Комп'ютерні віруси: тридцять років безчинств

Віруси – даність сьогоднішнього часу, прибутковий бізнес як для вірусописьменників, так і для антивірусних компаній. Але так було не завжди. Комп'ютерні віруси, здається, давно вже ніхто не сприймає, як щось надзвичайне і смертельно небезпечне (за винятком, можливо, Stuxnet, але про нього розмова окрема). Це вже просто даність.


Так було, ясна річ, не завжди: траплялися і масовані паніки, і гучні пророцтва з боку антивірусних компаній, що пророкують, що віруси скоро влаштують кінець якщо не світу, то інтернету точно, ну і численні міські легенди про комп'ютерні віруси, здатні викликати напади епілепсії та інсульт у людей, що сидять за комп'ютерами. Як і будь-які інші конспірологічні теорії та міські легенди, спростовувати і розвінчувати їх безглуздо і неможливо.


Самий перший вірус був створений як експериментальна програма, що демонструє здатність комп'ютерного коду самовідтворюватися без участі людини. Зараз комп'ютерні віруси – засіб заробітку як для тих, хто їх пише, так і для тих, хто з ними бореться: і з одного і з іншого боку має місце бути відмінний бізнес, щоправда, з боку вірусописьменників – суто кримінальний, але зате який прибутковий!


Самий ранній з відомих вірусів писався в порядку експерименту – досліджувалася можливість автоматичної самореплікаціі комп'ютерного коду. Боб Томас, співробітник ІТ-компанії BBN Technologies, написав програму, що отримала назву Creeper ("повзун", читається як "кріпер"), – цілком натурального "хробака", який "заражав" комп'ютери DEC PDP-10 на базі ОС TENEX, використовуючи як засоби поширення ARPANET.


На екрані зараженої системи з'являвся напис "Я – повзун, злови мене, якщо зможеш". Пізніше, у відповідності з золотим принципом "клин клином вибивають", була написана програма Reaper ("жнець", читається як "Ріпер"), яка відшукувала і винищувала копії "кріпера".


Залишається додати, що BBN Technologies займалася розробкою методу пакетної комутації (packet switching) для APRANET – і, у підсумку, того, що стане інтернетом. Тобто, виходить, що "черв'яки" і інтернет народилися практично одночасно. Хоча варто уточнити: терміни "вірус" і, тим більше, "хробак" щодо комп'ютерних програм тоді ще не застосовувалися.


Саме поняття "комп'ютерний вірус" з'явилося в 1983-1984 роках завдяки професору інформатики в Університеті Південної Каліфорнії Леонарду Едлману і його студенту Фредріку Коену. Власне термін придумав Едлман, а Коен – написав демонстративну паразитичну програму, здатну "заражати" інші програми, впроваджуючи в них свою копію, іноді видозмінену. Майже так само, як діє біологічний вірус.


Між тим, двома роками раніше – в 1981 році – 15-річний гик на ім'я Річард Скрента, любитель образливі розиграші, написав перший "завантажувальний" вірус (boot sector virus) для операційної системи Apple II, живенько так розповсюджувався через флоппі-дискети. Це був перший в історії випадок широкого, неконтрольованого розповсюдження вірусу, який, на щастя, не заподіював цілеспрямованого збитку.


Про те, що шкідливе програмне забезпечення взагалі може існувати, більшість користувачів просто не знало.


Досить скоро, втім, довелося дізнатися: у 1986 році брати Басіт і Амджад Фарук Альва написали програму (c) Brain, вірус, який заміняв завантажувальний сектор флоппі-диска своєю копією, а сам цей сектор викрадав в інше місце і метил як непридатний (bad sector). Вірус створював на дискеті до п'яти кілобайт зіпсованих секторів, уповільнював роботу дисководів і робив близько 7 кілобайт оперативної пам'яті недоступною для DOS.


Як потім пояснювали брати Альва, вони писали свій вірус як засіб захисту своєї основної програмної розробки від піратів – передбачалося, що (c) Brain дозволить відстежувати піратські копії цієї програми. Брати навіть чесно вказали в програмному коді свої координати, зокрема, телефон, по якому слід телефонувати у разі зараження – і в підсумку отримали колосальну кількість дзвінків від обурених жертв свого вірусу. Нічим хорошим це для них не закінчилося.


1987 виявився якимось особливо врожайним на шкідливий софт. Бельгійські офіси IBM піддалися атаці з боку першого вісторіі самошіфрующегося вірусу Cascade, після чого в IBM почали всерйоз розробляти антивірусне ПЗ. З'явився перший вірус для Commodore Amiga, і не те, щоб зовсім нешкідливий.


Втім, він був непорівнянний з Jerusalem, вірусом для DOS, виявленим у жовтні 1987 року. Ця безбожна тварюка сідала резидентом в оперативну пам'ять і заражала всі виконувані файли. Обходила тільки command.com (У своїй оригінальній версії). файли EXE Jerusalem заражав по кілька разів, до тих пір, поки вони не переставали влазити в пам'ять. Повільні машини (PC-XT) вірус міг уповільнювати в п'ять разів, на PC-AT наслідки зараження були менш помітні.


Головна ж проблема полягала в тому, що, починаючи з 1988 року, кожну п'ятницю тринадцятого, цей вірус повинен був знищувати все запускалися з моменту зараження комп'ютера програми. Згодом у нього було кілька десятків різновидів, що відрізнялися ступенем деструктивності і датами знищення запускалися програм.


У грудні того ж 1987 року з'явився Christmas Tree EXEC, репродукуються вірус, який паралізував ряд міжнародних комп'ютерних мереж.


У листопаді 1988 року фахівці виявили вірус, "офіційно" називався "хробаком" – Morris worm.


Історія з ним вийшла дуже драматичною. Автором "хробака" з'явився якийсь Роберт Таппан Морріс, студент Корнелльського університету, який створив програму, за допомогою якої хотів – за його словами – просто з'ясувати, скільки в світі комп'ютерів підключено до інтернету. Незрозуміло, правда, чому тоді Морріс розіслав своє дітище з мереж Массачусетського технологічного інституту (MIT), а не з Корнелльського університету …


"Черв'як" повинен був заражати машини під управлінням BSD, використовуючи найрізноманітніші вразливості – від програмних проломів до слабких паролів. Крім того, йому належало самовідтворюватися і перед зараженням опитувати кожну машину на наявність на ній своєї копії. Правда, Морісу подумалося, що системні адміністратори можуть спробувати перешкодити його вірусу, налаштувавши комп'ютери так, щоб ті давали неправдиві позитивні відповіді. Тому автор хробака настроїв його так, щоб той у 14% випадків самовідтворюється, незалежно від відповіді опитуваних машин.


Наслідком цього стала страшна епідемія і значний фінансовий збиток для організацій, чиї мережі виявилися наглухо забиті хробаком Морріса. Сам Морріс, дізнавшись про те, що накоїв, заявив, що спочатку має був випробувати свого хробака на симуляторі. Програміст виявився першим в історії людиною, засудженою за законом 1986 року про зловживання і шахрайстві при використанні комп'ютерних технологій (Computer Fraud and Abuse Act), але покараний був досить м'яко: три роки умовного терміну і штраф в 10 тисяч доларів. Згодом він став професором в тому ж самому MIT.


Наступними передбачуваним чемпіоном за шкідливістю повинен був стати вірус Michelangelo (1992 рік), але не став. Виявилося, що це ЗМІ розвели істерику, і намалювали риса так страшно, що 6 березня всі чекали "цифрового апокаліпсису". Не сталося.


У 1995 році на світ з'явився перший макровірус, що використав уразливості в Microsoft Word – Concept. Згодом макровіруси стали надзвичайно популярні у вірусописьменників. Чим більше поширювалися операційні системи та офісні пакети Microsoft, тим більше ставало макровірусів.


Стрімке поширення Microsoft Windows – з усіма множинними проломи в безпеці у ранніх версій (з Windows 95 починаючи) – поклало початок зовсім новій епосі.


У 1998 році на світ з'явився надзвичайно небезпечний вірус китайського походження, CIH. Як потім стало відомо, компанія Yamaha почала поширювати оновлену прошивку для своїх CD-приводів CD-R400, в якій сидів цей вірус, потім з дзеркала сайту Activision пішла поширюватися заражена вірусом демоверсія гри SiN, а в березні 1999 року IBM поставила клієнтам кілька тисяч комп'ютерів Aptiva, заражених вірусом CIH, що став згодом відомим ще й як Chernobyl. І не випадково: перший масований удар вірус завдав як раз 26 квітня 1999 року, в річницю чорнобильської аварії.


Вірус заповнював перший 1024 кб завантажувального сектора нулями і виводив з ладу BIOS. Для простих людей це фактично означало знищення комп'ютера.


Згодом CIH зробив друге пришестя, але це окрема історія.


Наступні п'ять років, з 1999 по 2004 роки – це період справжньої гонки озброєння між вірусопісателямі, антивирусниками, програмістами Microsoft і користувачами, які ставали все менш довірливими до нехитрим хитрощів розповсюджувачів вірусної погани.


Велика частина найбільш небезпечних черв'яків цих років використовували численні уразливості в розробках Microsoft – офісних пакетах, операційних системах Windows і Windows Server, серверних додатках Microsoft Internet Information Services, браузерах Internet Explorer і т.д. Продукція Microsoft була вкрай популярною, і вкрай бранімой за свої уразливості: для вірусописьменників створення хробаків, експлуатували проломи, стало справжнім видом спорту.


Melissa (1999) – макровірус, що поширювався самостійно по електронній пошті, використовуючи адресну книгу Microsoft Outlook.


ExploreZip (1999) – вірус, що знищував документи Microsoft Office.


ILOVEYOU, він же LoveLetter (2000) – один з найбільш шкідливих в історії вірусів. Вивуджуючи адреси з адресної книги Outlook, розсилав сам себе по електронній пошті у вигляді вкладення з таким ось файлом: LOVE-LETTER-FOR-YOU.TXT.vbs. За замовчуванням Outlook приховував розширення VBS (а це скрипт на Visual Basic), тому наївному одержувачу здавалося, що це звичайний текстовий файл. А який, питається, може бути шкода від відкриття файлу TXT? Увага, відповідь: від 5,5 до 10 млрд доларів.


Ранні версії ILOVEYOU довантажувати в систему ще і троян Barok, а більш пізні (з 2001 року) "підганяли" і дідка CIH. Вже якщо пакостити, так по-крупному.


2001 рік – це AnnaKournikova, знову поштовий хробак, вдавав, що у вкладенні листа є малюнок Анни Курнікової в чому мати народила. Автора вірусу зловили і відправили на 150 годин громадських робіт.


2001 рік – вірус Sircam, що поширювався по пошті і через локальні мережі, Code Red і Code Red II, який атакував Microsoft IIS, черв'яки Nimda і Klez. Останній міг тягне з собою із зараженої машини на наступну який-небудь випадково вибраний файл.


Наступним воістину знаменною роком став 2003-й: SQL Slammer, Blaster / Lovesan, Sobig.F і Sober.


SQL Slammer, він же Sapphire і Helkern, з них найвидатніший: 24 січня 2003 року він влаштував формений глобальну катастрофу, залишив без інтернету Південну Корею, порушив роботу банкоматів у США і серйозно сповільнив роботу всього інтернету в цілому – Росії теж дісталося.


Дуже дрібний (менше 400 байт) і спритний, вірус зі страшною швидкістю генерував випадкові IP-адреси і відразу ж відправляв туди свою копію "на вдачу". За перші три хвилини атаки вірус уразив 75 тисяч адрес і продовжував розмножуватися як той самий горезвісний штам Андромеди. Втім, атака швидко спала саме тому, що вірус забив всі канали зв'язку і йому більше нікуди було розмножуватися. До того ж, системні адміністратори кинулися латати діри в Microsoft SQL Server, які і використовував черв'як, так що його вдалося швидко приборкати.


Надалі (після того, як у 2004 році MyDoom став самим стрімко розповсюджувався вірусом в історії) шкідливі програми стали чомусь куди рідше залучати до себе масову увагу. Їх не стало менше, вони змінилися самі – і за формою, і за призначенням.


Вірусописьменники, схоже, набридло в масі своїй змагатися, чий вірус швидше заразить все на світі, розробники ПЗ почали куди більш ретельно ставитися до безпеки, а рядові користувачі зробилися менш довірливими. Досить разок вляпатися, щоб здорова параноя щодо "лівих" вкладень і дивних посилань виробилася навіки.


Зараз у вірусописьменників дещо інші інтереси. Трояни і віруси пишуться не для того, щоб завдати прямої шкоди комп'ютерам, а для того, щоб красти особисту інформацію на зразок номерів кредитних карт і паролів до них (а то навіть й акаунти в онлайнових іграх, благо на них теж можна заробити).


Що формуються за допомогою вірусів гігантські ботнети – це теж бізнес. Великий, добротний ботнет – ходовий товар, відмінна зброя, активно використовується, до речі, в політичній і конкурентної боротьби (особливо в Росії).


У 2007 році багато шуму наробив, наприклад, вірус Storm Worm, за допомогою якого як раз і формувався потужний ботнет, обсяги якого у результаті оцінювалися десь у 50 млн заражених машин (втім, це найбільш песимістична оцінка).


Через такі великі ботнети розсилається велика частина спаму, трояни для розширення ботнету, з їх допомогою організуються DDoS-атаки та інші "принади життя". Оренда ботнетів зараз стала, за деякими оцінками, зовсім недорогий: 9 доларів за годину.


Вінцем вірусопісательского творіння на сьогоднішній день є, можливо, все той же Stuxnet – просто в силу своєї оригінальності: такого не бачив ніхто і ніколи.


Про нього вже дуже багато написано. За технічними подробицями можна звернутися, наприклад, до статей Берда Ківі.


Так чи інакше, Stuxnet є серйозною зброєю. Можливо, менш серйозним, ніж хотілося б думати конспірологам, – зрештою, він спочатку призначений для атаки на абсолютно конкретні промислові установки. Але – легка біда початку. Історія вірусів явно не закінчена.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*