събота, 11 август 2007 г.

Медийното пътешествие на един вирус


Днес попаднах на една новина в News.bg отпреди 2 дена, която ме притесни: Засечен е нов вирус, който попадайки в компютъра, се добира до всички файлове в mp3 формат и ги унищожава. Потърсих още инфо и намерих в Technews.bg, но не се успокоих, защото тегля музика и филми от Р2Р мрежите, а не разбрах дали NOD32 (който ползвам) е ъпдейтнат за новия вирус.

Затова продължих да търся като се центрирах върху англоезичният нет. В крайна сметка разбрах това, което исках, плюс две много важни неща за компютърната ми сигурност, което не знаех и нямаше да разбера, ако се бях доверила единствено на българските онлайн новинарски сайтове:

1. Да изключа autorun-а в Windows, който автоматично стартира програми от CD-та, DVD-та и USB устройства
2. Само при належащи случаи и с изключителна предпазливост да копирам файлове от чужди USB устройства на моя компютър, както и да копирам файлове от чужди компютри на мое USB устройство

Като допълнителна "екстра" на търсенето разбрах, че пътят на информацията в Интернет много наподобява на играта "развален телефон", особено в българската част от мрежата. Това пък промени идеята ми как да блогна за вируса - не да го опиша накратко, както мислех първоначално, а да разкажа как се разпространяваше информацията за него.

На 2 август Info World публикува статията на Jeremy Kirk от IDG News Service "Червеят W32.Deletemusic открива и трие MP3 файлове" с подзаглавие "Нискорисков червей се разпространява чрез флаш драйвове и се копира на всички драйвове на компютъра", която започва с думите:

"Експерти по сигурността откриха червей, който може да се окаже така мечтаната от звукозаписната индустрия програма, тъй като открива и изтрива MP3-ките на заразения компютър. От антивирусните компании казаха, че той е нискорисков, но необичайната му мощ може неприятно да изненада музикалните маниаци. Мотивацията на хакерите, които са го създали, е неясна." Оттам Jeremy Kirk продължава с цитиране на главния технологичен консултант на Sophos - Graham Cluley, който е източникът на информацията.

По-вероятно е авторите на червея да са тийнейджъри, желаещи да напакостят, а не [някоя от] организираните престъпни групи, произвеждащи зловреден софтуер с финансови цели.

Има някои изводи, които потребителите трябва да научат, за да минимизират вероятността от заразяване. Червеят се разпространява чрез флаш устройствата, като по това прилича на начина, по който вирусите се разпространяваха преди десетилетия - чрез флопидисковете.

Това може би е опит от страна на авторите му да избягнат e-mail филтрите и Web gateway филтрите, блокиращи зловреден софтуер. Symantec, които наричат червея W32.Deletemusic, обясняват, че той се копира във всички драйвове на компютъра и създава autorun файл, който го стартира всеки път, когат потребителят достъпва някой драйв. Червеят засяга компютрите с Windows 2000, 95, 98, Me, NT, Server 2003, XP и and Vista. [Поради това] потребителите [с Windows] могат да disable autorun-а в Windows, който автоматично стартира програми от CD-та или USB устройства [като превенция срещу появата на нови вируси от този тип - разпространяващи се чрез флаш устройства и дискове].

Това не е първият зловреден софтуер, насочен срещу музикални файлове. Преди 2 години изследователи откриха червея Nopir-B worm, който се представяше като програма за копиране на DVD-та. Когато червеят заразеше компютъра, изкарваше антипиратска картинка на екрана и опитваше да изтрие MP-тройките и други файлове.

Червеят W32/Nopir-B

Миналата година троянецът Erazer направи стъпка напред в зловредността - триейки не само MP3-ки, а и филми.

Малко отклонение от пътеписа: Като потърсих инфо за тия два стари вируса, разбрах, че се разпространяват чрез Р2Р мрежите като първият, освен че опитва да изтрие всички MP3 файлове, блокира различни системни програми и трие .COM програми; а вторият трие AVI, MP3, MPEG, WMV, GIF, ZIP и други файлове. Също така Erazer може да се разпространява и чрез различните чат програми.

На 9 август music-news.com пуска кратко "Предупреждение за МР3 вирус", позовавайки се на Info World, че на 30 юли е открит вирусът W32. Deletemusic, който унищожава колекцията МР3-ки на компютъра като застрашава и МР3-ките на преносимите устройства и пояснява, че в действителност Info World смятат, че флаш драйвовете са основният начин за разпространение на вируса. Mac и Linux потребителите не трябва да се тревожат, тъй като вирусът е насочен само срещу Windows-, който е virus friendly. Източникът на вируса е неизвестен. Според Info World най-вероятно той не е RIAA, а някой тийнейджър.

Т.е., от една страна коректно се препредава, че флаш паметите са основният начин на разпространение; и че Mac и Linux потребителите не са застрашени. От друга страна, е сменен акцентът на информацията - на първо място е посочена заплахата за харддисковете, а след това - за USB устройствата. Това само по себе си не е изкривяване на информацията, но създава условия за последващо изкривяване.

Друга такава предпоставка е авторският коментар, с който започва статията: "Няма да развиваме теорията на конспирацията, но дали музикалната индустрия най-накрая не е намерила начин да пребори пиратството?"

И ако това начало все пак е маркирано като коментар на music-news.com (чрез употребата на първо лице и чрез въпросителния знак), то твърдението, че според Info World източникът на червея не е RIAA, е измислица - Info World не са казали такова нещо.

Същият ден новината "влиза" в българската мрежа чрез Avtora.com като "MP3 вирус се бори с нелегалното пиратство". Позовавайки се на music-news.com, музикалният сайт съобщава, че "музикалният бизнес най-накрая се сдоби с оръжие срещу пиратството и незаконното разпространение на музика. Засечен е нов вирус, който попадайки в компютъра се добира до всички файлове в mp3 формат и ги унищожава. Вирусът е кръстен "W32. Deletemusic" и Разпознава mp3 файловете не само в компютъра ви, но и в прикачените към него устройства. За сега се смята, че вирусът не засяга потребителите на Mac и Linux, а само тези на Windows. Унищожителят на mp3-ки е засечен в края на юли и се подозира, че създателят му е тинейджър от САЩ."

При така препредадената информация се "изгубва" ролята на USB устройствата - сочи се само, че са застрашени, без да се каже изрично, че бидейки такива, са основен канал за разпространение. Оплескан е и проблемът с операционните системи с добавянето на израза "засега се смята" ( и то неграмотно - "засега" се пише като една дума, а не като две). Това е двойно "обезценяване" на информацията, чрез което тя звучи като: "Казват, че не е опасен за Mac OS и Linux, ама може и да не е така". И така неявно се внушава, че потребителите на Mac OS и Linux също трябва да се тревожат.

Пълно съчинение е предполагаемото американско авторство. А твърдението, че музикалният бизнес най-накрая се е сдобил с оръжие срещу пиратството, е откровена лъжа. Т.е., коментарът (на първоизточника) е посочен като факт, което се подсилва и от съчиненото заглавие - първоизточникът не е казал, че вирусът се бори с пиратството. Твърдението, че вирусът е оръжие срещу пиратството, би било вярно, ако имаше поне един факт, че поне една компания го е разпространила. Ама няма такъв посочен.

Другият български "вход" на новината е TechNews.bg. На 2 август ИТ порталът съобщава, позовавайки се на Symantec и McAfee за "Червей за Windows трие MP3-ки от дисковете": с подзаглавие "Копира се на всички устройства, като заема 380 килобайта". Тотално липсва информацията и предупреждението за USB устройствата. Явно журналистите от ИТ портала или не са прочели изцяло, или не са осмислили напълно първоизточниците си, които посочват механизма на разпространение на червея.

КАКВИ СА ФАКТИТЕ ЗА ВИРУСА:

Той е тип "червей" и се разпространява основно чрез USB устройства и Интернет. Рискът от зараза е оценен като нисък от водещите антивирусни компании. Известен е с различни имена:

Trj/Autorun.J (Panda
Virus.Win32.AutoRun.ah (Kaspersky)
W32.Deletemusic (Symantec)
Win32/AutoRun.AH (ESET)
WORM_DELF.HXZ (Trend Micro)
W32/Deletemp3.worm (McAfee)
W32/DelMP3-A (Sophos)

Kaspersky го откриват на 26 май и пускат ъпдейт, на 1 юни публикуват описанието. Symantec откриват, ъпдейтват и съобщават на 30 юли; McAfee - на 1 август; Sophos - на 2 август. За останалите не можах да разбера кога са ъпдейтнали.

Оттук следва изводът, че много добре са се представили Kaspersky, а Symantec, McAfee и Sophos са изостанали с повече от месец. Лошото е, че не можах да разбера кога са ъпдейтнали Panda, ESET и Trend Micro.

Но би било много погрешно възоснова на реакциите спрямо един вирус от един тип да се прави заключение за качествата на съответните антивирусни продукти. Такова заключение би могло да се базира на системното проследяване на реакциите на различните антивирусни компании към новите вируси от всякакви типове.

Предполагам, че не може да няма някоя група/компания/организация, която да не прави това - анализ на качеството на предлаганите на пазара антивирусни пакети, базиран не на популярността им, а на реалното им представяне. Като ми остане време, ще потърся в мрежата.

КАКВИ СА ИЗВОДИТЕ:

1. Най-важното за обикновения потребител - ролята на USB устройствата, тотално липсва и по двата пътя на разпространение на новината.
2. Специализираните журналисти и сериозните медии също може да работят непрофесионално.
3. Не вярвай на нищо прочетено в българската мрежа, ако не си го проверил.

Втория извод правя и възоснова на една скорошна случка:

Прочетох в блога "Наука" на "Капитал" статията на Ясен Пекунов "Няколко думи за аутизма". В нея имаше някои неточности, които бяха посочени от в 2 или 3 коментари към статията. Чест прави на г-н Пекунов, че не само ги поправи, но и благодари за тези коментари. Казвам "чест прави", защото го сравнявам с двама негови колеги, работещи в издание на същия издател.

Христина Беева и Христо Петров - репортери за страниците “Компании и финанси” в “Дневник”, наскоро пуснаха блог за световния бизнес, дебютирайки със смазващата "новина", че "софтуерната компания “Сън майкросистемс” навлиза в нов бизнес". Ако всичките им финансови и бизнес новини в "Дневник" са с това качество..., "ебаси" както се казва..., жалко за "Дневник".

Особено се ядосах от това, че Димитър им посочи в коментар едната тъпота, аз - другата, но те надменно ги игнорираха (в блога им коментарите се модерират). Разказах това в коментара си към статията на Ясен Пекунов, защото аз също му посочих една неточност, но с доста рязък тон, и исках да се извиня, че прехвърлям върху него гнева си, насочен към колегите му от "Дневник". Вероятно някой шеф от "Капитал" или "Дневник" е видял линка, който дадох, и им е казал да си оправят простотията.

За съжаление, те я оправиха, пускайки нов постинг със същата самовлюбена надменност - Новото в Сън Майкросистемс…so what и още инфо, който започва така: "Първо, благодаря за коментарите. След кафето се позамислих и открих какво точно е новото в бизнеса на Sun Microsystems (които предлагат достатъчно известен софтуер, за да се нарекат софтуерна компания)...."

От всичко това разбрах, че:

1. Като преписват от чужди източници, те не мислят, камо ли да проверяват и търсят допълнителна информация, за да изяснят за себе си това, за което пишат.
2. Не уважават читателите си, не само защото пишат глупости, а и защото:
- се вслушват в тях с нежелание (поправиха се, след като някой им нареди)
- отнасят се към тях с неприкрита ирония (изразите "so what", "след кафето се позамислих")
- подменят единия топик на задочния спор ("навлизат в нов бизнес" е различно от "новото в бизнеса") и настояват на другатата глупост (за софтуерната компания), което пък навежда на предположението, че те поначало не са знаели, че софтуерът не е единственият бизнес на Sun
3. Проблемът не се свежда само до познания и професионален подход, а и до морал (Ясен също беше сбъркал, карайки по лекия път на писане, но се поправи и същевременно благодари на читателите за критиките)

КАКВО ИСКА ДА КАЖЕ АВТОРЪТ (т.е. аз):

1. Огромната част от журналистите (без автоматично да се изключват публикуващите в сериозни издания и специализирани журналисти) са неграмотни и/или мързеливи, нерядко и нагли.
2. Много искам журналисти като Ясен Пекунов да определят облика на малкото останали сериозни медии. Надежда в тази насока ми дава прекрасният човек и журналист Симион Патеев, който според мен е голямото журналистическо откритие на "Дневник".

6 коментара:

Анонимен каза...

"1. Огромната част от журналистите (без автоматично да се изключват публикуващите в сериозни издания и специализирани журналисти) са неграмотни и/или мързеливи, нерядко и нагли."

Ха добро утро. :) Това и аналогията с "развален телефон" не е нищо ново за мен, особено що се отнася за по-специализираните теми (от рода на ИТ и наука). И проблема май не е само в българските медии...

PS. Какво му има на blockquote, че Блогър не го хареса? (Реторичен въпрос :))

Unknown каза...

За мен бе изненада това, че сред журналистите, пишещи на специализирани теми (не само ИТ, наука, а както сочи последният ми пример - и финансови пазари, компании и кой знае още колко...) има такива. Мислех си, че само писачите на политически, "обществени" и прочие алабала теми са лъжльовци и/или неграмотници.

Разбира се, че проблемът не е само в родните медии - затова описах целия път на новината барабар с изкривяванията й преди "влизането" у нас. Но ти ме подсещаш да драсна един друг интересен (според мен) пример за подобно изкривяване - но само за чужди медии, от който ясно се вижда, че по самата си същност съвременните медии манипулират информацията заради някакви извънжурналистически цели.

Не разбрах - в какъв смисъл Блогър не харесва blockquote?

Анонимен каза...

Хихи, така е то... Скоро гледах една новина на български новинарски сайт, най-долу пишеше "източник: сайт1". Отивам на сайт1, там същото, пише обаче "източник: сайта, на който първо видях новината". Така зацикляхме едно време процесора с две инструкции, и той гледа сам себе си с много голяма скорост, само изключване може да го оправи. :-)
SY, Victor

Milena Pavlova каза...

Az za tova si kupih Mac. Nikakvi virusi kato na Windows

Анонимен каза...

Забележките относно състоянието на родните медии са резонни.

Unknown каза...

(Вместо коментар):

Вени Марковски ми прати мейл с топик "thanks!", че е пуснал този постинг в Portal.bg.

Отговорът ми на Вени:

Относно: И аз thanks!

Защото мисля, че е полезно повече хора да са информирани за безобразното качеството на родните медии - както общи, така и профилирани. А също така - за принципния дефект на медиите, който се проявява в целия свят: умишленото или не изкривяване на информацията.

Така ще са по-малко податливи на политически манипулации, без значение отляво, отдясно или все едно откъде.

А учениците и студентите, които искат да станат добри професионалисти, независимо в коя сфера, ще разберат, че знания не се добиват наготово - дори от профилирани медии, дори и от английски. Разбира се, че е специализираните издания трябва да се следят, но освен че трябва да подбираш източници с висока репутация, най-важното все пак е да мислиш :)