Краткая история вирусов: к 25-летию Червя Морриса

Если бы внезапно сгорели все компьютеры в мире и нам пришлось бы начинать с нуля, то самый первый вновь собранный компьютер при первой же загрузке скорее всего был бы поражён вирусом. Вирусы проникали даже на Международную космическую станцию, куда их в 2008 году принесли сами космонавты на USB-флэшках. Эти виртуальные блаттоптеры, как и их насекомые сородичи, наверное, с лёгкостью переживут даже ядерную зиму.

Кажется, уже остался позади золотой век» классических компьютерных вирусов и червей — времена изменились. И если совсем недавно любой обладающий минимумом навыков программиста, скачав набор специального ПО, мог написать и быстро распространить вредоносный код, то сейчас с такими поделками легко справляются антивирусы. Для создания действительно эффективного вредоносного кода сегодня требуются ресурсы самых крупных корпораций и сверхсекретных спецслужб. Но чтобы понимать, что нас ждёт, нужно разбираться в прошлом, поэтому давайте проследим недавнюю историю самых известных компьютерных вирусов, тем более что для этого есть прекрасный повод: совсем недавно, в ноябре 2013 года исполнилось четверть века с момента появления одного из самых опасных вирусов прошлого, Червя Морриса или просто Великого Червя.

1. Elk Cloner 1982 год

На заре персональных компьютеров в начале восьмидесятых для многих уже не составляло труда представить программный аналог человеческих вирусов, которые могут поражать электронный организм и выводить его из строя. Сама концепция вируса, как небольшой программы, распространяемой через дискеты, была описана в мартовском номере журнала Scientific American за 1985 год. Там же некий подросток Ричард Скрента-младший рассказывал, какой он видит программу, которая бы скрывалась среди системных файлов и вызывала необъяснимые сбои в работе компьютера. Однако Скрента почему-то не упомянул, что это не просто гипотетические рассуждения: несколько лет до этого, в 1982 году, он собственноручно написал первый в мире широко известный компьютерный вирус-червь Elk Cloner. Зараза поражала машины Apple II и распространялась через дискеты. 

elk_cloner

Строго говоря, это был не вирус, а именно червь, поскольку Elk Cloner представлял собой независимую программу, не внедрявшуюся в какие-то другие файлы. Червь не причинял машине особого вреда, за исключением того, что при 50-й загрузке после заражения выводил на экран глупый стишок «Эрик Клонер — программа с личностью». Проблема была лишь в том, что поскольку тогда не существовало антивирусных пакетов, Elk Cloner приходилось вручную удалять из загрузочного сектора винчестера. Сегодня Ричард Скрента известен как создатель поисковой системы Blekko.

2. Brain 1986 год

Первым получившим заметное распространение вирусом для компьютеров на платформе IBM PC стал Brain, появившийся в 1986 году и представший собой рекламу пакистанской компьютерной мастерской, предлагавшей «излечить» от этого вируса. На экран выводилось соответствующее сообщение: 

(С) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES LAHORE-PAKISTAN
Beware of this VIRUS…. Contact us for vaccination

Трудно сказать, насколько прибавилось клиентуры у создаталей Brain, но в западной прессе началась настоящая паника. У некоторых даже сложилось впечатление, что компьютеры способны заражать вирусами человека. 

При этом сами вирусы становились всё менее безобидными: некоторые из них стали стирать начальные дорожки и первые сектора на жёстких дисках, разрушая загрузочные данные и важную информацию о файлах. «Лечение» было возможным, но чрезвычайно сложным процессом, поэтому в большинстве случаев пострадавшим приходилось заново форматировать диск, теряя все сохранившиеся данные.  

3. Червь Морриса 1988 год

Первым червём, продемонстрировавшим разрушительный потенциал зловредов, путешествующих по компьютерным сетям, стал так называемый «Червь Морриса», который был написан в ноябре 1988 года аспирантом американского Корнелльского университета Робертом Моррисом-младшим. Чтобы скрыть происхождение вируса, Моррис запустил свой червь в только зарождавшуюся Всемирную сеть (тогда ещё ARPANET) не из своего университета, а из Массачусетского технологического института.

Червь Морриса пользовался уязвимостями в операционной системе Unix, а его присутствие проявлялось в периодическом перезаписывании собственного кода и одновременном запуске нескольких копий самого себя, что приводило к засорению памяти и забиванию сетевых каналов. В результате в какой-то момент червь поразил все узлы ARPANET и полностью парализовал работу Сети. Сумма ущерба, нанесённого Великим Червём, составила почти 100 миллионов долларов, однако суд учёл явку с повинной и приговорил Морриса к условному сроку и штрафу.

 

Роберт Моррис-младший
Роберт Моррис-младший

 

Моррис сделал успешную научную карьеру в Массачусетском технологическом институте и одно время даже занимал должность главного ученого в Национальном центре компьютерной безопасности США, секретном подразделении АНБ.

4. Макровирус Concept 1995 год

С началом девяностых жёсткие диски существенно подешевели, а их ёмкость заметно увеличилась, поэтому дискеты использовались уже не так широко, так что вирусописателям потребовались новые способы распространения. Одним из таких переносчиков стали файлы Microsoft Office как одного из самых популярных программных пакетов. Поскольку Office включал в себя встроенное средство автоматизации для создания макросов — язык Microsoft Visual Basic for Applications (VBA), — именно он и стал использоваться для написания нового типа вирусов, который получили названия «макровирусы».

Фокус заключался в том, чтобы внедрить код в шаблон документа, который загружается всякий раз при запуске, например, редактора Word. Оказавшись в памяти, зловредный код записывает себя в любой документ, открываемый или создаваемый в программе. А если затем этот документ открыть на другом компьютере, то он тоже немедленно заразится. На тот момент у VBA был доступ ко всей файловой системе диска, поэтому вирусы могли с лёгкостью изменять или даже удалять любые пользовательские файлы, что нередко и происходило.

Первым макросирусом считается появившийся в 1995 году Concept, а поскольку антивирусные программы были не готовы к такой угрозе, он быстро получил огромное распространение. Сам вирус не причинял никакого вреда, но выводил простое замечание, призванное показать огромный потенциал подобного ПО

Sub MAIN
REM That’s enough to prove my point
End Sub

Однако несмотря на благие намерения автора оригинального Concept, очень скоро появились его неприятные модификации, некоторые из которых, например, запароливали доступ к случайным документам. К концу девяностых годов макровирусы стали самым популярным типом компьютерных вирусов. Но потом появился общедоступный массовый интернет, и история приобрела иное направление.

5. Melissa 1999 год

Первый настоящий вирус времён интернета — это, конечно же, Melissa, представляющий собой хитроумный коктейль из макровируса, почтового спама и социальной инженерии. Melissa был написан Дэвидом Смитом, известном в Сети под ником Kwyjibo, и получил название в честь его любимой стриптизёрши.

Технически новый вирус был прост до безобразия: он приходил на компьютер в качестве электронного письма с простым сообщением: «Вот документ, который ты просил… никому не показывай :-)». Во вложении находился документ Word, заражённый макровирусом. Поскольку письма рассылали другие заражённые машины, многим казалось, что они действительно приходят от коллег, старых знакомых или друзей. В результате Melissa стал одним из самых быстрораспространяющихся вирусов за всю историю.

melissa

Встроенный в Melissa макровирус немедленно проникал в адресную книгу Outlook и всем рассылал свои копии, и на этом деструктивная функция оригинальной версии заканчивалась. Разве что когда дата совпадала со временем в минутах в системных часах, Melissa начинала вставлять в любой редактируемый документ цитату из мультсериала «Симпсоны»: 

«Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here».

Однако, как вы уже догадались, модифицированные версии Melissa были уже не столь безобидны и занимались традиционными для вирусов делами, в том числе модифицировали и удаляли системные файлы.

6. ILOVEYOU 2000 год

Известный вирус, «признававшийся в любви», был написан в 2000 году филлипинцами Рамонесом и Гузманом и нанёс мировой экономике ущерб в размере порядка 10-15 миллиардов долларов, за что и попал в Книгу рекордов Гиннесса как самый разрушительный вирус на тот момент. При этом его создатели, которые впоследствии предстали перед судом, не понесли никакого наказания, поскольку тогдашнее законодательство Филлипин вообще не предусматривало ответственности за написание вредоносного программного обеспечения.

iloveyou

ILOVEYOU использовал ту же схему почтового распространения, что и Melissa, а сообщение гласило: «Пожалуйста, посмотри приложенное ПИСЬМО ЛЮБВИ от меня». Однако во вложении находился уже не документ Word, а замаскированный под текстовый файл скрипт с двойным расширением LOVE-LETTER-FOR-YOU.TXT.vbs. И если пользователь видел расширение TXT, то VBS по умолчанию скрывалось, как расширение скрытых системных файлов. В свою очередь, сценарии VBS исполнялись с помощью компонента Windows Scripting Host, который имел практически полный доступ к системе и был включён по умолчанию.

В отличие от предшественников, ILOVEYOU не только рассылал себя по всем контактам Outlook, но и вёл себя, как настоящий троянец, пытаясь похитить все найденные пароли и отослать их на некий почтовый ящик. Кроме того, он удалял случайные файлы изображений и MP3, заменяя их фальшивыми файлами с копией вирусного кода, подменял системные файлы, прописывался в реестре и размножался с каждой перезагрузкой Windows.

Вирус Anna Kournikova, появившийся годом позже, использовал ту же технику маскировки расширения вложения: вместо фотографии известной теннисистки жертва получала очередной зловредный сценарий.

7. Code Red 2001 год

В 2001 году родилось новое поколение компьютерных вирусов, которые пользовались уязвимостями в разных операционных системах и программах Microsoft. Самым известным из них стал Code Red, поражавший веб-серверы, работающие на основе Microsoft Internet Information Server (IIS). Этот зловред непосредственно не воздействовал на клиентские машины, но настолько замедлял интернет-трафик, что фактически блокировал доступ ко многим веб-сайтам.

«Красный код» действовал предельно просто: подключаясь к машине с запущенным IIS, он вызывал переполнение буфера, делая её неработоспособной. Кроме того, если в качестве языка такого сервера был установлен американский английский, то на главную страницу сайта выводилось сообщение, что он якобы взломан китайцами — которые на самом деле вряд ли имели отношение к Code Red.

code_red

Если системный администратор не принимал мер по удалению вируса в течение 10 часов, то это сообщение исчезало, но за истёкшее время вирус в поисках потенциальных жертв успевал отправить море запросов по случайным IP-адресам, замусоривая каналы бессмысленным трафиком и блокируя сетевую активность. Более того, если системная дата была больше 20-го числа месяца, то Code Red начинал «стучаться» в серверы, расположенные по адресу www.whitehouse.gov, организуя массированную DDoS-атаку на сайт президента США

Однако, как и во многих вирусах, в самом Code Red скрывалась ошибка: на самом деле сканируемые IP-адреса не были случайными, в результате некоторые машины, только что очищенные от вируса, в следующую же секунду могли быть вновь заражены.

8. Slammer 2002 год

Достойный преемник Code Red — вирус Slammer, который также вошёл в число самых быстрораспространяемых вирусов в мире. Этому зловреду удалось заразить 75000 компьютеров всего за десять минут, при этом он использовал аналогичную технологию переполнения буфера, но уже в среде Microsoft SQL Server 2000. Самое примечательное заключается в том, что в Microsoft чуть ли не за шесть месяцев до появления Slammer выпустили патч, устраняющий уязвимость, которую эксплуатировал этот вирус. Тем не менее, его не установило не только большинство сторонних компаний, но и даже и целые подразделения самой Microsoft!

Одна из крупнейших сетевых атак в результате деятельности Slammer, произошла в начале 2003 года, когда вирус за считанные минуты так перегрузил каналы, что почти полностью заблокировал доступ в интернет в Южной Корее и некоторых других азиатских странах. В США и европейских странах ситуация была не столь катастрофической, хотя замедление скорости передачи данных ощущалось почти в любой точке света. 

В дальнейшем эпидемия быстро пошла на спад, поскольку после установки патча было достаточно перезагрузить сервер.

9. Blaster 2003 год

Созданный группой китайских хакеров Xfocus червь Blaster (он же Lovesan или MSBlast) использовал ту же схему заражения со сканированием случайных IP-адресов, что и Slammer. И снова была задействована технология переполнения буфера, но уже множества клиентских машин. Целью китайских хакеров были серверы Microsoft: широкомасштабная DDoS-атака с заражённых компьютеров должна была начаться 16 августа 2003 года, но в Редмонде приняли меры и ущерб от Blaster был сведён к минимуму.

Однако модифицированная версия Blaster B, в изготовлении которой был уличён американский школьник Джеффри Ли Парсон, оказалась намного опасней и живучей: практически каждый пользователь Windows, не установивший антивирусного ПО, рано или поздно получал на экране окно, в котором говорилось о выключении системы и запускался обратный отсчёт: 

«Система завершает работу. Сохраните данные и выйдите из системы.?Все несохраненные изменения будут потеряны.

Отключение системы вызвано NT AUTHORITYSYSTEM»

blaster-worm

После перезагрузки начинался подбор случайных IP-адресов и начинались попытки заразить другие доступные машины. Через произвольные отрезки времени перезагрузки происходили снова и снова — до тех пор, пока вирус не был удалён с такого компьютера.

Впоследствии появилось ещё несколько модификаций Blaster, но они уже не нанесли такого ущерба, как первые две.

10. Что дальше?

Несмотря на то, что периодически появляются сообщения о тех или иных компьютерных вирусах, вот уже несколько лет нет никаких громких эпидемий с катастрофическими последствиями. Угроза, стоящая сегодня перед домашними пользователями, это прежде всего «трояны», превращающие компьютер в «боевую единицу» бот-сетей и похищающие разного рода личные данные. Для веб-серверов — это всё те же DDoS-атаки, но организованные уже на принципиально ином уровне с помощью управляемых сетей ботов.

Почему почти сошли на нет «обычные» вирусы? Во-первых, в Microsoft всерьёз озаботились безопасностью как на уровне серверного, так и на уровне пользовательского ПО, так что даже Windows XP с Service Pack 3 можно считать достаточно безопасной по сегодняшним меркам операционной системой. 

Во-вторых, как ни странно, за последние годы выросла «сознательность пользователей», которые понимают, что для работы в интернете обязательно нужно установить антивирусный софт. Забавно, что этим начали пользоваться и сами вирусописатели, пытающиеся распространять своё творчество под видом антивирусов.

Наконец, есть и чисто техническая разница: если до самого начала двухтысячных большинство пользователей выходило в интернет напрямую через модемы, то сегодня практически все домашние и корпоративные машины подключаются к Сети через маршрутизаторы и коммутаторы, которые выступают в качестве брандмауэров и предотвращают в том числе и случайное заражение.

Тем не менее, пользователи Windows, как и раньше, остаются самой атакуемой группой — просто потому, что эта операционная система занимает львиную долю рынка. Между тем, участились атаки и на машины под управлением OS X, хотя их доля выросла несущественно. И ещё один объект пристального внимания вирусописателей — это мобильные ОС, которых просто не существовало десять лет назад. Речь, прежде всего, об Android и iOS, которые по числу активных пользователей уже легко поспорят с традиционными «настольными» операционками. И если пока число вирусов для Android не слишком велико, то в обозримом будущем их может оказаться намного больше, чем для той же Windows.








Последние новости

Подгружаем последние новости