Автор вируса LoveLet-CL борется с "Эшелоном" как умеет

Написание вирусов не с целью уничтожения чужих данных, а с целью самовыражения и борьбы с чем бы то ни было, становится, похоже, все более популярным. В среду американская антивирусная компания Sophos обнаружила в Сети в диком виде странный вирус — VBS/LoveLet-CL, являющийся очередным клоном известного вируса LoveBug. Правда, в диком виде вирус обнаружен в одном-единственном экземпляре, и возможность его дальнейшего широкого распространения вызывает серьезные сомнения.

На этот раз автор вируса попытался рассказать заражаемым пользователям об опасности системы слежения и контроля за электронными сообщениями — Echelon, в существовании которой европейское сообщество не первый год подозревает Америку и другие англо-говорящие страны.

Почтовый вирус приходит к потенциальной жертве в письме в прикрепленном файле, который так и назван — echelon.vbs. Непонятно, рассчитывал ли вообще автор письма на широкое распространение собственного вируса, поскольку в поле subject значится «!!!», а в самом теле письма можно прочесть лишь «:-) MuCuX…» — тонким социальным инжинерингом письмо не блещет.

Самое интересное находится в теле вируса. Компании Sophos удалось выудить из кода червя пространный комментарий, разъясняющий отношение автора к Америке вообще и системе Echelon в частности.

В комментарии можно прочесть следующее: «Я НЕ из ирака и отнюдь не защищаю ирак/ислам в любом виде. Остановите Насилие Пентагона. Почему вы тестируете свое новое оружие на ираке? Вы пытаетесь защитить детей от порнографии, но вы также убиваете их и других невинных людей в ираке… …и еще одна вещь… почему вы используете такие глупые вещи как эшелон, чтобы подслушивать?»
«Эй, все остальные, давайте перегрузим этот эшелон…», — предложил также автор.

Затем автор вируса приводит почти 2 Кб слов, на которые, по его мнению, Echelon должен среагировать. Среди них: VIP, Шамиль Басаев, Национальное агентство безопасности, терроризм, агенты, компьютерный терроризм, ВМФ, Йемен, безопасность, национальная инфраструктура, сверхсекретно, КГБ, ФБР, ЦРУ, криптография, саботаж и тому подобное. Автор решил, что при массовом распространении такого вируса система «Эшелон» начнет сбоить из-за все возрастающего объема информации, которую необходимо мониторить.

Правда, по утверждению The Register, Echelon, согласно давнему исследованию журнала, фильтрует не по неким ключевым словам из словаря «опасных» слов, а по специально разработанным паттернам. В результате этого, даже если бы вирус и получил широкое распространение, в чем есть все основания сомневаться, системе тотальной слежки от этого распространения было бы ни тепло, ни холодно.

Помимо пропаганды свободы распространения информации, вирус также совершает и некоторые деструктивные действия. Все файлы на локальных дисках с расширением VBS, VBE, JS, JSE, CSS, WSH, SCT или HTA заменяются червем, а расширение — на vbs. Графические файлы JPG и JPEG, также заменяются вирусом, однако получают двойное расширение — filename.jpeg.vbs.

Также, если на машине установлена программа mIRC (Internet Relay Chat), вирус запускает скрипт, потенциально способный заразить вирусом компьютеры пользователей канала.

Вирус распространяется через почтовую систему Microsoft Outlook Express и существует только в среде Windows 32.