Компьютерные вирусы: тридцать лет беспорядков

Вирусы — данность сегодняшнего времени, прибыльный бизнес как для вирусописателей, так и для антивирусных компаний. Но так было не всегда. Компьютерные вирусы, кажется, давно уже никто не воспринимает как нечто чрезвычайное и смертельно

Вирусы — данность сегодняшнего времени, прибыльный интернет бизнес как для вирусописателей, так и для антивирусных компаний. Но так было не всегда. Компьютерные вирусы, кажется, давно уже никто не воспринимает как нечто чрезвычайное и смертельно опасно (за исключением, возможно, Stuxnet, но о нем разговор отдельный). Это уже просто данность, пишет Україна Криминальна.

Так было, конечно, не всегда: были и массированные паники, и громкие предсказания со стороны антивирусных компаний, предсказывают, что вирусы скоро устроят конец если не мира, то интернета точно, ну и многочисленные городские легенды о компьютерных вирусах, способные вызывать приступы эпилепсии и инсульт у людей, сидящих за компьютерами. Как и любые другие конспирологические теории и городские легенды, разбивать и развенчивать их бессмысленно и невозможно.

Самый вирус был создан как экспериментальная программа, демонстрирующая способность компьютерного кода самовоспроизводиться без участия человека. Сейчас компьютерные вирусы — средство заработка как для тех, кто их пишет, так и для тех, кто с ними борется: и с одной, и с другой стороны есть отличный бизнес, правда, со стороны вирусописателей — сугубо уголовное, но зато какой доходный!

Самый ранний из известных вирусов писался в порядке эксперимента — исследовалась возможность автоматической репликации компьютерного кода. Боб Томас, сотрудник ИТ-компании BBN Technologies, написал программу, которая получила название Creeper («ползун», читается как «крипер»),  — вполне натурального «червя», который «заражал» компьютеры DEC PDP-10 на базе ОС TENEX, используя как средство распространения ARPANET.

На экране зараженной системы появлялась надпись «Я — ползун, поймай меня, если сможешь». Позже, в соответствии с золотым принципу «клин клином вышибают», была написана программа Reaper («жнец», читается как «Рипер»), которая определяла и уничтожала копии «крипера».

Остается добавить, что BBN Technologies занималась разработкой метода пакетной коммутации (packet switching) для APRANET — и, в итоге, того, что станет интернетом. То есть, получается, что «черви» и интернет родились практически одновременно. Хотя стоит уточнить: термины «вирус» и, тем более, «червь» в отношении компьютерных программ тогда еще не применялись.

Само понятие «компьютерный вирус» появилось в 1983-1984 годах благодаря профессору информатики в Университете Южной Калифорнии Леонарду Едлману и его студенту Фредрику Коэну. Собственно термин придумал Едлман, а Коэн — создал демонстративную паразитическую программу, способную «заражать» другие программы, внедряя в них свою копию, иногда видоизмененную. Почти так же, как действует биологический вирус.

Между тем, двумя годами ранее — в 1981 году — 15-летний гик по имени Ричард Скрента, любитель оскорбительных розыгрышей, написал первый «загрузочный» вирус (boot sector virus) для операционной системы Apple II, живенько так распространялся через флоппи-дискеты . Это был первый в истории случай широкого, неконтролируемого распространения вируса, который, к счастью, не причинял целенаправленного ущерба.

О том, что вредоносное программное обеспечение вообще может существовать, большинство пользователей просто не знала.

Довольно скоро, впрочем, пришлось узнать: в 1986 году братья Басит и Амджад Фарук Альва написали программу (c) Brain, вирус, который заменял загрузочный сектор флоппи-диска своей копией, а сам этот сектор похищал в другое место и замечал как непригодный (bad sector). Вирус создавал на дискете до пяти килобайт испорченных секторов, замедлял работу дисководов и делал около 7 килобайт оперативной памяти недоступна для DOS.

Как потом объясняли брать Альва, они писали свой вирус как средство защиты своей основной программной разработки от пиратов — предполагалось, что (c) Brain позволит отслеживать пиратские копии этой программы. Братья даже честно указали в коде свои координаты, в частности, телефон, по которому можно звонить в случае заражения — и в итоге получили колоссальное количество звонков от возмущенных жертв своего вируса. Ничем хорошим это для них не закончилось.

1987 оказался каким особенно урожайным на вредоносный софт. Бельгийские офисы IBM подверглись атаке со стороны первого в истории вируса Cascade, после чего в IBM начали всерьез разрабатывать антивирусное ПО. Появился первый вирус для Commodore Amiga, и не то чтобы совсем безвреден.

Впрочем, он был несравним с Jerusalem, вирусом для DOS, выявленным в октябре 1987 года. Эта безбожная тварь садилась резидентом в оперативную память и заражала все исполняемые файлы. Обходила только command.com (в своей оригинальной версии). файлы EXE Jerusalem заражал по несколько раз, до тех пор, пока они не переставали влезать в память. Медленные машины (PC-XT) вирус мог замедлять в пять раз, на PC-AT последствия заражения были менее заметны.

Главная же проблема заключалась в том, что, начиная с 1988 года, каждую пятницу тринадцатого, этот вирус должен был уничтожать все программы, запускаемых с момента заражения компьютера. Впоследствии у него было несколько десятков разновидностей, отличавшихся степенью деструктивности и дате уничтожения программ, запускаемых.

В декабре того же 1987 года появился Christmas Tree EXEC, вирус, репродуцируется, который парализовал несколько международных компьютерных сетей.

В ноябре 1988 года специалисты обнаружили вирус, который «официально» назывался «червем» — Morris worm.

История с ним была очень драматичной. Автором «червя» был какой Роберт Таппан Моррис, студент Корнельского университета, который создал программу, с помощью которой хотел — по его словам — просто выяснить, сколько в мире компьютеров подключены к интернету. Непонятно, правда, почему тогда Моррис разослал свое детище из сетей Массачусетского технологического института (MIT), а не из Корнельского университета …

«Червь» должен был заражать машины под управлением BSD, используя самые разнообразные уязвимости — от программных брешей в слабых паролей. Кроме того, ему принадлежало самовоспроизводиться и перед заражением опрашивать каждую машину на наличие на ней своей копии. Правда, Морис подумал, что системные администраторы могут попытаться помешать его вируса, настроив компьютеры так, чтобы те давали ложные положительные ответы. Поэтому автор червя настроил его так, чтобы тот в 14% случаев самовоспроизводящийся, независимо от ответа опрашиваемых машин.

Следствием этого стала страшная эпидемия и значительный финансовый ущерб для организаций, чьи сети оказались наглухо забиты червем Морриса. Сам Моррис, узнав о том, что натворил, заявил, что сначала должен был испытать своего червя на симуляторе. Программист оказался первым в истории человеком, осужденным по закону 1986 года о злоупотреблениях и мошенничестве при использовании компьютерных технологий (Computer Fraud and Abuse Act), но наказан был достаточно мягко: три года условного срока и штраф в 10 тысяч долларов. Впоследствии он стал профессором в том же MIT.

Следующими предполагаемым чемпионом по вредности должен был стать вирус Michelangelo (1992 год), но не стал. Оказалось, что это СМИ развели истерику, и нарисовали черта так страшно, что 6 марта все ждали «цифрового апокалипсиса». Не произошло.

В 1995 году на свет появился первый макровирус, использовавший уязвимости в Microsoft Word — Concept. Впоследствии макровирусы стали чрезвычайно популярны у вирусописателей. Чем больше распространялись операционные системы и офисные пакеты Microsoft, тем больше становилось макровирусов.

Стремительное распространение Microsoft Windows — со всеми многочисленными бреши в безопасности в ранних версий (с Windows 95 начиная)  — положило начало совершенно новой эпохе.

В 1998 году на свет появился чрезвычайно опасный вирус китайского происхождения, CIH. Как потом стало известно, компания Yamaha начала распространять обновленную прошивку для своих CD-приводов CD-R400, в которой сидел этот вирус, потом с зеркала сайта Activision пошла распространяться заражена вирусом демоверсия игры SiN, а в марте 1999 года IBM поставила клиентам несколько тысяч комп ‘ютерив Aptiva, зараженных вирусом CIH, ставший впоследствии известным еще как Chernobyl. И не случайно: первого массированного удара вирус нанес как раз 26 апреля 1999, в годовщину чернобыльской аварии.

Вирус заполнял первые 1024 Кб загрузочного сектора нулями и выводил из строя BIOS. Для простых людей это фактически означало уничтожение компьютера.

Впоследствии CIH сделал второе пришествие, но это отдельная история.

Следующие пять лет, с 1999 по 2004 годы — это период настоящей гонки вооружения между вирусописателей, антивирусники, программистами Microsoft и пользователями, которые становились все менее доверчивыми к нехитрых уловок распространителей вирусной плохие.

Большая часть наиболее опасных червей этих лет использовали многочисленные уязвимости в разработках Microsoft — офисных пакетах, операционных системах Windows и Windows Server, серверных приложениях Microsoft Internet Information Services, браузерах Internet Explorer и т.д. Продукция Microsoft была крайне популярной, и ее очень ругали за ее уязвимость: для вирусописателей создания червей, которые эксплуатировали бреши, стало настоящим видом спорта.

Melissa (1999)  — макровирус, распространявшийся самостоятельно по электронной почте, используя адресную книгу Microsoft Outlook.

ExploreZip (1999)  — вирус, уничтожал документы Microsoft Office.

ILOVEYOU, он же LoveLetter (2000)  — один из наиболее вредных в истории вирусов. Выуживая адреса из адресной книги Outlook, рассылал сам себя по электронной почте в виде вложения с таким вот файлом: LOVE-LETTER-FOR-YOU.TXT.vbs. По умолчанию Outlook скрывал расширение VBS (а это скрипт на Visual Basic), поэтому наивному получателю казалось, что это обычный текстовый файл. А какая может быть вред от открытия файла TXT? Внимание, ответ: от 5,5 до 10 млрд долларов.

Ранние версии ILOVEYOU подгружать в систему еще и троян Barok, а более поздние (с 2001 года) „подгоняли“ и дедушки CIH. Уж если пакостить, так по-крупному.

2001 год — это AnnaKournikova, опять почтовый червь, делал вид, что во вложении письма есть фотография Анны Курниковой в чем мать родила. Автора вируса поймали и отправили на 150 часов общественных работ.

2001 год — вирус Sircam, распространявшийся по почте и через локальные сети, Code Red и Code Red II, который атаковал Microsoft IIS, черви Nimda и Klez. Последний мог забирать с зараженной машины на следующую какой-либо случайно выбранный файл.

Следующим поистине знаменательным годом стал 2003-й: SQL Slammer, Blaster / Lovesan, Sobig.F и Sober.

SQL Slammer, он же Sapphire и Helkern, из них выдающийся: 24 января 2003 он устроил форменную глобальную катастрофу, оставил без интернета Южную Корею, нарушил работу банкоматов в США и серьезно замедлил работу всего интернета в целом — России тоже досталось.

Очень мелкий (менее 400 байт) и ловкий, вирус со страшной скоростью генерировал случайные IP-адреса и сразу же отправлял туда свою копию „на удачу“. За первые три минуты атаки вирус поразил 75 тысяч адресов и продолжал размножаться как тот самый пресловутый штамм Андромеды. Впрочем, атака быстро спала именно потому, что вирус убил все каналы связи и ему больше некуда было размножаться. К тому же, системные администраторы бросились латать дыры в Microsoft SQL Server, которые и использовал червь, поэтому его удалось быстро укротить.

В дальнейшем (после того как в 2004 году MyDoom стал вирусом, наиболее стремительно распространялся в истории) вредоносные программы стали почему-то значительно реже привлекать к себе массовое внимание. Их не стало меньше, они изменились сами — и по форме, и по назначению.

Вирусописателей, похоже, надоело в массе своей соревноваться, чей вирус скорее заразит все на свете, разработчики ПО начали тщательнее относиться к безопасности, а рядовые пользователи стали менее доверчивыми. Достаточно разок вляпаться, чтобы здоровая паранойя относительно „левых“ вложений и странных ссылок выработалась навеки.

Сейчас в вирусописателей несколько другие интересы. Трояны и вирусы пишутся не для того, чтобы нанести прямой вред компьютерам, а для того, чтобы красть личную информацию, например номеров кредитных карт и паролей к ним (а то даже и аккаунты в онлайновых играх, благо на них тоже можно заработать) .

Формируемые с помощью вирусов гигантские ботнеты — это тоже бизнес. Большой, добротный ботнет — ходовой товар, отличное оружие, активно используется, кстати, в политической и конкурентной борьбы (особенно в России).

В 2007 году много шума наделало, например, вирус Storm Worm, с помощью которого как раз и формировался мощный ботнет, объемы которого в результате оценивались где в 50 млн зараженных машин (впрочем, это наиболее пессимистическая оценка).

Через такие крупные ботнеты рассылается большая часть спама, трояны для расширения ботнета, с их помощью организуются DDoS-атаки и прочие „прелести жизни“. Аренда ботнетов сейчас стала, по некоторым оценкам, совсем недорогой: 9 долларов в час.

Венцом творения вирусов на сегодняшний день является, возможно, все тот же Stuxnet — просто в силу своей оригинальности: такого не видел никто и никогда.

О нем уже очень много написано. По техническим подробностями можно обратиться, например, к статьям Берда Киви.

Так или иначе, Stuxnet является серьезным оружием. Возможно, менее серьезной, чем хотелось бы думать конспирологам — впрочем, он изначально предназначенный для атаки на совершенно конкретные промышленные установки. Но это начало. История вирусов не завершена.