Империя вирусов эволюционирует и атакует

Чтобы бороться с угрозой, полезно знать ее историю. Кто придумал первый компьютерный вирус? По каким законам развиваются вирусы?

Фото с сайта scout-labs.com

Теоретические обсуждения компьютерных вирусов велись еще на заре появления компьютеров. Вирусами их тогда назвали по аналогии с биологическими вирусами – за возможность встраиваться в клетку и бесконтрольно размножаться. Причем о вредоносной деятельности речи тогда особо не шло, теоретики рассуждали о них, как о своего рода «форме жизни». Впрочем, практика позднее все расставила на места.

Первый вирус написали пакистанцы, первый антивирус – индонезийцы

Компьютеров постепенно становилось все больше, появлялись первые компьютерные сети, расширялся круг задач, где они использовались. А главное – все больше появлялось людей, для которых компьютер был не самоценной вещью, а инструментом – т.е. они хотели бы решать свои задачи, а не глубоко изучать то, как компьютер работает. Началась эпоха массового использования.

И с середины 80-х начали появляться массовые заражения. Первым «вирусом» стало творение двух пакистанских программистов из местной фирмы «Brain» (в переводе – «мозг»). Написанная ими программа самостоятельно записывалась на все доступные дискетки 360 кб, но все, что она делала – это меняла их название на (с) Brain. Впоследствии индонезийский программист написал утилиту, которая блокировала распространение вируса Brain – прообраз антивируса.

Фото с сайта sites.google.com

Первая эпидемия

Первой эпидемией с серьезными последствиями стал «Червь Морриса» в 1988, названый по имени своего создателя Роберта Морриса-мл. Автор также не планировал для своего детища никаких вредоносных функций, а сам вирус был эдакой игрушкой. Проблемы возникли из-за того, что из-за ошибки автора встроенные механизмы самокопирования срабатывали слишком часто, и копии вируса просто полностью «забивали» ресурсы компьютера.

Вирус заразил более 6000 компьютеров в сети ARPANET, включая выполнявшие функции серверов, и парализовал работу сети. Кстати, в черве Морриса впервые были применены механизмы маскировки и защиты от остановки распространения.

Ущерб от действия вируса подсчитали: 8 млн часов отсутствия доступа и 1 млн часов на ликвидацию последствий, 96 млн долларов ущерба (хотя туда включили весь, даже весьма отдаленный ущерб).

Морриса не нашли бы, но он под давлением отца сам признался в авторстве получил условный срок, 400 часов общественных работ и штраф 10 000 долл.

Первые вирусы делились на резидентные и нерезидентные – первые после запуска оставались работать в памяти и заражали открываемые программы, вторые проводили поиск по жестким дискам. Вирусы распространялись, либо заражая программы (файлы Exe, com), либо заражая области дисков или дискет, которые компьютер всегда прочитывает сам при загрузке (так называемые загрузочные сектора, MBR), и вирус стартовал прямо при запуске диска.

К 1989 году вирусные эпидемии стали делом распространенными – так, вирусы DATACRIME уничтожали информацию на жестком диске. Вирус Jerusalem заражал запускаемые файлы, дописывая в них свою копию (в некоторые – много раз, делая их неработоспособными), а также сидел в памяти. Он запускал лишние процессы, замедляя систему, а в пятницы, приходящиеся на 13-е число, уничтожал все запускаемые программы. Этот вирус известен благодаря тому, что имел огромное количество различных вариантов, которые бродили по миру и через пять лет после его создания, очень широко распространился и заразил компьютеры компании IBM.

Тогда же появился троян AIDS, который впервые потребовал за разблокировку доступа к информации на диске деньги –  189 долл. Он маскировался под энциклопедию, посвященную СПИД, но через 90 запусков шифровал названия файлов и директорий на диске, делая систему неработоспособной, и требовал «продлить лицензию», отправив указанную сумму на адрес почтового ящика в Панаме. При обналичивании чека автора и арестовали.

Троян (от выражения «Троянский конь») отличается от вируса тем, что вирус распространяется самостоятельно, обходя защиту системы, действий пользователя не требуется. Троян же маскируется под нормальное приложение, и пользователь запускает его сам.
Фото с сайта sbs.com.au

1990-й: война вирусов и антивирусов началась

С 90-го года началась война вирусов и антивирусного ПО. На безопасность обратили серьезное внимание крупные компании и начали разработку антивирусных продуктов. Первым на рынке стал Norton Antivirus. В России возникло сразу несколько команд энтузиастов, которые разрабатывали собственные утилиты для обнаружения и лечения вирусов, некоторые из которых приобрели мировую известность.

Но и создатели вирусов не дремали, поэтому борьба быстро приобрела известные черты борьбы «снаряда и брони» – или, как сформулировано в советском фильме «ты убегаешь – я догоняю». По мере того, как антивирусы учились находить и обезвреживать вирусы, создатели вирусов придумывали все новые способы хитроумной маскировки кода своего детища и новые неожиданные способы заражения компьютеров и файлов.

Помимо «стелс-технологий», маскирующих вирусы, появились «полиморфные вирусы», когда вирус каждый раз собирался иначе, и его копии не были похожи друг на друга, что затрудняло его распознавание. В вирусах появилась защита, затрудняющая их «разборку» для анализа и т.д.

«Вот вам!»

Фото с сайта educators.brainpop.com

К 90-м уже сложилось полноценное сообщество создателей вирусов. Появлялись группы, которые создавали не только вирусы, но и «конструкторы вирусов», где даже новичок с помощью заложенных в конструктор возможностей мог создать свой шифрующийся вирус с различными способами заражения. Существовали вирусные исследователи, литература, которая помогала как бороться с вирусами, так и набраться знаний для их создания.

Но основной мотивацией для вирусов по-прежнему оставались личные мотивы: «А я вот как могу!», «Вот вам!» или «Страдай, жесткий мир!». Коммерческие соображения пока не играли существенной роли.

И это все – еще до выхода Windows 95!

Windows 95: чем проще пользователю, тем больше вирусов

Фото с сайта theconversation.com

Выпущенная в 1995 году Windows 95 и последующие версии уверенно завоевывали мир, делая работу с компьютером более простой для неподготовленного пользователя. Все шире распространялись по миру компьютеры. А вместе с ними шли и вирусы.

В связи с переходом на новое поколение операционных систем старый добрый DOS стали использовать все меньше и меньше, так что эпидемии вирусов под него тоже пошли на убыль.

Однако 95-ый год подарил нам OneHalf.

OneHalf заражал загрузочные сектора жесткого диска, запускался при старте системы и при каждом запуске шифровал две дорожи жесткого диска. Причем пока вирус находился в системе, при обращении к зашифрованным дорожкам он их расшифровывал, обеспечивая доступ, но если удалить его из системы – то восстановить информацию становилось невозможно. После того, как шифрование доходило до загрузочных секторов, система переставала работать.

Распространялся вирус, заражая файлы на дискетах (кстати, файлы на диске компьютера он не трогал) и их загрузочные сектора. В связи с тем, что вирус не сразу заметили, он успел широко распространиться по миру и нанести заметный ущерб. Но постепенно антивирусные программы научились лечить систему, расшифровывая обратно зашифрованные дорожки диска. Этот вирус вымер вместе с DOS по мере вытеснения его Windows.

Все в вашем файле

Скриншот с youtube.com

С другой стороны, 95-ый год ознаменовался новым типом вируса – Concept. Он представлял собой макро-вирус, который был не самостоятельной программой, а распространялся в зараженных документах Microsoft Word. В офисных приложениях Microsoft появились макросы, которые могли выполнять определенный код, и этим глупо было не воспользоваться. Concept заразил крупнейшие компании, зараженные файлы распространялись на официальных дисках с программами и документами от ведущих мировых корпораций, включая саму Microsoft.

Этот макровирус гулял «на свободе» около трех лет, заразив 30 – 50 тысяч систем.

Как и многие «первые», он делал ничего плохого, только размножался.

Но он показал другим, что «так тоже можно» – и результаты не заставили себя ждать.

Вообще, хотя Microsoft рекламировала Windows 95 как «крепость, которую вирусам не удастся взять», первые вирусы появились меньше чем через год после ее выхода на рынок.

Атака на материнскую плату

Фото с сайта technicallyeasy.net

26 апреля 1999 г., в годовщину катастрофы на Чернобыльской АЭС, мир узнал о вирусе «Чернобыль» или CIH (прозванному в России «чих»). Это был первый в истории вирус, который портил не только жесткий диск (уничтожая первые 1024 КБ), а микросхему BIOS на материнской плате (BIOS – это микропрограмма на отдельной микросхеме, которая отвечает за работу самой материнской платы, без нее компьютер просто не запустится).

Фактически, вирус полностью выводил из строя компьютер, и восстановить его можно было только силами специалистов – либо выкидывать на помойку материнскую плату.

Впрочем, огромный разрушительный потенциал стал не единственной особенностью «Чернобыля». Вирус использовал хитрые механизмы маскировки, внедряясь по кусочкам в пустые области исполняемых файлов – чтобы размер файла не менялся, так как это обычно вызывает подозрения. И использовал очень изящный механизм, благодаря которому запускался с правами ядра системы, а не обычного приложения, и мог проводить прямые операции с ядром, диском и даже BIOS. Но действовать он мог только под Windows 95/98, системы на NT (Windows 2000, ХР и все последующие) не давали ему сработать.

Вирус был написан летом 1998 года тайваньским студентом, и к апрелю 1999 заразил больше полумиллиона систем.

По словам создателя, создавался он, чтобы показать «кузькину мать» производителям антивирусов, которые хвалились своим уровнем защиты. Создателю вируса сначала дали работу, потом судили за нанесенный ущерб, но обошлось без серьезного наказания и… ему все-таки дали работу у одного из производителей материнских плат.

Эпоха интернета – радость вирусов

Скриншот с youtube.com

К началу 2000-х интернет стал по-настоящему массовым, и у вирусов появился новый способ заражения, обеспечивающий невиданную скорость и эффективность. При этом уровень защищенности и безопасности систем, приложений и сетевой инфраструктуры еще оставался достаточно слабым. Более того, с ростом сложности и сервисных возможностей операционных систем (особенно Windows, которая тогда занимала 95% рынка, если не больше) в них появлялось все больше возможностей для заражения. Программы, т.е. исполняемые файлы, перестали быть единственным способом запустить вирус.

Поэтому период 1999-2002 год стали «золотой эрой» вирусов.

В 1999 г. появился макровирус Melissa, который запускался в приложениях Microsoft Office при открытии зараженного файла. Помимо заражения шаблона новых документов он умел рассылать зараженный документ с помощью Outlook Express по первым 50 адресам из адресной книги. Доверие повышало то, что письмо приходило с реального знакомого адреса. Как и многие другие «инновационные» вирусы, Melissa не делал в системе практически ничего плохого – но его активность приводила к перегрузке и отказам почтовых серверов. Ущерб оценили в миллиард долларов, автора арестовали, но суд затянулся и не был доведен до конца.

В 2000 году появился вирус «I love you» (“Я люблю тебя”) – так называлось рассылаемое письмо с вложенным файлом–скриптом. Если кликнуть на него, компьютер выполнял рассылку вируса по всем адресам адресной книги. Однако, в отличие от Melissa, I love you записывал себя вместо некоторых типов файлов, включая картинки jpg, уничтожая их содержимое. Вирус заразил порядка 50 млн. компьютеров по всему миру, из-за его активности пришлось отключать целые подсети. По распространенности и нанесенному ущербу он стал одним лидеров.

Он заразит, даже если вы не открыли письмо

Фото с сайта gizmodo.com

К середине двухтысячных появились вирусы, работающие в средах SQL (базы данных) и Flash (скриптовый язык программирования, с помощью которого в двухтысячных делалась анимация в интернете). Количество самых неожиданных возможностей для заражения росло.

Вирусы становились все мощнее. Так, в 2001 году появился мощный вирус Nimda, демонстрирующий очень много новых возможностей. Во-первых, он мог заразить вас через электронную почту даже если вы не открыли письмо (через уязвимость в механизме предпросмотра); он мог модифицировать сайты, чтобы загружаться с них; он мог распространяться по локальной сети и через сервера, где работал веб-сервер Microsoft IIS. На машине он мог заражать исполняемые файлы. Вирус связывался с интернетом, координировал разные способы заражения, имел несколько сценариев работы, мог загружать из интернета дополнительные модули с нужной функциональностью и т.д. Специалисты ужасались этим возможностям и предсказывали апокалипсис.

В 2003 году эпидемия вируса MSBlast (Blaster, Lovesan) показала, насколько беззащитными перед заражением могут оказаться подключенные к интернету компьютеры. Этот вирус проникал на компьютеры через уязвимость в RPC DCOM – механизме взаимодействия компьютеров по сети. Для заражения системы и запуска вируса пользователю вообще ничего не нужно было делать – достаточно подключить незащищенный компьютер (со старой версией сетевого компонента Microsoft, имевшего уязвимость) к интернету напрямую буквально на 5-10 минут. Признаком работы вируса являлся сбой подсистемы NT Authority, что приводило к перезагрузке системы. Позже появился похожий по действию вирус Sasser. Он использовал для распространения системный компонент контроля сети LSASS, и для заражения также не требовалось действий пользователя, а зараженные системы принудительно перезагружались.

Ваша память заражена

Фото с сайта scout-labs.com

В 2001 году появился вирус Code Red, заражавший сервера в интернете, работающие на базе решения Microsoft IIS (ПО для работы сервера). Его основной особенностью стало то, что он вообще не имел файлов на диске – впервые вирус работал только в оперативной памяти. Сам по себе он не уничтожал и не воровал информацию – он перебором пытался заражать другие компьютеры, менял язык сайта с американского на китайский, чтобы придать ему вид взломанного хакерами, а с 20 по 28 число пытался атаковать сайт президента США.

В качестве курьеза можно вспомнить «войну» между двумя немецкими вирусами, Skynet и Beegle. Каждый из них, обнаружив на компьютере противника, удалял его.

Первая DDoS-атака

Фото с сайта britannica.com

Наконец, в 2000 году мир впервые увидел, что такое атака DDoS – отказ в обслуживании. Это ситуация, когда много компьютеров одновременно направляют серверу огромное количество запросов, он не может с ними справиться и перестает отвечать на запросы вообще.

До сих пор эта атака остается одним из эффективных способов обеспечить недоступность нужного сервера в сети. Многие вирусы заражают компьютеры пользователей именно для того, чтобы превратить их в часть «ботнета» – сети компьютеров, которые по команде слаженно атакуют нужный сайт. У ботнетов могут быть и другие функции.

Кстати, постепенно вернулся старый способ заражения «через дискетки», в роли которых стали выступать USB-флешки. Вирус заражал загрузочные области флешки и пытался загрузиться сразу, как пользователь вставлял ее в новый компьютер. Так, именно через флешку вирус Stuxnet, специально написанный (по слухам, по заказу правительства крупнейшей мировой державы) для вывода из строя центрифуг для обогащения урана в Иране, попал на компьютеры защищенной внутренней сети, не имевшей доступа в интернет.

Большие деньги вступают в игру

Фото с сайта audigygroup.com

С середины 2000-х все стало меняться. Вирусы из способа самовыражения стремительно превращались в коммерческое предприятие или оружие. Ущерб от вирусов, даже если они не портили информацию, стал исчисляться астрономическими суммами просто из-за сбоя работы интернет-инфраструктуры.

Системы защиты стали очень мощными, соответственно, создание нового вируса требовало все больше времени и ресурсов. Создание вирусов стало дорогим и сложным процессом – и сферой компетенции профессиональных команд, а не гениев-одиночек. Появился новый черный рынок, где продавали найденные уязвимости в системе, вирусы и целые программные комплексы для сборки вирусов, создание сетей зараженных компьютеров и т.д.

Все большую долю стали занимать не вирусы, а модульные трояны (их механизм заражения не использовал дыры в защите, которых оставалось все меньше, а бил по самому слабому звену – пользователю), целевые атаки на конкретные системы, заражения через выполнение скриптов в браузере и т.д.

Файловые вирусы практически окончательно сошли со сцены после 2005 года, и сейчас что-то новое если и появляется, то очень редко. Не последнюю роль в этом сыграло то, что придумать что-то новое и неожиданное становится все сложнее, а все старые трюки уже хорошо известны производителям антивирусного ПО, да и сами операционные системы и приложения защищены гораздо лучше.

Мы просим подписаться на небольшой, но регулярный платеж в пользу нашего сайта. Милосердие.ru работает благодаря добровольным пожертвованиям наших читателей. На командировки, съемки, зарплаты редакторов, журналистов и техническую поддержку сайта нужны средства.

Читайте наши новости в Телеграме

Подписаться