Черный день ICQ - как это было

Первые сообщения о вредоносной программе Snatch появились примерно в полдень 16 августа. Всего за день в блогах накопилось свыше полутора тысяч однотипных призывов: "не принимайте и не запускайте этот файл!". Несмотря на это, аськи косило целыми офисами. Стоило одному сотруднику заразиться, как другие получали от него "подарок".

Интересно, что Snatch.exe не содержит каких-то технологических инноваций. По утверждению экспертов, он довольно неряшливо написан в среде разработки Delphi. Эпидемия же началась потому, что авторы червя очень хорошо изучили поведение типичного пользователя и применили несколько безотказно работающих приемов.

Во-первых, червь умеет уговаривать пользователя. Он может для начала сказать "привет" или "глянь". На слово "спам" обидится - мол, разве спамеры файлы шлют? На вопрос, что это он прислал, следует незамедлительный ответ: "ну мини игра типа )".

На этом сломались многие пользователи:

- Глянь!
- Это вирус?
- Нет, глянь )))
- Что это?
- Мини игра типа ).

Запуск, ICQ отключается, заражение.

Во-вторых, Snatch.exe приходит не с незнакомого сайта, а от уже зараженных знакомых, то есть людей, которым пользователь априори доверяет. В ходе эпидемии именно это доверие оказалось особенно непонятным для системных администраторов и сотрудников IT-подразделений пострадавших компаний. Люди, которым паранойя положена по должности, не могли представить себе, как можно повестись на такой простой трюк и кем надо быть, чтобы открывать присланные .exe-файлы.

В-третьих, Snatch.exe занимает 916,5 килобайта, что нетипично много для вируса, каким его представляет себе большинство жертв. И тем больше червь походит на "мини-игру". Особо продвинутые пользователи могли проверить файл архиватором и обнаружить, что внутри спрятан десятимегабайтный файл. Чем не игра?

В-четвертых, попались даже некоторые пользователи, соблюдающие все правила компьютерной безопасности. Приняв файл, они запускали его не сразу, а лишь проверив антивирусом. К сожалению, в начале эпидемии далеко не все антивирусы били тревогу при виде Snatch.exe. Так, на 13 часов 16 августа вредоносную программу распознавали только 9 из 42 антивирусов, известных сервису Virustotal. Все это были сравнительно малоизвестные программы. Лишь через несколько часов подтянулись распространенные в России "Касперский" и Dr.Web.

Вот как описывает работу Snatch.exe аналитик Dr.Web по вирусной обстановке Валерий Ледовской:

Это интернет-червь, который определяется по классификации компании "Доктор Веб" как Win32.HLLW.Natchs. Данный вирус распространяется через сервисы мгновенных сообщений, поддерживающих протокол ICQ. После загрузки и запуска вредоносного файла такие интернет-пейджеры, как QIP и ICQ, завершают свою работу. Если используется QIP, то червь определяет пароль доступа к ICQ-аккаунту и самостоятельно соединяется с ним. После чего рассылает свои копии по списку контактов пользователя-жертвы, продолжая таким образом свое распространение.

Денис Масленников, руководитель группы исследования мобильных угроз "Лаборатории Касперского", где Snatch.exe зовут IM-Worm.Win32.QiMiral.ax, объясняет, как избавиться от червя:

Если заражение произошло, необходимо в диспетчере задач Windows удалить процесс с именем Snatch.exe, после чего удалить само тело червя и по возможности сменить пароль от ICQ UIN'а.

Тут стоит отметить, что, по данным Dr.Web, Snatch.exe не отсылала пароль к аккаунту злоумышленникам, а использовала его только для дальнейшего распространения.

Возможно, авторы Snatch.exe отличаются избыточным благородством, не уводя аськи, как это делают все нормальные мошенники, зарабатывающие на своем ремесле. Но гораздо вероятнее другое - Snatch.exe был пробным шаром.

Типа мини-игрой перед игрой по-крупному.