В одной из статей ранее мы поговорили про историю компьютерных вирусов, а также о первых эпидемиях. Но в общем и целом, эти массовые заражения происходили в те времена, когда о понятии компьютерной безопасности обычные пользователи не задумывались, и антивирусы ставили себе далеко не все, да и по своим возможностям они были очень далеки от современных. В этой же статье мы поговорим о зловредах, которые процветали уже в те времена, когда антивирусы были неотъемлемой частью системы, и все же они зачастую не помогали.
После пандемии, устроенной Чернобылем, популярность антивирусов серьезно выросла. Но, как я говорил выше, по своим возможностям они были далеки от современных. Многие пользователи интернета тогда уже имели почтовые ящики, и к спаму все привыкли. Но представьте, что от вашего друга вам приходит письмо со следующим содержанием: «Here is that document you asked for...don't show anyone else» («Вот документ, который ты просил... никому не показывай его»), и к этому письму был прикреплен обычный файл Word. Думая, что ну уж текстовый-то файл точно не может быть опасен (тем более его друг прислал), пользователь открывал его — а дальше, как говорится, было дело техники, потому что под обычный Word-файл можно запрятать практически любой код.
К счастью, даже в это не столь далекое время (вирус был написан в 1999 году) о прибыли никто не думал, и единственное, что вирус делал — это просто пересылал себя 50 контактам в Outlook на зараженном ПК. Но и этого хватило, чтобы достаточно быстро «положить» почтовые сервера Microsoft, и, в итоге, чтобы хоть как-то задержать распространение вируса, крупные корпорации были вынуждены отключить свои e-mail сервера, что, разумеется, сказалось на эффективности работы сотрудников.
Единственное, о чем не подумал создатель вируса, так это о том, что его можно будет легко вычислить — спускаясь по спискам контактов различных пользователей, можно довести цепочку до первоисточника. ФБР проделали это достаточно легко — оказалось, что вирус был запущен в Internet с адреса онлайн-службы AOL, которая принадлежала 30-летнему Дэвиду Смиту. Тот не стал отпираться и стал сотрудничать со следствием, но все равно в итоге был приговорен к 10 годам лишения свободы и штрафу в 5000 долларов — достаточно немного, если учесть, что его обвиняли в причинении ущерба на 80 миллионов долларов, а с учетом недополученной прибыли потери крупных компаний составляли сотни миллионов долларов.
Всего на пике заражения вирус «поселился» на порядка 15-20% всех деловых ПК мира, а разработчики антивирусов вынесли урок, что вирусы могут скрываться не только под исполняемыми файлами, но и под любыми другими, поэтому нужно анализировать их код «изнутри».
ILOVEYOU
Пожалуй, это был первый массовый вирус, который был написан для целенаправленной порчи файлов. Причем его создатели, два молодых филиппинских программиста, Реонель Рамонес и Онел де Гузман, даже не стали придумывать что-то новое — они просто воспользовались идеей вируса Melissa, но несколько изменили ее.
Конечно, уже тогда антивирусы проверяли все почтовые вложения, но, во-первых, антивирусы были все еще далеко не у всех, а, во-вторых, вирус рассылал себя не 50 контактам в Outlook, как Melissa, а сразу всем, что серьезно расширяло охват. К тому же нередки были и случайные срабатывания антивируса, поэтому пользователи временами его игнорировали.
Этим и решили воспользоваться создатели любвеобильного вируса — он также распространялся как вложение в письме с незамысловатым текстом типа «проверь прикрепленный файл», который назывался LOVE-LETTER-FOR-YOU.TXT.vbs. Думаю, некоторые уже поняли в чем дело — по умолчанию Windows скрывает расширение у зарегистрированных типов файлов, поэтому у пользователей файл выглядел как LOVE-LETTER-FOR-YOU.TXT — то есть как безобидный текстовый файл. И даже если антивирус на него «ругался», пользователи зачастую все же запускали его — ведь не может же быть текстовый файл опасным?
Итог был предсказуем, ведь по факту это был скрипт, написанный на языке VBScript. И если Word-файл Melissa всего лишь парализовывал почтовые сервера, то этот скрипт к тому же искал на диске и заменял собой все файлы с самыми популярными разрешениями (JPG, MP3, DOC и т.д.), тем самым уничтожая зачастую важную информацию пользователя.
С учетом того, что вирус представлял собой скрипт, который можно было легко изменить, всего было обнаружено более 20 различных его версий, причем некоторые занимались вообще иными вредительствами — они не уничтожали файлы, а пересылали определенные из них создателю скрипта, что приводило к утечкам конфиденциальной информации.
В итоге было заражено порядка 50 млн компьютеров — порядка 10% от общего их числа. Ущерб по разным данным варьировался от 5 до 15 миллиардов долларов: да, на несколько порядков больше, чем от Melissa, потому что пользователи теряли не только свое время, но и свои данные. А вот создатели вируса... отделались легким испугом: филлипинские законы того времени не предусматривали ответственности за киберпреступления, поэтому в итоге Реонель, и Онел были отпущены на свободу. К слову, дыру в законодательстве исправили очень быстро — всего спустя 2 месяца после начала эпидемии.
Code Red
Пожалуй, подавляющее большинство предыдущих вирусных атак строились не на уязвимости систем, а на невнимательности и любопытстве пользователей. Но, разумеется, дыр в безопасности тогда (да и сейчас) было много, и их использование было лишь вопросом времени.
И первым таким массовым червем стал Code Red, запущенный в сеть 19 июля 2001 года. Он атаковал компьютеры с работающим веб-сервером Microsoft IIS, используя достаточно распространенную уязвимость под названием «переполнение буфера». Причем использовал он ее максимально банально — постоянно вводил N до тех пор, пока сервер не зависал, после чего внедрял вредоносный код. Причем, что самое интересное, Microsoft знали об этой уязвимости, и еще в июне выпустили обновление, которое ее устраняет — но, разумеется, далеко не всего его поставили.
Сам вирус с виду работал топорно: он просто заменял все данные на страницах зараженного сайта на следующую фразу:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
Конечно, с учетом того, что в подавляющем большинстве случаев у сайтов существовали резервные копии, админы просто ставили заплатку и восстанавливали копию сайта, так что потери были невелики. Но позже, анализируя код червя, было обнаружено, что он не просто выводил забавный текст выше, но и еще спустя 20-27 дней после заражения сервер должен был начать DDOS-атаку на несколько IP-адресов, причем один из них принадлежал Белому дому.
Причем после анализа было понятно, что вирус был написан достаточно криво: так, он даже не проверял, на какой сервер он попал, и стояла ли на нем уязвимая копия IIS — более того, даже в логах Apache-серверов были найдены попытки использовать переполнение буфера. Распространялся вирус тоже не очень хорошо — просто по случайным IP-адресам.
В итоге вирус смог заразить 400 000 серверов и принес порядка 2.5 миллиардов долларов убытков — достаточно значительно, при этом его создатели так и не были найдены. Но место начала эпидемии было обнаружено — Макати-Сити на Филлипинах (да-да, снова там). Из-за этого название вирусу придумали эксперты, которые его исследовали — в то время был популярен напиток Code Red Mountain Dew, плюс к тому же вирус выводил фразу «хакнуто китайцами» — ассоциация с «красным» коммунистическим Китаем — поэтому название «Код красный» вирусу отлично подошло.
SQL Slammer
Тот случай, когда неправильно выбранное время спасло мир от очередной пандемии: начнись атака не в субботу, 25 января 2003 года, а двумя днями позже, в понедельник, ущерб от нее был куда больше. Но даже в субботу вирус всего за 10 минут смог заразить свыше 75 000 ПК, причем использовалась все та же уязвимость — переполнение буфера, но теперь уже в Microsoft SQL Server.
Сам червь весил всего 376 байт и умещался в один UDP-пакет, что позволило ему распространяться очень быстро. Принцип же был прост — находился маршрутизатор с SQL Server, он заражался и присоединялся к «ботнету». По сути сам вирус не нес в себе никакого вредоносного кода — роутеры «топили» сами себя: все маршрутизаторы устроены так, что если поток трафика на них очень большой, то для обработки они его задерживают, тем самым резко снижая пропускную способность.
Более того — если через некоторое время проблема с увеличенным трафиком не решается, роутер перезагружается и восстанавливает таблицу маршрутизации с другими роутерами. Поэтому через некоторое время большая часть сетей была занята как раз восстановлением маршрутизации, что практически полностью парализовало пользовательский трафик.
Итоги были плачевные: «положено» около 500 000 серверов, в Южной Корее не было интернета 12 часов, а что касается решения проблемы... да, Microsoft выпустила заплатку еще за полгода (!) до атаки, но, как показала практика, опыт с Code Red никого ничему не научил.
Blaster, Sobig.F, Bagle, MyDoom
Пик вирусов, распространяющихся в почтовых вложениях, пришелся на 2002-2005 годы. И хотя всех предупреждали, что нельзя бездумно открывать вложения от неизвестных (и даже известных) адресатов — в итоге, как обычно, «ежики плакали, кололись и продолжали есть кактусы»: ущербы от таких вирусов выражался в миллиардах долларов, зараженными оказывались миллионы ПК, а в некоторые моменты на 10 пересылаемых писем приходилось одно с вирусом.
Причем оригинальностью вирусы зачастую не отличались — пожалуй, лишь Sobig.F от 2003 года был несколько забавным: в теле вируса были обнаружены несколько посланий: «I just want to say LOVE YOU SAN!!» («Я просто хочу сказать ЛЮБЛЮ ТЕБЯ СЫНОК»), и «billy gates why do you make this possible? Stop making money and fix your software!!» («Билл Гейтс, почему ты делаешь это возможным? Хватит делать деньги и почини свой софт!!»). К тому же этот вирус должен был осуществить DDOS-атаку на сайт windowsupdate.com (с него рассылаются обновления Windows), но к тому времени он был уже обезврежен. Другие же вирусы слабо отличались по принципу действия друг от друга, так что рассматривать их отдельно нет смысла.
На этом на сегодня все, и в заключительной части мы поговорим уже о современных вирусных атаках, которые проводили и проводят не пара «погроммистов», а группы профессионалов.