 по 2005, их количество по оценкам «Лаборатории Касперского» подскочило с 4 до 91 штуки!

Если человек ни разу в жизни не видел ни одного реального Linux-вируса, а известные специалисты за год обнаружили их целых 87, то вполне естественным выглядит желание узнать поподробнее о столь неуловимых бестиях. Поэтому Барр послал в K-Lab запрос относительно какой-либо документации, подтверждающей их заявления. Для начала Барра отправили в «Энциклопедию вирусов», которая ведется на сайте Лаборатории.

Поиск вредителей для Linux в этой энциклопедии принес поражающие воображение 972 позиции. Правда, если взглянуть на всю эту жуть чуть внимательнее, то ситуация оказывается далеко не столь тревожной. Скорее даже — искусственно раздутой. Вот лишь несколько характерных особенностей, выявленных Барром в этом длиннющем списке.

Первые 256 позиций оказались вообще никак не задокументированы. Собственно вирусы в остальных позициях гипотетических угроз почти не присутствовали, а мало-мальски вразумительное описание обнаружилось лишь у 21 вируса — то есть примерно для 2% списка. Из этих 21 два оказались дубликатами. Еще один из 21 оказался вирусом Windows, а не Linux. Наконец, практически все из 21 известной «вредоносной программы» модифицируют файлы в соответствии со стандартными разрешениями, принятыми в операционных системах семейства Unix, где принципиально отличаются полномочия пользователя и администратора.