Краткая история вирусов (Часть 2)

 (Продолжение) В ноябре 2013 года исполнилось 25 лет с момента появления одного из опаснейших вирусов прошлого - Червя Морриса или просто Великого Червя. Вирусы с легкостью проникают всюду, даже в 2008году Международная космическая станция не стала для них  препятствием. Эти виртуальные  твари,  как и их биологические сородичи, наверное, с лёгкостью переживут даже ядерную зиму. Но чтобы понимать, что нам от них ожидать, надо разобраться и проследить историю развития самых известных вирусов.

ILOVEYOU, 2000

Написанный в 2000 году филиппинцами Рамонесом и Гузманом «любовный вирус» принес мировой экономике ущерб в размере около $10–15 млрд, за что и попал в Книгу рекордов Гиннесса как самый разрушительный вирус, а его создатели, впоследствии предстали перед судом. Но они не понесли никакого наказания, поскольку законодательство Филиппин на то время вообще не предусматривало ответственности за написание вредоносного программного обеспечения.

ILOVEYOU для распространения использовал схему почтовой рассылки, что и Melissa. Сообщение гласило: «Пожалуйста, посмотри приложенное ПИСЬМО ЛЮБВИ от меня». Ну а кто не хочет любви? Однако во вложении находился уже не документ Word, а замаскированный под текстовый файл скрипт с двойным расширением LOVE-LETTER-FOR-YOU.TXT.vbs. Пользователь видел только расширение TXT, а VBS по умолчанию скрывалось, как расширение скрытых системных файлов. В свою очередь, сценарии VBS исполнялись с помощью компонента Windows Scripting Host, который имел практически полный доступ к системе и был включён по умолчанию.

ILOVEYOU вёл себя как настоящий троянец: рассылался по всем контактам Outlook; удалял случайные файлы МР3 и изображений, заменял их файлами с копией вируса; похищал все найденные пароли и отсылал их на некий почтовый ящик; подменял системные файлы; прописывался в реестре и размножался с каждой перезагрузкой Windows.

Code Red, 2001

Code Red вирус нового поколения, который использовал уязвимость операционной системы и программы Microsoft. Вирус поражал веб-серверы, работающие на основе Microsoft Internet Information Server. Code Red не воздействовал непосредственно на клиентские машины, но настолько замедлял интернет-трафик, что фактически блокировал доступ ко многим веб-сайтам.

Вирус, подключаясь к машине с запущенным IIS, вызывал переполнение буфера и делал её неработоспособной. Если на машине был установлен в качестве языка английский американский, то на главную страницу сайта выводилось сообщение, что он якобы взломан китайцами, а на самом деле китайцы вряд ли имели отношение к Code Red.

Если меры по удалению вируса не были приняты в течение 10 часов - сообщение исчезало, но за это время вирус успевал разослать уйму запросов по случайным IP-адресам. Еще одна особенность вируса, если системная дата была больше 20-го числа месяца, то он начинал «стучаться» в серверы, расположенные по адресу www.whitehouse.gov, организуя массированную DDoS-атаку на сайт президента США.

Slammer, 2002

Вирус Slammer, вошёл в число самых быстро распространяемых в мире. Ему удалось заразить 75 тысяч компьютеров всего за десять минут, при этом он использовал аналогичную технологию переполнения буфера, но уже в среде Microsoft SQL Server 2000. Но самое обидное то, что Microsoft еще за шесть месяцев до появления Slammer выпустила патч, устраняющий уязвимость, которую использовал этот вирус. Однако большинство сторонних компаний его не установило, в том числе некоторые подразделения самой Microsoft!

В результате деятельности Slammer, прошедшей в начале 2003 года, вирус за считанные минуты так перегрузил каналы, что полностью заблокировал доступ в интернет в Южной Корее и некоторых других азиатских странах. В Европе и США дела были не столь плачевными, хотя замедление скорости передачи данных наблюдалось почти в любой точке мира.

Blaster, 2003

Xfocus червь Blaster созданный группой китайских хакеров действовал по схеме, что и Slammer. Но уже использовалось множество клиентских машин. Широкомасштабная DDoS-атака с заражённых компьютеров должна была начаться 16 августа 2003 года, целью китайских хакеров были серверы Microsoft. Однако в Редмонде приняли меры — и ущерб от Blaster оказался сведён к минимуму.

А вот модифицированная версия Blaster B, которую нашли у американского школьника Джеффри Ли Парсона, выявилась куда опасней и живучей: практически каждый пользователь Windows, не установивший антивирусного ПО, рано или поздно получал на экране окно, в котором говорилось о выключении системы, и запускался обратный отсчёт:

«Система завершает работу. Сохраните данные и выйдите из системы.
 Все несохранённые изменения будут потеряны.

Отключение системы вызвано NT AUTHORITY\SYSTEM».

После перезагрузки системы начинался подбор случайных IP-адресов и попытки заразить другие доступные машины. Через произвольные отрезки времени перезагрузки происходили снова и снова — до тех пор, пока вирус не удаляли с компьютера.

Сегодня периодически появляются сообщения о тех или иных компьютерных вирусах, но вот уже несколько лет нет никаких огромных эпидемий с масштабными последствиями. Можно смело предполагать, что «обычные» вирусы сошли на нет. Это произошло по ряду причин:

Во-первых, в Microsoft всерьёз озаботились безопасностью на уровне как серверного, так пользовательского ПО;

Во-вторых, за последние годы выросла "сознательность пользователей";

В-третьих, чисто техническая разница: если ранее большинство пользователей выходило в интернет напрямую через модемы, то сегодня практически все домашние и корпоративные машины подключаются к Сети через маршрутизаторы и коммутаторы, которые предотвращают, в том числе, и случайное заражение;

В-четвертых, появился объект пристального внимания вирусописателей — это мобильные ОС, которых просто не существовало десять лет назад.

И хотя число вирусов для Android пока не слишком велико, то в скором будущем, их может оказаться намного больше, чем для той же Windows. И мы еще услышим о новых творениях «кибернетических гениев зла».

Александр Григорьев ЦСО "Крокус"