История развития вирусов 1990-2003 годы

     5 мая грянула попавшая в Книгу  рекордов Гиннеса эпидемия скрипт-вируса LoveLetter. Сразу же после запуска  он уничтожал на дисках файлы  нескольких типов и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook. Открытость исходного кода скрипт-вирусов предопределила появление на свет новых модификаций вируса на протяжении всего года — всего их было зафиксировано около сотни.

     6 июня был обнаружен Timofonica — первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Помимо распространения по электронной почте, вирус посылал сообщения на случайные номера мобильных телефонов испанской сотовой сети MoviStar, принадлежащей телекоммуникационному гиганту Telefonica. Более никаким образом вирус на мобильные телефоны не влиял. Несмотря на это, многие средства массовой информации поспешили назвать Timofonica первым сотовым вирусом.

     В июле хакерская группа Cult of Death Cow представила новую версию известной утилиты несанкционированного удаленного администрирования Back Orifice 2000 (BO2K). Это произошло на ежегодной конференции DefCon (названной в пику конференции DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности, новая версия программы представляла никак не большую опасность, нежели ее предшественница и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой BO2K стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже процедурой инсталляции. Несмотря на это, она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как троянец класса Backdoor.

     В июле же появились сразу три исключительно  интересных вируса. Star стал первым вирусом  для пакета AutoCAD. Вирус Dilber отличился  тем, что содержал коды сразу пяти вирусов, среди которых CIH, SK, Bolzano и  др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище «Шаттл, полный вирусов».

     Третьим стал интернет-червь Jer, использовавший новый метод проникновения на компьютер — через веб-сайт. Автор  червя поместил на одну из веб-страниц скрипт-программу (с телом червя), которая автоматически активизировалась при открытии этой страницы. Система безопасности интернет-браузера при этом выдавала сообщение о возможной опасности и предложение разрешить или запретить выполнение данного действия. Расчет был сделан на то, что какая-то часть пользователей положительно ответит на предупреждение, чем даст возможность червю проникнуть в компьютер. А для того, чтобы привлечь больше пользователей — зараженный веб-сайт был «разрекламирован» автором червя в IRC-каналах. Появление этого червя стало сигналом о вхождении в моду новой технологии «раскрутки» вируса в интернете. Сначала червь помещается на веб-сайт, а потом проводится массированная рекламная компания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто пропустит его на свой компьютер.

     В августе был обнаружен Liberty —  первая троянская программа для  операционной системы PalmOS карманных  компьютеров Palm Pilot. При запуске троянец стирал файлы, но не имел никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS — Phage, который стирал исполняемые файлы и на их место записывал свой код.

     В начале сентября был обнаружен первый известный компьютерный вирус (Stream), способный манипулировать «дополнительными потоками» (Alternate Data Streams — ADS) файловой системы NTFS. Как оказалось, практически все антивирусные продукты не были подготовлены к такому развитию событий — ни один сканер не был способен обнаружить вредоносный код, спрятанный в «дополнительных потоках» NTFS.

     В октябре появились Fable — первый вирус, скрывающийся в информационных файлах PIF, и Pirus — первый вирус, написанный на скрипт-языке PHP. Оба вируса так  и остались достоянием вирусных коллекций и не были обнаружены в «диком виде».

     В ноябре был обнаружен опасный  и технологически совершенный вирус Hybris, основной отличительной чертой которого было использование модульной  архитектуры с возможностью обновления модулей. Главным нововведением был необычный способ загрузки новых модулей вируса на зараженные компьютеры. Для этого использовались не только веб-сайты, но и электронная конференция, в частности конференция alt.comp.virus. Если веб-сайт можно было оперативно закрыть, то электронная конференция стала идеальным вариантом для распространения обновлений — уж её-то закрыть не так просто.

     В 2000 году основным средством транспортировки  вредоносных кодов стала электронная  почта — около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Этот год также был отмечен всплеском активности создателей вирусов к Linux. В целом было зарегистрировано появление 37 новых вирусов и троянских программ для этой операционной системы, причем только за один год рост их количества составил более чем 7 раз. Наконец, произошли существенные изменения в вирусных «чартах». Если раньше все верхние места наиболее распространенных вирусов прочно удерживали макро-вирусы, то в 2000 году их место заняли скрипт-вирусы. 

     2.12 2001 год

     Январь: Ramen — первый известный червь, заражавший системы RedHat Linux. Распространял свои копии (заражал удаленные Linux-системы) при помощи уязвимости в модулях RedHat Linux (так называемая ошибка «переполнение буфера»). На заражённых системах искал стартовые страницы веб-сайтов и заменял их содержимое. Поскольку Linux-системы часто используются как веб-сервера, то многие веб-сайты изменили свой внешний вид.

     Февраль: Первый червь, использующий для своего распространения сети обмена файлами (P2P-сети). Получил название Mandragore, для заражения использовал P2P-сеть Gnutella. Использовал достаточно необычный метод — регистрировал себя как сервер сети и при каждом обращении (при поиске какого-либо конкретного файла удалённым пользователем сети) посылал ответ, что такой файл есть — и в качестве файла отдавал пользователю свою копию.

     Также в феврале произошла очередная  глобальная эпидемия почтового VBS-червя Lee, более известного вод именем Kournikova. Вирус подделывался под информацию про популярную российскую теннисистку Анну Курникову и распространялся в виде вложений в письмо с именем AnnaKournikova.jpg.vbs. Инцидент получил широкую огласку в прессе — фактически он стал главной новостью дня.

     Март: эпидемия крайне сложного полиморфного вируса-червя Magistr. Для своего распространения он использовал электронную почту, копировал себя на доступные сетевые диски и заражал исполняемые файлы.

     В мае произошла первая известная  атака на интернет-кошельки пользователей российской платёжной системы WebMoney (троянская программа Eurosol). Повторная атака на WebMoney была зафиксирована в октябре того же года. Троянская программа KWM также охотилась за персональными данными пользователей этой системы интернет-платежей.

     13 июля (некоторые источники — 12 июня): эпидемия пакетного («безфайлового») червя CodeRed. Используя ошибку в  обработке сетевых пакетов Microsoft IIS (Internet Information Services) червь передавал  свой код на другие сервера  в сети и запускал себя на  выполнение. При этом никакие файлы на диске не создавались — червь существовал только в оперативной памяти зараженных компьютеров и в сетевых пакетах. Заражены были тысячи компьютеров по всему миру — при этом под удар попали только компьютеры под управлением MS Windows 2000. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например Windows NT и Windows XP. Ситуацию осложнял также тот факт, что антивирусные компании оказались не готовы к предотвращению подобной атаки. Для защиты от червя необходим был межсетевой экран, что в те времена еще не являлось стандартом защиты от сетевых вирусов.

     Червь, помимо заражения компьютеров, имел и другие побочные действия. Во-первых, он перехватывал обращения посетителей  к веб-сайту, который управлялся зараженным IIS-сервером, и вместо оригинального содержимого передавал им текст «Hacked by Chinese!». Во-вторых: между 20 и 28 числами каждого месяца включительно червь осуществлял сетевую атаку (DDoS) на сайт Белого дома США (www.whitehouse.gov). Атака оказалась успешной — 20 июля 2001 официальный сайт Белого дома перестал отвечать на запросы.

     Следом  за CodeRed появляются еще два червя, использующие для своего распространения  аналогичные методы — CodeGreen и BlueCode (обнаружены 4 и 6 сентября соответственно). Особенностью CodeGreen являлся его антивирусный функционал: он искал и удалял из системы код червя CodeRed, затем скачивал и устанавливал обновление Windows, которое закрывало дыру, через которую проникали перечисленные выше черви. Таким образом, червь «лечил» зараженные компьютеры и «латал» дыру в системе безопасности.

     18 июля: начало глобальной эпидемии  почтового червя SirCam. Особенность  этого червя заключалась в  том, что он прицеплял к своему  коду случайно выбранные на  зараженном компьютере файлы MS Office (документы Word и таблицы Excel). При запуске на очередном компьютере червь «показывал» эти файлы и таким образом маскировал факт своего внедрения в систему. В результате эпидемии в электронной почте можно было найти самые разнообразные документы, включая строго конфиденциальные — банковская информация, коммерческие договора, был обнаружен даже проект бюджета одного восточноевропейского государства.

     18 сентября зафиксирована глобальная  эпидемия червя Nimda, который для  своего распространения по сети использовал три разных способа: через электронная почту, через веб-сайты и копируя себя на доступные сетевые ресурсы. При этом червь для автозапуска из заражённых писем использовал дыру в Internet Explorer, а для проникновения на веб-сайты новую дыру в программах от Microsoft — уязвимость в IIS (Internet Information Services).

     Ноябрь: очередные эпидемии почтовых вирусов  — Aliz, обнаруженный ещё в мае 2001, и BadTransII. Для проникновения с систему  оба червя также использовали дыру в системе безопасности Internet Explorer.

     В целом, 2001 г. характеризуется первыми  и весьма масштабными эпидемиями сетевых червей, использующих для  своего проникновения в систему  различные дыры в операционных системах и установленном программном  обеспечении. При этом распространение идёт не только через традиционную электронную почту, но и через веб-сайты, интернет-пейджеры (ICQ), сетевые ресурсы, IRC-чаты и P2P-сети.

     Следует также отметить массовую атаку на Linux. Первым был червь Ramen, обнаруженный 19 января и за считанные дни поразивший большое количество крупных корпоративных систем. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты. Практически все вредоносные программы для этой операционной системы использовали известные уязвимости в системах безопасности Linux. Считая Linux абсолютно защищенной системой, пользователи недостаточно ответственно отнеслись к необходимости своевременной установки заплаток и повсеместного внедрения антивирусных программ — и в результате многие из них оказались жертвами Linux-червей.

     2001 год также оказался необычайно  богатым на вирусные мистификации. Всего за два первых месяца  года было зафиксировано около  10 «предупреждений» о «новом опасном  вирусе», массово пересылаемых друг другу напуганными пользователями. Наиболее заметными и получившими широкое распространение стали мистификации California IBM, Girl Thing и SULFNBK.EXE. Также большой переполох наделало заявление некоторых западных информационных агентств о том, что 14 февраля, в день Св. Валентина, случится эпидемия нового варианта червя ILoveYou. Некоторые из мистификаций оказались настолько удачными, что с ними можно было столкнуться и в последующие годы.

     К мистификациям, судя по всему, следует  отнести и слухи про планы Федерального бюро расследований (ФБР) США разработать собственную троянскую программу под кодовым названием «Волшебный фонарь» (Magic Lantern), которая будет использоваться для слежки за лицами, подозреваемыми в совершении разного рода преступлений. От самого ФБР так и не последовало никаких комментариев по этому поводу. Вместе с тем, по сведениям из прессы, две американские антивирусные компании согласились не заносить «Волшебный фонарь» в свои антивирусные базы данных, что вызвало неоднозначную реакцию среди их пользователей. 

     2.13 2002 год

     Январь: появление почтового червя Myparty, искусно маскировавшегося под ссылку на веб-сайт. Червь мастерски пользовался  тем, что «.com» является распространённой доменной зоной интернета — и  совпадает со стандартным окончанием исполняемых файлов Windows.

     Март: эпидемия червя Zircon, июль: Lentin, сентябрь: Tanatos (BugBear), октябрь: Opasoft — всего  за год было зафиксировано 12 крупных  и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов.

     Но  несомненным лидером по количеству вызванных в 2002 г. инцидентов является интернет-червь Klez, впервые обнаруженный 26 октября 2001 г. Модификации этого  червя поставили своеобразный рекорд — еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться в лидерах вирусных топ-листов. Особо свирепствовали две разновидности этого червя — Klez.h (обнаружен 17.04.2002) и Klez.e (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны тем или иным вариантом червя Klez.

     В середине мая был обнаружен сетевой  червь Spida, заражающий SQL-серверы. Для  проникновения в сервер червь  пользовался очередной уязвимостью. Также в мае появился Benjamin — первый червь, распространяющийся по файлообменной сети KaZaA.