Назад в дневник Пишет .L
История вред программ часть 3 обратно2 хакер заслал зараженные файлы в местные электронные конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных веб-серверов - они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов "популярности" вирус "подвинул" таких вирусных суперзвезд, как Word.CAP и Excel.Laroux. Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы. Исключительно сложные процедуры работы CIH с оперативной памятью потребовали от разработчиков антивирусов значительных усилий по модернизации "движков" своих продуктов. Август 1998: появление нашумевшего BackOrifice (Backdoor.BO) - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за BackOrifice появились несколько других аналогичных программ: NetBus, Phase и прочие. Также в августе появился первый вирус, заражающий выполняемые модули Java - Java.StangeBrew. Данный вирус не представлял какой-либо опасности для пользователей интернета, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре файлов с веб-серверов. Ноябрь 1998: VBScript.Rabbit - интернет-экспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты Visual Basic (VBS-файлы), которые активно применяются при написании веб-страниц. Тогда же "Лаборатория Касперского" выпустила обширный обзор о потенциальной опасности VBS-вирусов, однако многие специалисты поспешили заклеймить компанию "нарушителей спокойствия" и назвали этот шаг возмутительным нагнетанием вирусной истерии среди пользователей. Через полтора года, в мае 2000 г., когда грянула глобальная эпидемия скрипт-вируса LoveLetter, стало ясно, что прогноз в точности сбылся. Сейчас этот тип вирусов прочно удерживает первое место в списке наиболее распространенных и опасных вирусов. Логическим следствием развития VBScript-вирусов стало появление полноценного HTML-вируса - HTML.Internal. Становится очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, веб-сервера и/или активно распространяющегося по электронной почте. Жертвой компьютерных вирусов становится еще одно приложение из состава MS Office. Им стала популярная программа для создания презентаций - PowerPoint. В декабре 1998 г. неизвестным выпускается первый вирус этого типа - "Attach". За ним немедленно следуют два других - "ShapeShift" и "ShapeMaster", авторство которых, по всей видимости, принадлежит одному и тому же лицу. Появление PowerPoint-вирусов вызвало очередную головную боль у производителей антивирусных программ. Файлы этого приложения используют формат OLE2, что определяет возможность применения механизмов поиска вирусов в .doc- и .xls- файлах. В январе журнал Virus Bulletin начинает новый проект VB 100% - регулярное тестирование антивирусных продуктов на предмет обнаружения ими 100% вирусов, выявленных в "диком виде". На данный момент VB 100% является одним из наиболее уважаемых независимых тестов, показывающих качество "родословной" антивирусных пакетов, т.е. насколько они стабильно показывают 100% эффективность в борьбе с вирусами, имеющими реальное хождение среди пользователей. Произошли также заметные перестановки в антивирусном мире. В мае Symantec и IBM объявляют об объединении усилий в разработке антивирусных продуктов: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus прекращает свое существование. В конце сентября Symantec объявляет о выкупе антивирусного бизнеса корпорации Intel (LANDesk Virus Protect). Спустя всего две недели Symantec потрясает антивирусную индустрию еще одним приобретением - на этот раз компании Quarterdeck за $65 миллионов, в арсенале которой помимо утилит общего назначения также присутствовали продукты для защиты от вирусов (ViruSweep). Такая агрессивная экспансия не могла остаться незамеченной другим американским антивирусным гигантом NAI, который 13 августа объявил о поглощении одного из своих главных конкурентов, английской компании Dr.Solomon's. Последний был куплен за рекордную сумму в $640 миллионов путем обмена акций. Данное событие вызвало настоящий шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей-продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения. Интересен и факт приобретения в декабре фирмой Aladdin Knowledge Systems известного производителя оборудования и программ для компьютерной безопасности, израильской компании EliaShim, разработчика линейки антивирусных продуктов eSafe. 21 декабря произошел курьезный случай с публикацией в газете The New York Times. Ее автор предупреждал пользователей о появлении нового компьютерного вируса для MS Word, распространяющегося по электронной почте и уже выведшего из строя несколько компьютерных сетей. Как позже стало известно, этим страшным вирусом оказался давно известный макро-вирус "Class". 1999 Как ни странно, но наиболее значительным событием начала года стало отнюдь не появление нового компьютерного вируса, а объявление о, по всей видимости, долго готовившейся покупке софтверным гигантом Computer Associates (CA) австралийского разработчика антивирусных программ Cybec. Таким образом, в "копилке" CA, вслед за поглощенным в конце 1996 г. Cheyenne Software, оказался еще один антивирусный проект. Однако компьютерные вирусы не заставили себя ждать, и в январе разразилась глобальная эпидемия интернет-червя Happy99 (также известного как Ska). По сути дела это был первый современный червь, открывший новый этап в развитии вредоносных программ. Он использовал для своего распространения программу MS Outlook, ставшую корпоративным стандартом в США и многих странах Европы. Практически одновременно с этим был обнаружен весьма интересный макро-вирус для MS Word - Caligula. Он просматривает системный реестр, находит ключи, соответствующие популярной программе шифрования PGP (Pretty Good Privacy), вычисляет каталоги возможного нахождения программы и производит в них поиск базы данных ключей шифрования PGP версии 5.x. В случае обнаружения этой базы данных, вирус инициирует FTP-сессию и незаметно для пользователя передает на удаленный компьютер найденный файл. В конце февраля были зарегистрированы инциденты с участием "SK" - первого вируса, заражающего файлы помощи Windows (HLP). 26 марта мир был потрясен известием о глобальной эпидемии вируса "Melissa" - первого макро-вируса для MS Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Подобно "Happy99" вирус "Melissa" делал это абсолютно незаметно для пользователя и, что самое страшное, от его имени. К счастью, этот макро-вирус не представлял собой ничего сложного, и антивирусные разработчики оперативно выпустили соответствующие дополнения к своим программам. Эпидемия была достаточно быстро погашена. Несмотря на это, "Melissa" все же успела принести ощутимый ущерб компьютерным системам мира: такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты. По разным оценкам совокупный ущерб от вируса варьировался от нескольких миллионов до десятков миллионов долларов США. Правоохранительные органы США (точнее, те, которые занимаются киберпреступностью) исключительно быстро отреагировали на эпидемию "Melissa". Через некоторое время был обнаружен и арестован автор вируса, которым оказался 31-летний программист из Нью Джерси (США), некий Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и штрафу в размере 400 000 долларов США. Не спали и правоохранительные органы на противоположном побережье Тихого океана: в Тайване. Здесь в апреле был найден автор вируса CIH (он же "Чернобыль"), которым оказался студент Тайваньского технологического института Чен Инг-Хао (CIH - его инициалы). Однако, из-за отсутствия жалоб на действия вируса со стороны местных компаний, у полиции не было оснований для ареста Чена. 7 мая вирусы вторгаются на территорию канадской корпорации Corel, точнее ее детища, графического пакета Corel DRAW!. Вирус "Gala" (также известный как GaLaDRieL), написанный на скрипт-языке Corel SCRIPT, стал первым, кто оказался способен заражать файлы как самого Corel DRAW!, так и Corel PHOTO-PAINT и Corel VENTURA. В самом начале лета грянула эпидемия весьма опасного Интернет-червя "ZippedFiles" (также известного как ExploreZip). Он представлял собой EXE-файл, который после внедрения в систему уничтожал файлы некоторых популярных приложений. Хотя червь и не получил такого же распространения как "Melissa", оценки нанесенного им ущерба были гораздо выше. Несмотря на своевременные меры, предпринятые антивирусными компаниями по нейтрализации червя, в декабре был зарегистрирован рецидив "ZippedFiles". Отличие этой модифицированной версии заключалось лишь в том, что его тело было скомпрессировано утилитой сжатия Neolite. Таким образом, если антивирусная программа не поддерживала этот формат сжатия, червь становился для нее невидимым. А таких программ на тот момент было 100%. Лишь в январе 2000 г. в AntiViral Toolkit Pro (AVP) были интегрирована поддержка файлов, обработанных Neolite. В августе был обнаружен интересный вирус-червь "Toadie" ("Termite"), который, помимо заражения файлов DOS и Windows, также прикреплял свои копии к письмам, отсылаемым по электронной почте при помощи программы Pegasus и пытался распространяться по каналам IRC. Октябрь принес компьютерному сообществу еще три неприятных сюрприза. Во-первых, был обнаружен вирус "Infis", который стал первым вирусом для этой операционной системы, внедряющийся на самый высокий уровень безопасности платформы - область системных драйверов. Эта особенность делает вирус труднодоступным для лечения в памяти антивирусными программами. Во-вторых, в конце месяца антивирусные компании сообщили о первом компьютерном вирусе для MS Project. В действительности, это был многоплатформенный вирус, одинаково успешно заражавший как файлы MS Word, так и MS Project. В-третьих, проявился известный еще с июля скрипт-вирус "Freelinks", привлекший внимание вирусописателей к языку программирования Visual Basic Script (VBS) и ставший одним из предшественников печально известного вируса LoveLetter. В ноябре мир потрясло появление нового поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал "KakWorm". Все вирусы этого типа использовали "дыру", обнаруженную в системе безопасности Internet Explorer. Несмотря на то, что Microsoft выпустила соответствующую заплатку в том же месяце, "KakWorm" до сих пор остается среди пяти наиболее распространенных вредоносных программ. В том же месяце в США и Европе было зарегистрировано много случаев заражения Windows-вирусом FunLove. 7 декабря стал примечательным из-за обнаружения очередного творения бразильского вирусописателя по кличке "Vecna" - крайне сложного и опасного вируса "Babylonia", который также открыл новую страницу в области создания вирусов. Это был первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей. В случае, если в этом списке находился более "свежий" модуль, нежели уже установленный на зараженном компьютере, то вирус автоматически его загружал. Позднее технология удаленного самообновления была применена в червях Sonic, Hybris и многих других. Начиная с середины года антивирусная индустрия формально разделяется на две части в соответствии с ее отношением к возможным инцидентам накануне и в первые недели после Нового Года. Одна часть усиленно продвигает идею, что компьютерный андерграунд в лице злых хакеров и вирусописателей всего мира приготовил мировому сообществу "сюрприз" в виде сотен тысяч исключительно опасных вирусов, способных потрясти основы человеческой цивилизации. Главный смысл этого послания - всем необходимо немедленно установить антивирусные продукты указанного производителя, которые, естественно, только и смогут спасти пользователей от грядущей напасти. Вторая часть антивирусных компаний, логично, противостояла первой и, в свою очередь, как могла успокаивала напуганных пользователей. Позднее, безосновательность и откровенная истеричность прозвучавших заявлений о "вирусной опасности-2000" показали свою несостоятельность и наступление 2000 года ничем не отличалось от всех остальных. И немного о курьезах: компакт диск, сопровождавший ноябрьский номер венгерского журнала "Uj Alaplap", помимо набора полезной информации, также содержал и крайне неприятный сюрприз: одновременно два маскро-вируса для MS Word - "Class.B" и "Opey.A". 2000 Год начался неожиданно: жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы, как участники подпольной группы 29A представили вирус "Inta", который оказался первым вирусом, корректно заражающим файлы под Windows 2000. Чуть позже, появившиеся практически одновременно вирусы "Unstable" и "Radiant" поставили крест на Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления "Unstable" и "Radiant" Visio Corporation, производящая пакет Vision была куплена Microsoft. В апреле были зафиксированы случаи заражения макро-вирусом для MS Word российского происхождения "Proverb" в офисе британского премьер-министра на знаменитой Даунинг Стрит, 10. Остается лишь надеяться, что английские власти вдоволь насладились собранием русских народных афоризмов вроде "никогда не откладывай на завтра то, что можно выпить сегодня". А 5 мая грянула попавшая в Книгу Рекордов Гиннеса эпидемия скрипт-вируса LoveLetter. Все произошло в точности как предсказывал в ноябре 1998 г. Евгений Касперский. Наивные пользователи даже не представляли себе, что в "безобидных" файлах VBS, замаскированных под еще более безобидные TXT, может находиться исключительно опасный вирус. Сразу же после запуска он уничтожал на дисках файлы определенного расширения и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook. Открытость исходного кода скрипт-вирусов предопределила то, что на протяжении всего года на свет появлялись новые модификации вируса, так что их число на данный момент достигает уже 90. 6 июня был обнаружен "Timofonica" - первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Помимо распространения по электронной почте, вирус посылал сообщения на случайные номера мобильных телефонов испанской сотовой сети MoviStar, принадлежащей телекоммуникационному гиганту Telefonica. Более никаким образом вирус на мобильные телефоны не влиял. Несмотря на это, многие средства массовой информации поспешили назвать "Timifonica" первым "сотовым" вирусом. Лето 2000 г. действительно выдалось жаркое, особенно применимо к компьютерным вирусам. Хотя это время считается временем отпусков как у вирусописателей, так и у антивирусных экспертов, первые, по всей видимости, решили сделать неожиданный сюрприз вторым. В июле группа Cult of Death Cow представила новую версию известной утилиты несанкционированного удаленного администрирования Back Orifice 2000 (BO2K). Это произошло на ежегодной конференции DefCon (названной в пику DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности, новая версия программы представляла никак не большую опасность, нежели ее предшественница и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой BO2K стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже видимой инсталляцией. Несмотря на это она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как "Троянец" класса "Backdoor". В июле же появились сразу три исключительно интересных вируса. "Star" стал первым вирусом для пакета AutoCAD. "Dilber" отличился тем, что содержал коды сразу пяти вирусов, среди которых "CIH", "SK", "Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище "Шаттл, полный вирусов". Третьим стал Интернет-червь "Jer", использующий "топорный" метод проникновения на компьютер. На Web сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на человеческий фактор, т.е. что пользователь автоматически ответит 'да', чтобы отвязаться от назойливой скрипт-программы. Появление этого червя свидетельствует о вхождении в моду новой технологии "раскрутки" вируса в Интернет. Сначала червь помещается на Web сайт, а потом проводится массированная рекламная компания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто пропустит его на свой компьютер. В августе был обнаружен "Liberty" - первая вредоносная программа класса "Троянский конь" для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске он стирал файлы, но не имел никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS - "Phage". Он представлял собой классический вирус-паразит, который вместо внедрения в заражаемые файлы стирал их и на их место записывал свой код. В начале сентября был обнаружен первый известный компьютерный вирус ("Stream"), способный манипулировать дополнительными потоками (ADS) файловой системы NTFS. Данный вирус нельзя рассматривать как нечто, представляющее собой реальную угрозу. Гораздо большую опасность представляет сама технология проникновения в дополнительные потоки, поскольку ни один антивирусный сканер не в состоянии обнаружить там вредоносный код. К сожалению, история вызвала неадекватную реакцию у некоторых западных антивирусных компаний, которые обвинили "Лабораторию Касперского" в запугивании пользователей. Тем не менее, кроме голословных обвинений оппоненты не смогли представить сколько-нибудь вескую аргументацию в подтверждение выдвинутой ими теории безопасности дополнительных потоков NTFS. Проблема антивирусной защиты NTFS до сих пор остается насущной, поскольку с момента обнаружения Stream, всего несколько антивирусных сканеров научились искать вирусы в ADS. В октябре появились первый вирус, срывающийся в информационных файлах PIF ("Fable") и первый вирус, написанный на скрипт-языке PHP ("Pirus"). Оба вируса на данный момент так и остались достоянием вирусных коллекций и не были обнаружены в "диком виде". Тогда же произошел громкий скандал, когда стало известно, что внутренняя сеть Microsoft была взломана и в течение нескольких месяцев открыта для неких неизвестных хакеров, предположительно из Санкт-Петербурга. Проникновение было совершено тривиальным способом, посредством сетевого червя QAZ. Курьезность ситуации придавал тот факт, что на момент обнаружения факта взлома, этот червь уже многие месяцы находился в базах данных практически всех антивирусных программ. Это обстоятельство дало основания сомневаться как в компетентности служащих Microsoft, так и, возможно, в их злом умысле. Однако, на момент написания этой книги виновник случившегося так и не был найден. В ноябре происходит знаменательное событие: основной проект "Лаборатории Касперского", сумевшей всего за три года стать одним из основных игроков антивирусной индустрии, - семейство антивирусных продуктов AntiViral Toolkit Pro (AVP) меняет свое название на "Антивирус Касперского" (Kaspersky Anti-Virus) и принимает новый логотип. В этом месяце также был обнаружен опасный и технологически совершенный вирус "Hybris", автором которого стал известный бразильский вирусописатель по прозвищу Vecna. Он развил идею своего первого самообновляющегося вируса "Babylonia" и учел ранее допущенные ошибки. Главным нововведением было использование как Web сайтов, так и электронных конференций (в частности alt.comp.virus) для загрузки новых модулей вируса на зараженные компьютеры. Если Web сайт можно было оперативно закрыть, то электронная конференция стала идеальным вариантом для распространения обновлений - уж ее-то закрыть не так просто. Кроме того, для идентификации настоящих вирусных модулей, т.е. действительно выпущенных автором, Hybris использовал 128-битных электронный ключ RSA для их шифрования. В целом в 2000 году электронная почта еще раз доказала, что именно она стала основным средством транспортировки вредоносных кодов. Согласно статистике службы технической поддержки "Лаборатории Касперского", около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Этот год также был отмечен всплеском активности создателей вирусов к Linux. В целом было зарегистрировано появление 37 новых вирусов и троянских программ для этой операционной системы. Таким образом, общее количество Linux-вирусов достигло 43, причем только за 2000 г. их рост составил более чем 7 раз. Наконец, произошли существенные изменения в вирусных "чартах". Если раньше все верхние места наиболее распространенных вирусов прочно удерживали макро-вирусы, то в 2000 г. их место заняли скрипт-вирусы. 2001 2001 год был отмечен определенными успехами антивирусных компаний в разработке новых и совершенствовании существующих технологий защиты от вредоносных программ. В то же время в этом году наблюдался дальнейший рост числа пострадавших от вирусных атак. Основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, CodeRed, Nimda, Aliz, BadtransII и др.). Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam. Традиционное доминирование традиционных файловых вирусов постепенно сходит на нет и основным способом размножения для вредоносных программ становится передача своего тела по локальным и глобальным сетям. Ошибки в системах безопасности Брешь - это ошибка в обычной программе, через которую злоумышленник может незаметно внедрить на компьютер вредоносный код. Опасность вирусов, использующих бреши, в том, что их активация происходит автоматически и практически не зависит от действий пользователя. Например, для заражения червем Nimda достаточно открыть письмо даже в окне предварительного просмотра. Червь CodeRed не требует и такого вмешательства - он самостоятельно
далее4
