Коротка історія вірусів: до 25-річчя Хробака Морріса

  1. 1. Elk Cloner, 1982
  2. 2. Brain, 1986
  3. 3. Черв'як Моріса, 1988
  4. 4. макровірусами Concept, 1995
  5. 5. Melissa, 1999.
  6. 6. ILOVEYOU, 2000.
  7. 7. Code Red, 2001.
  8. 8. Slammer, 2002
  9. 9. Blaster, 2003
  10. 10. Що далі?

Якби раптово згоріли всі комп'ютери в світі і нам довелося б починати з нуля, то найперший знову зібраний комп'ютер при першій же завантаженні, швидше за все, був би вражений вірусом. Віруси проникали навіть на Міжнародну космічну станцію, куди їх в 2008 році принесли самі космонавти на USB-флешках. Ці віртуальні блаттоптери, як і їх комахи родичі, напевно, з легкістю переживуть навіть ядерну зиму.

Здається, вже залишився позаду золотий вік »класичних комп'ютерних вірусів і черв'яків: часи змінилися. І якщо зовсім недавно будь-що володіє мінімумом навичок програміста, скачавши набір спеціального ПО, міг написати і швидко поширити шкідливий код, то зараз з такими виробами легко справляються антивіруси. Для створення дійсно ефективного шкідливого коду сьогодні потрібні ресурси найбільших корпорацій і надсекретних спецслужб. Але щоб розуміти, чт про нас чекає, потрібно розбиратися в минулому, тому давайте простежимо недавню історію найвідоміших комп'ютерних вірусів, тим більше що для цього є чудова нагода: зовсім недавно, в листопаді 2013 року, здійснилася чверть століття з моменту появи одного з найбільш небезпечних вірусів минулого - Хробака Морріса або просто Великого хробака.

1. Elk Cloner, 1982

На зорі персональних комп'ютерів на початку вісімдесятих для багатьох вже не становило жодних проблем уявити програмний аналог людських вірусів, які можуть вражати електронний організм і виводити його з ладу. Сама концепція вірусу як невеликої програми, яка розповсюджується через дискети, була описана в березневому номері журналу Scientific American за 1985 рік. Там же якийсь підліток Річард Скрента-молодший розповідав, який він бачить програму, яка ховалася б серед системних файлів і викликала незрозумілі збої в роботі комп'ютера. Однак Скрента чомусь не згадав, що це не просто гіпотетичні міркування: за кілька років до цього, в 1982-му, він власноруч написав перший в світі широко відомий комп'ютерний вірус-хробак Elk Cloner. Зараза вражала машини Apple II і поширювалася через дискети.

Строго кажучи, це був не вірус, а саме черв'як, оскільки Elk Cloner представляв собою незалежну програму, не впроваджувалася в якісь інші файли. Черв'як не заподіював машині особливої ​​шкоди, за винятком того, що при 50-й завантаженні після зараження виводив на екран дурний віршик «Ерік Клонер - програма з особистістю». Проблема була лише в тому, що оскільки тоді не існувало антивірусних пакетів, то Elk Cloner доводилося вручну видаляти з завантажувального сектора вінчестера. Сьогодні Річард Скрента відомий як творець пошукової системи Blekko.

2. Brain, 1986

Першим отримав помітне поширення вірусом для комп'ютерів на платформі IBM PC став Brain, що з'явився в 1986 році і який постав собою рекламу пакистанської комп'ютерної майстерні, яка виявляла готовність «вилікувати» від цього вірусу. На екран виводилося відповідне повідомлення:

"(С) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES LAHORE-PAKISTAN
Beware of this VIRUS .... Contact us for vaccination ".

Важко сказати, наскільки додалося клієнтури у творців Brain, але в західній пресі почалася справжня паніка. У деяких навіть склалося враження, що комп'ютери здатні заражати вірусами людини.

При цьому самі віруси ставали все менш нешкідливими: деякі з них стали прати початкові доріжки і перші сектора на жорстких дисках, руйнуючи завантажувальні дані і важливу інформацію про файлах. «Лікування» було можливим, але надзвичайно складним процесом, тому в більшості випадків потерпілим доводилося заново форматувати диск, втрачаючи всі збережені дані.

3. Черв'як Моріса, 1988

Руйнівний потенціал зловредів, які подорожують по комп'ютерних мережах, першим продемонстрував так званий Черв'як Моріса, який був написаний в листопаді 1988 року аспірантом американського Корнельського університету Робертом Морісом-молодшим. Щоб приховати походження вірусу, Морріс запустив свій черв'як в тільки зароджувалася Всесвітню мережу (тоді ще ARPANET) не з свого університету, а з Массачусетського технологічного інституту.

Черв'як Моріса користувався уразливими в операційній системі Unix, а його присутність виявлялося в періодичному перезапісиваніе власного коду і одночасному запуску декількох копій самого себе, що призводило до засмічення пам'яті і забивання мережевих каналів. В результаті в якийсь момент черв'як уразив все вузли ARPANET і повністю паралізував роботу Мережі. Сума збитку, нанесеного Великим хробаком, склала майже $ 100 млн, однак суд врахував явку з повинною і засудив Морріса до умовного терміну і штрафу.

Роберт Морріс-молодший.

Морріс зробив успішну наукову кар'єру в Массачусетському технологічному інституті і у свій час навіть обіймав посаду головного ученого в Національному центрі комп'ютерної безпеки США, секретному підрозділі АНБ.

4. макровірусами Concept, 1995

З початком дев'яностих жорсткі диски значно подешевшали, а їх ємність помітно збільшилася, тому дискети використовувалися вже не так широко - і вірусописьменниками потрібні були нові способи поширення. Одним з таких переносників стали файли Microsoft Office як одного з найпопулярніших програмних пакетів. Оскільки Office включав в себе вбудоване засіб автоматизації для створення макросів - мова Microsoft Visual Basic for Applications (VBA), - саме він і став використовуватися для написання нового типу зловредів - «макровірусів».

Фокус полягав у тому, щоб впровадити код в шаблон документа, який завантажується щоразу при запуску, наприклад, редактора Word. Опинившись в пам'яті, шкідливий код записує себе в будь-який документ, що відкривається або створюваний в програмі. І якщо потім цей документ відкрити на іншому комп'ютері, то він теж негайно заразиться. На той момент у VBA був доступ до всієї файлової системи диска, тому віруси могли з легкістю змінювати або навіть видаляти будь-які призначені для користувача файли, що нерідко і відбувалося.

Першим макровірусів вважається з'явився в 1995 році Concept, а оскільки антивірусні програми були не готові до такої загрози, він швидко отримав широке розповсюдження. Сам вірус не заподіював ніякої шкоди, але виводив просте зауваження, покликане показати величезний потенціал подібного ПО:

"Sub MAIN
REM That's enough to prove my point
End Sub ".

Незважаючи, однак, на благі наміри автора оригінального Concept, дуже скоро з'явилися його неприємні модифікації; деякі з них, наприклад, запаролівалі доступ до випадкових документам. До кінця дев'яностих років макровіруси стали найпопулярнішим типом комп'ютерних вірусів. Але потім з'явився загальнодоступний масовий інтернет, і історія набула інший напрямок.

5. Melissa, 1999.

Перший справжній вірус часів інтернету - це, звичайно ж, Melissa, хитромудрий коктейль з макровірусу, поштового спаму і соціальної інженерії. Melissa був написаний Девідом Смітом, відомому в Мережі під ніком Kwyjibo, і отримав назву на честь його улюбленої стриптизерки.

Технічно новий вірус був простий до неподобства: він приходив на комп'ютер в якості електронного листа з простим повідомленням: «Ось документ, який ти просив ... нікому не показуй :-)». У доданому файлі перебував документ Word, заражений макровірусів. Оскільки листи розсилали інші заражені машини, багатьом здавалося, що вони дійсно приходять від колег, старих знайомих або друзів. В результаті Melissa став одним з найбільш бистрораспространяющіхся вірусів за всю історію.

В результаті Melissa став одним з найбільш бистрораспространяющіхся вірусів за всю історію

Вбудований в Melissa макровірус негайно проникав в адресну книгу Outlook і всім розсилав свої копії, і на цьому деструктивна функція оригінальної версії закінчувалася. Хіба що коли дата збігалася з часом в хвилинах в системному годиннику, він починав вставляти в будь-який редагований документ цитату з мультсеріалу «Сімпсони»:

«Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here ».

Однак, як ви здогадалися, модифіковані версії Melissa були вже не такі нешкідливі і займалися традиційними для вірусів справами, в тому числі модифікували і видаляли системні файли.

6. ILOVEYOU, 2000.

Відомий вірус, «визнавався в любові», був написаний у 2000 році філіппінцями Рамонес і гузмания і завдав світовій економіці збитків у розмірі близько $ 10-15 млрд, за що і потрапив в Книгу рекордів Гіннеса як найбільш руйнівний вірус на той момент. При цьому його творці, які згодом постали перед судом, не понесли ніякого покарання, оскільки тодішнє законодавство Філіппін взагалі не передбачало відповідальності за написання шкідливого програмного забезпечення.

ILOVEYOU використовував ту ж схему поштового поширення, що і Melissa, а повідомлення говорило: «Будь ласка, подивися прикладена ЛИСТ ЛЮБОВІ від мене». Однак у вкладенні знаходився вже не документ Word, а замаскований під текстовий файл скрипт з подвійним розширенням LOVE-LETTER-FOR-YOU.TXT.vbs. І якщо користувач бачив розширення TXT, то VBS за замовчуванням ховалося, як розширення прихованих системних файлів. У свою чергу, сценарії VBS виконувалися за допомогою компонента Windows Scripting Host, який мав практично повний доступ до системи і був включений за замовчуванням.

На відміну від попередників, ILOVEYOU не тільки розсилався по всіх контактах Outlook, але і поводився як справжній троянець, намагаючись викрасти всі знайдені паролі і відіслати їх на якийсь поштову скриньку. Крім того, він видаляв випадкові файли зображень і MP3, замінюючи їх фальшивими файлами з копією вірусного коду, підміняв системні файли, прописувався в реєстрі і розмножувався з кожної перезавантаженням Windows.

Вірус Anna Kournikova, що з'явився роком пізніше, використовував ту ж техніку маскування розширення вкладення: замість фотографії відомої тенісистки жертва отримувала черговий шкідливий сценарій.

7. Code Red, 2001.

У 2001 році народилося нове покоління комп'ютерних вірусів, які користувалися уразливими в різних операційних системах і програмах Microsoft. Найвідомішим з них став Code Red, який вражав веб-сервери, що працюють на основі Microsoft Internet Information Server (IIS). Цей зловредів безпосередньо не впливав на клієнтські машини, але настільки сповільнював інтернет-трафік, що фактично блокував доступ до багатьох веб-сайтах.

«Червоний код» діяв гранично просто: підключаючись до машини з запущеним IIS, він викликав переповнення буфера і робив її непрацездатною. Крім того, якщо в якості мови такого сервера був встановлений американський англійський, то на головну сторінку сайту виводилося повідомлення, що він нібито зламаний китайцями - які насправді навряд чи мали відношення до Code Red.

Крім того, якщо в якості мови такого сервера був встановлений американський англійський, то на головну сторінку сайту виводилося повідомлення, що він нібито зламаний китайцями - які насправді навряд чи мали відношення до Code Red

Якщо системний адміністратор не вживав заходів з видалення вірусу протягом 10 годин, то це повідомлення зникало, але за минулий час вірус в пошуках потенційних жертв встигав відправити морі запитів про випадковим IP-адресами, замусорівая канали безглуздим трафіком і блокуючи мережеву активність. Більш того, якщо системна дата була більше 20-го числа місяця, то Code Red починав «стукати» в сервери, розташовані за адресою www.whitehouse.gov, організовуючи масовану DDoS-атаку на сайт президента США.

Однак, як і в багатьох віруси, в самому Code Red ховалася помилка: насправді скановані IP-адреси не були випадковими, і в результаті деякі машини, тільки що очищені від вірусу, в наступну ж секунду могли бути знову заражені.

8. Slammer, 2002

Гідний наступник Code Red - вірус Slammer, який також увійшов до числа самих бистрораспространяемих в світі. Цьому зловредів вдалося заразити 75 тисяч комп'ютерів все за десять хвилин, при цьому він використовував аналогічну технологію переповнення буфера, але вже в середовищі Microsoft SQL Server 2000. Найцікавіше полягає в тому, що Microsoft мало не за шість місяців до появи Slammer випустила патч, усуває вразливість, яку експлуатував цей вірус. Проте його не встановило не тільки більшість сторонніх компаній, але і навіть і цілі підрозділи самої Microsoft!

Одна з найбільших мережевих атак в результаті діяльності Slammer сталася на початку 2003 року, коли вірус за лічені хвилини так перевантажив канали, що майже повністю заблокував доступ в інтернет в Південній Кореї і деяких інших азіатських країнах. У США і Європі ситуація була не настільки катастрофічною, хоча уповільнення швидкості передачі даних відчувалося майже в будь-якій точці світу.

Надалі епідемія швидко пішла на спад, оскільки після установки патча було досить перезавантажити сервер.

9. Blaster, 2003

Створений групою китайських хакерів Xfocus черв'як Blaster (він же Lovesan або MSBlast) використовував ту ж схему зараження зі скануванням випадкових IP-адрес, що і Slammer. І знову використовувалася технологія переповнення буфера, але вже безлічі клієнтських машин. Метою китайських хакерів були сервери Microsoft: широкомасштабна DDoS-атака з заражених комп'ютерів повинна була розпочатися 16 серпня 2003 року, але в Редмонді вжили заходів - і збиток від Blaster виявився зведений до мінімуму.

Однак модифікована версія Blaster B, в виготовленні якої викрили американського школяра Джеффрі Лі Парсона, виявилася набагато небезпечніше і живучою: практично кожен користувач Windows, що не встановив антивірусного ПО, рано чи пізно отримував на екрані вікно, в якому говорилося про вимикання системи, і запускався зворотний відлік:

«Система завершує роботу. Збережіть роботу та вийдіть із системи. Всі незбережені зміни будуть втрачені.

Відключення системи викликано NT AUTHORITYSYSTEM ».

Відключення системи викликано NT AUTHORITYSYSTEM »

Після перезавантаження починався підбір випадкових IP-адрес і спроби заразити інші доступні машини. Через довільні відрізки часу перезавантаження відбувалися знову і знову - до тих пір поки вірус не видаляли з комп'ютера.

Згодом з'явилося ще кілька модифікацій Blaster, але вони вже не завдали такої шкоди, як перші дві.

10. Що далі?

Незважаючи на те що періодично з'являються повідомлення про ті чи інші комп'ютерні віруси, ось уже кілька років немає ніяких гучних епідемій з катастрофічними наслідками. Сьогодні головна загроза для домашніх користувачів - це перш за все «трояни», що перетворюють комп'ютер в «бойову одиницю» бот-мереж і викрадають різного роду особисті дані. Для веб-серверів - це все ті ж DDoS-атаки, але організовані вже на принципово іншому рівні, за допомогою керованих мереж спамерських пошукових роботів.

Чому майже зійшли нанівець «звичайні» віруси? По-перше, в Microsoft серйозно перейнялися безпекою на рівні як серверного, так користувальницького ПО, так що навіть Windows XP з Service Pack 3 можна вважати досить безпечної за сьогоднішніми мірками операційною системою.

По-друге, як не дивно, за останні роки зросла «свідомість користувачів», які розуміють, що для роботи в інтернеті обов'язково потрібно встановити антивірусний софт. Забавно, що цим почали користуватися і самі автори вірусів, які намагаються поширювати свою творчість під виглядом антивірусів.

Нарешті, є і чисто технічна різниця: якщо до самого початку двохтисячних більшість користувачів виходило в інтернет безпосередньо через модеми, то сьогодні практично всі домашні та корпоративні машини підключаються до Мережі через маршрутизатори і комутатори, які виступають в якості брандмауерів і запобігають в тому числі і випадкове зараження.

Проте користувачі Windows, як і раніше, залишаються найбільш атакується групою - просто тому, що ця операційна система займає левову частку ринку. Тим часом почастішали атаки і на машини під управлінням OS X, хоча їх частка зросла несуттєво. І ще один об'єкт пильної уваги вірусописьменників - це мобільні ОС, яких просто не існувало десять років тому. Йдеться насамперед про Android і iOS, які за кількістю активних користувачів вже легко посперечаються з традиційними «настільними» операційками. І якщо поки число вірусів для Android не дуже велике, то в найближчому майбутньому їх може виявитися набагато більше, ніж для тієї ж Windows.

10. Що далі?
10. Що далі?
Чому майже зійшли нанівець «звичайні» віруси?