Читаем Журнал «Компьютерра» № 24 от 26 июня 2007 года полностью

Впервые о BadBunny мир услышал от компании Sophos, в которую новый вирус был прислан на рассмотрение самим автором. Получивший идентификатор SB/Badbunny-A, в оригинале вирус представляет собой документ формата OpenOffice org (файл badbunny odg) с интегрированной в него программой, написанной на скриптовом языке StarBasic. Поскольку пакет Open-Office org используется сегодня и под Windows, и под Linux, и в среде Mac OS X, стартовав, «Крольчишка» определяет, на какой именно платформе он оказался, после чего приступает к размножению, варьируя свои действия в зависимости от результатов проверки. Запустившись под Windows, BadBunny ищет и модифицирует настройки популярного чат-клиента mIRC, попутно используя Javascript. Под Linux «Кролик» прибегает к помощи Perl, схожим образом изменяя установки любимого линуксоидами IRC-терминала XChat. Наконец, под Mac OS Х BadBunny забрасывает в систему пару самореплицирующихся Ruby-скриптов. Исполнив животный долг, вирус скачивает из Сети и демонстрирует на экране неприличную картинку с участием мужчины, одетого в костюм Белого Кролика (откуда и название). На этом инфекционный этап заканчивается, и начинается самое интересное.

Пользователям Маков повезло больше других: с их компьютеров BadBunny может уйти во внешний мир лишь в виде упомянутых Ruby-файлов, по неосторожности попавших на съемные носители. В Windows и Linux вирус действует иначе. Модифицированный IRC-терминал, будучи запущен, пытается установить соединение с другими компьютерами в IRC-каналах и передать им копию вируса. И если жертва использует OpenOffice org (который на сегодняшний день только с официального сайта проекта скачан более 80 млн. раз), цикл замыкается.

Ошибки в вирусном коде, требуемое согласие пользователя на исполнение скрипта (обязательное условие в OpenOffice org) и отсутствие у BadBunny очевидных проявлений агрессии позволили экспертам Sophos причислить новый вирус к категории демонстрационных изделий (proof-of-concept). «Кролику-плохишу» был присвоен рейтинг "не представляющий опасности", а автор программы удостоился ряда едких замечаний, в том числе от директора SophosLabs Марка Харриса (Mark Harris), весьма нелестно отозвавшегося о квалификации вирусописателя ("даже не мечтайте получить у нас место"). Тем интереснее было наблюдать, как всего через неделю о Bad-Bunny заговорили вновь – и уже совсем в другом ключе.

Друг за другом с заявлениями по поводу BadBunny выступили участники проекта OpenOffice org и специалисты компании Symantec. Последние присвоили BadBunny статус "умеренно опасного" (medium risk), присоединившись к призыву разработчиков открытого офисного пакета с осторожностью относиться к документам, полученным из третьих рук. По оценке Symantec, число заражений «Кроликом» уже составляет несколько десятков, что, конечно, пока не дотягивает до эпидемии, но заставляет задуматься о ближайшем будущем. Межплатформный червь по сути, BadBunny безобиден лишь милостью случая, тогда как его деструктивный потенциал достаточен для нанесения серьезного ущерба. «Кролик» с легкостью может менять и уничтожать документы пользователя под Linux и Mac OS X, а в Windows модифицировать даже системные файлы. Продемонстрированная возможность интегрировать в операционные системы самозапускающиеся скриптовые программы открывает путь к созданию межплатформного вируса-шпиона. При широком распространении BadBunny легко превращается в инструмент для DDoS-атак (пока он лишь «пингует» сайты антивирусных разработчиков). Наконец, «Крольчонка» легко замаскировать под полезный скрипт в офисных документах, усыпив бдительность нерадивых пользователей. Противопоставить же надвигающейся опасности практически нечего: совет осторожничать с «левыми» документами кажется просто насмешкой в эпоху электронного документооборота, антивирусные же программы пользователям Linux и Mac OS X малознакомы. Тук-тук, Нео, тук-тук! ЕЗ

Не рой другому яму

Партнерские отношения Google и eBay, никогда не отличавшиеся теплотой, в середине июня переросли в открытый конфликт. Яблоком раздора стала конференция, посвященная платежной системе Google Checkout и затеянная по соседству аккурат в день открытия аналогичного мероприятия eBay Live!. Руководство крупнейшего онлайн-аукциона расценило это как попытку подвигнуть пользователей к отказу от PayPal в пользу прямого конкурента. Сетевая «барахолка» игнорирует Checkout, что, естественно, не нравится Google, решившемуся на столь провокационную попытку изменить ситуацию в свою пользу.