«Черви» та інші цифрові тварі: як з'явилися найнебезпечніші віруси
Рівне 28 років тому, 22 січня 1990 року, закінчилося слухання у справі Роберта Таппан Морріса - програміста, відомого як творець «хробака». Для тих, хто не в курсі, «Хробак» - це шкідлива комп'ютерна програма, здатна самостійно поширюватися через локальні і глобальні мережі.
Іншими словами, це вірус, який на кілька діб заблокував тисячі комп'ютерів світу. В кінці 80-х програмісти ще не стикалися з хакерами, і виведені з ладу військові, шкільні та робочі комп'ютери клали їх в шок. Але ситуацію швидко вдалося поправити, коли фахівці з Університету Берклі змогли декомпілювати код шкідливої програми.
Що стосується Морріса, то суд призначив йому 400 годин громадських робіт, 10 000 доларів штрафу, випробувальний термін на три роки і оплату витрат, пов'язаних з наглядом за засудженим. Тоді програмісти ще не припускали, що через 10 років з'являться умільці, які придумають віруси страшніше «черв'яків».
«Рідус» пропонує згадати, які незвичайні і небезпечні віруси намагалися напасти на наші комп'ютери за останні 20 років.
Найпершим розробленим вірусом вважається програма Elk Cloner для комп'ютерів Apple II, яку створив 15-річний школяр. Після того як комп'ютер завантажувався із зараженою дискети, автоматично запускалася копія вірусу. Вірус не впливав на роботу комп'ютера, за винятком спостереження за доступом до дискам. Коли відбувався доступ до незараженной дискеті, вірус копіював себе туди, заражаючи її, повільно поширюючись з диска на диск.
Цікаво, що, коли вірус потрапляв в пристрій, на екрані з'являвся віршик:
ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT'S CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!
Особливої шкоди вірус не доставляв, тому сьогодні мало хто пам'ятає про Elk Cloner. А ось про першу вірусної епідемії забути складно: туди потрапили і «Черв'як Моріса», і DATACRIME, і AIDS. Віруси DATACRIME стали широко розповсюджуватися в 1989 році в Нідерландах, США та Японії.
Вірусна програма повністю руйнувала файлову систему і за весь час існування вразила близько 100 тисяч комп'ютерів. На цей загрозливий стан відреагувала навіть компанія IBM, випустивши свій детектор VIRSCAN, що дозволяє шукати характерні для того чи іншого вірусу рядки (сигнатури) в файлової системі.
З черв'яків в коні
У тому ж році з'явився перший «троянський кінь» AIDS. Вірус робив недоступною всю інформацію на жорсткому диску і висвічував на екрані лише один напис: «Пришліть чек на 189 доларів на такий-то адреса». Незабаром автора вірусу зловили при спробі перевести в готівку чек і засудили за вимагання.
З початку 90-х років починається «ера комп'ютерних вірусів», коли шкідливі програми набирають глобального розмаху. Комп'ютерні користувачі кінця 90-х напевно пам'ятають вірус CIH, більш відомий як «Чорнобиль».
Тайваньський студент Чень Инха спочатку заразив вірусом комп'ютери в своєму університеті, звідки віруси поширилися практично по всьому світу, в тому числі і в Росії. «Чорнобиль» працював тільки на комп'ютерах під управлінням Windows 95/98 / ME, і відразу після активації починав знищувати всю інформацію з жорстких дисків, а також пошкоджувати дані мікросхем BIOS.
Всього від «Чорнобиля» постраждало близько 500 000 персональних комп'ютерів по всьому світу, збитки оцінюються в 1 мільярд доларів, але творець вірусу так і не був засуджений, і, за останніми даними, зараз він працює в компанії з виробництва комп'ютерної техніки Gigabyte.
До речі, вірус запускався на комп'ютерах 26 квітня, в день пам'яті загиблих на Чорнобильській АЕС, за що CIH пізніше і отримав свою назву.
«Листи щастя»
Найчастіше віруси потрапляють на наші пристрої через електронну пошту: відкриваючи лист, ми автоматично запускаємо заражену програму або завантажуємо її самі. До таких файловим вірусам, що передається по електронній пошті, відноситься Storm Worm - троянський кінь, що заражає операційні системи Microsoft Windows.
На відміну від «черв'яків», що поширюються самостійно, троянський кінь - це справа рук людини: зловмисник або сам завантажує вірус на ваш пристрій, або пропонує вам самостійно заразити комп'ютерну систему, наприклад завантажити підозрілий файл.
Для досягнення останнього троянські програми часто поміщають на сайти з файлообміном. Завантаживши таку програму, багато хто може довго не підозрювати, що їх комп'ютер заражений, так як «трояни» часто імітують ім'я і іконку який-небудь програми. Причому останнім часом зловмисники стали вставляти вірус в реальні програми, а не в файли-пустушки.
Шкоди від троянських програм досить: все може починатися з невеликих неполадок в роботі комп'ютера, а закінчитися повним знищенням всіх даних або стеженням за користувачем, наприклад які сайти він відвідує.
Так, в 2007 році Storm Worm атакував користувачів Windows, заразивши майже 10 мільйонів комп'ютерів. Поширювався троянський кінь в основному по електронній пошті листом з заголовком «230 людей загинули в результаті розгромили Європу штормів» ( «230 dead as stоrm batters Eurоpe»). У вхідному листі був прикріплений файл з вірусом.
За останні 20 років було придумано чимало поштових вірусів, і ті, хто хоч раз попадався на вудку, були впевнені, що «більше ніяких підозрілих листів». Але хакери-то знають наші слабкості!
Ще один цікавий поштовий вірус називається ILOVEYOU, він вразив майже 3 мільйони комп'ютерів по всьому світу. Схема поширення все та ж: отримав, відкрив, завантажив. Користувачам приходило на пошту лист під назвою «I LOVE YOU», всередині якого був файл «LOVE-LETTER-FOR-YOU.TXT.VBS». Як нескладно здогадатися, найцікавіші заробили шкідливу програму, яка вражала не лише їх комп'ютер, але і відправляла нові любовні листи контактам з адресної книги.
Збиток, нанесений вірусом, становить 10-15 мільярдів доларів, через що він був занесений в Книгу рекордів Гіннеса як найбільш руйнівний комп'ютерний вірус в світі.
Буває і так, що для отримання вірусу досить нічого не робити: хакери все зроблять за тебе. Наприклад, на початку 2000-х по світу пройшовся комп'ютерний черв'як SQL Slammer, який сам генерував випадкові IP-адреси і відправляв себе по ним. 25 січня 2003 року його вразив сервери Microsoft і ще 500 000 серверів по всьому світу, що призвело до значного зниження пропускної здатності інтернет-каналів, а Південну Корею взагалі відключив від інтернету на 12 годин.
Як пізніше з'ясувалося, уповільнення було викликано крахом численних маршрутизаторів через дуже високого вихідного трафіку з заражених серверів. Шкідлива програма поширювалася з неймовірною швидкістю: за 10 хвилин вона інфікована близько 75 000 комп'ютерів.
хакери атакують
Комп'ютерний черв'як Stuxnet - відносно недавній вірус, що з'явився в 2010 році. Його особливість була в тому, що він міг шпигувати не тільки за домашніми ПК, але і збирати дані з комп'ютерів великих підприємств, електростанцій, аеропортів і т. Д.
Вважається, що вірус Stuxnet був розробкою спецслужб Ізраїлю і США, спрямованої на запобігання ядерному проекту Ірану. Як докази експерти привели слово «Myrtus», що міститься в коді хробака.
«Myrtus» може означати як гілочку мирта, так і ім'я Естер (по-єврейськи Hadassah). Ця юдейка була однією з дружин перського царя Ксеркса. Відповідно до Старого Заповіту, будучи хитромудрої і сміливою, ця жінка розкрила і попередила змова персів проти євреїв. В результаті ізраїльтяни врятували свої життя і помстилися гнобителів. На згадку про це у євреїв встановлено свято Пурим.
Крім того, в коді зустрічається дата 9 травня 1979 (19790509). Нагадаємо, що в цей день відбулася страта відомого іранського промисловця Хабіба Ельганяна.
Вірус якимось чином потрапив в систему управління комп'ютерів ядерного заводу і почав свою майже непомітну роботу. Stuxnet поступово збільшував швидкість обертання ядерних центрифуг, які підтримували завод, повільно руйнуючи їх. Вірус знищив близько 1/5 центрифуг на ядерному об'єкті в Натанзі.
Через рік Хілларі Клінтон скаже, що проект по розробці вірусу Stuxnet виявився успішним і іранська ядерна програма таким чином буде відкинута на кілька років назад
Тоді, в 2010 році, вірус поширився через інтернет і на інші комп'ютери, багато з яких могли належати промисловим організаціям, наприклад водохранилищам або атомним електростанціям. Але вірус встигли вчасно декодувати.
Не без уразливості
З розвитком вірусів, природно, стали з'являтися і антивірусні програми, які зараз є практично на кожному комп'ютері. Якщо не бродити по зовсім вже злачних сайтам, шанс підчепити вірус вкрай малий. Але він все-таки є, наприклад вірус може проникнути на ваш пристрій через вразливість.
Цим скористався і вірус 2017 року WannaCry, від якого постраждало близько 500 тисяч комп'ютерів з операційною системою Windows. Цей мережевий черв'як через інтернет шукав комп'ютери з уразливістю EternalBlue і в разі успіху встановлював бекдор DoublePulsar, через який завантажувався і запускався виконуваний код програми WannaCry.
Далі за відомою схемою: вірус проникав в операційну систему, блокував всі дані і далі вимагачі вимагали викуп за розшифровку. Причому хакери WannaCry вирішили не відставати від модної тенденції і вимагали викуп в біткоіни.
Схожий вірус минулого року - Petya, творці якого теж вимагали викуп за розшифровку в біткоіни. Але, на відміну від WannaCry, шкідлива програма блокувала не тільки дані, але і вражала операційну систему запуску.
Раз вже ми згадали про уразливість, за допомогою яких віруси можуть потрапити на наші пристрої, не можна не розповісти про Meltdown і Spectre, про які заговорили на початку січня 2018 року. Повідомлялося, що всі процесори Intel після 2010 року випуску і AMR64 схильні до цієї уразливості, через яку у зловмисників з'являється доступ до ваших паролів, навіть якщо весь ваш софт ідеально написаний і пропатчений.
Над вразливістю ще в грудні 2017 року стало працювати Лінус Торвальдс зі своєю командою, і, як повідомлялося, фахівцям вдалося її усунути. В кінці року з'явилися патчі для операційних систем Windows і Linux, і, здавалося б, лихо обминуло, але все виявилося не так просто.
Патч, який вирішує проблему з Intel, почав сильно гальмувати роботу комп'ютерів. Ті, хто використовує ПК для ігор або проводить час в інтернеті, уповільнення пристрою навряд чи помітить, але, якщо у вас на Intel файлосховище, падіння продуктивності може бути до 50%.
допоможи собі сам
До того ж не варто забувати, що Meltdown - це один із способів експлуатації цієї уразливості, всього їх представлено три. І двом іншим, які отримали загальну назву Spectre, процесори AMD або Samsung дуже навіть схильні.
Велика проблема цих вразливостей ще і в тому, що підібрати патч для Spectre набагато складніше, ніж для Meltdown. І на даний момент такого патча просто немає. Труднощі в тому, що накласти «латочку» тільки на ядро недостатньо, треба патчить самі додатки, щоб вони не давали іншим програмам проникати в свою пам'ять.
А тепер давайте уявимо, скільки часу піде у програмістів, щоб створити патчі для всіх програм. Поки такі засоби захисту ще не зроблені, експерти пропонують убезпечити себе самим, наприклад включити всі засоби захисту в браузерах і інших додатках.
Звичайно, краще прислухатися до поради фахівців, але важливо розуміти, що стовідсоткового захисту такі дії не дадуть. Єдине, що може внести хоч якийсь внесок у вирішення ситуації, - це оновлення мікрокоду процесорів, яке може випустити тільки сама Intel, яка до сих пір повністю не визнає існування уразливості. До речі, приклади коду, якого достатньо, щоб вас обікрасти, вже доступні по всьому інтернету. Тому найкраща рекомендація зараз - це відключити комп'ютери від Мережі на пару місяців і ніякі носії в нього не вставляти. Але зрозуміло, що це підходить майже нікому, радить IT-фахівець, автор шоу «16 біт тому» Дмитро Бачило.
Якщо говорити про віруси в цілому, то зараз всі сучасні антивірусні програми легко справляються з простими «хробаками» або «троянськими кіньми», але хакери не дрімають, і щороку з'являються нові віруси, до яких розробники просто не встигають підбирати алгоритми для антивірусних програм.
Тому навіть в комп'ютерній сфері потрібно дотримуватися правила «допоможи собі сам» і намагатися не піддавати свій комп'ютер зайвої небезпеки.