ИТ-ИНДУСТРИЯ

24.11.2010 Автор: Игорь Грень Версия для печати

Самые знаменитые компьютерные вирусы и черви

С того самого дня, как был изобретен компьютер, определенные умы занимались созданием программ, предназначенных не для облегчения вычислений или ускорения работы вычислительных машин, а для создания хаоса. Вредоносные программы, написанные ими за все эти годы и известные как компьютерные вирусы и черви, успели нанести значительный ущерб компьютерам по всему миру.

На заре компьютерной эры действие этих программ было направлено на поражение отдельных ПК, так как лишь небольшая часть компьютеров имела подключение к Сети. Но вычислительные технологии совершенствовались, росла роль Интернета в жизни людей и компьютеров и создатели вирусов также вышли на новый плацдарм. Они получили возможность производить атаки через Всемирную паутину, причиняя гораздо больше вреда за меньший промежуток времени. Суммы ущерба, причиненного вирусами, росли как на дрожжах.

 Обычным пользователям компьютерные вирусы могут показаться маленьким недоразумением или даже приключением, доставляющим всего лишь некоторые неудобства. Но если представить более широкую картину, то можно увидеть полностью парализованные после вирусной атаки компьютерные системы государственных учреждений, университетов и школ, предприятий и фирм.

 Эти вирусы и черви распространяются быстрее, чем вирус гриппа. От чего, конечно, страдает современный бизнес, ведь он имеет очень высокую зависимость от компьютерных систем и сетей передачи данных в области производства, реализации товаров и предоставления услуг. Вирусная атака может привести к миллионам и даже миллиардам долларов убытков. Хотя не все вредоносные компьютерные программы были разрушительными в глобальном масштабе, но все они так или иначе вызвали значительный ущерб на том или ином этапе ИТ-технологий. В нашем списке пятнадцать самых знаменитых разрушительных компьютерных вредоносов всех времен.

 

1. BRAIN (1986)

 Brain («Мозг») был первым вирусом, удар которого был направлен на компьютеры под управлением популярной в то время операционной системы Microsoft MS-DOS. Вирус создали два брата из Пакистана, Басит Фарук Алви (Basit Farooq Alvi) и Ам-джад Фарук Алви (Amjad Farooq Alvi), и даже оставили в коде вируса номер телефона своей мастерской по ремонту компьютеров. Вирус Brain инфицировал загрузочный сектор 5-дюймовых дискет объемом 360 Кбайт (уже мало кто помнит такие флоппики). После заражения вирус постепенно заполнял все неиспользуемое пространство дискеты, делая невозможным дальнейшее ее использование.


 У вируса Brain есть еще одна пальма первенства — он был первым вирусом-невидимкой (stealth), прятал себя от любой возможности обнаружения и маскировал инфицированное пространство на диске. Из-за достаточно слабых деструктивных и разрушительных проявлений Brain часто оставался незамеченным, так как многие пользователи обращали мало внимания на замедление скорости работы флоппи-дисков.

 

2. MORRIS (1988)

 Автор вируса — аспирант Корнельского университета Роберт Таппан Моррис (Robert Tappan Morris). Примерно 6 тыс. компьютеров, подключенных к сети Интернет, были инфицированы данным вредоносом. Кстати, отец Морриса был одним из главных экспертов правительства США по компьютерной безопасности, поэтому первые компьютеры, на которые проник не Моррис-папа, не Моррис-сын, но Morris-червь, были частью прабабушки Интернета, знаменитой сети Arpanet, а во Всемирную сеть вирус рвался через сети международных телефонных линий, кабе- ли и спутниковые каналы связи, установленные Пентагоном еще в 1969 г.

 

Позже Моррис утверждал, что червь был написан не для того, чтобы навредить, но чтобы оценить размер Интернета. Поселившись в компьютере, он проверял наличие копий себя любимого и, если их не было и он оказывался первым, засчитывал очередного «интернет-жителя». В целях более тщательного учета и во избежание повторного счета в случае удаления непрошенной программы администраторами серверов, которые были не в курсе затеянной электронной переписи, Моррис предусмотрел в своей программе функцию регенерации. Но скорость самовоспроизведения оказалась слишком высока, компьютеры заражались, затем многократно самозаражались и больше не могли работать. Это случилось непреднамеренно, однако привело к значительному ущербу.

 

3. CIH, ОН ЖЕ «ЧЕРНОБЫЛЬСКИЙ ВИРУС», ОН ЖЕ SPACEFILLER (1998)

 Этот вирус считался одним из наиболее опасных и разрушительных, потому что был способен длительное время оставаться незамеченным в памяти компьютера, заражая все запускаемые программы и приложения. Вирус CIH был выпущен в Сеть и впервые обнаружен в 1998 г. (однако пользователи познакомились с его действием в апреле 1999 г., в 13-ю годовщину аварии на Чернобыльской АЭС), инфицировал исполняемые файлы операционных систем Windows 95, 98 и ME.


 Опасной особенностью этого вируса было то, что его активация привязывалась к конкретной дате, то есть, по сути, являлась миной замедленного действия. После установленной даты вирус перезаписывал все файлы на жестком диске компьютера и полностью уничтожал его содержимое. Вирус также имел возможность модификации BIOS, после которой компьютер вообще переставал загружаться. Автором грозного вируса стал выпускник университета Тайваня Чен Инь Хау (Chen Ing Hau — CIH), который и дал ему свое имя. Вирус также известен как Spacefiller благодаря своей способности к незаметному заполнению всего свободного файлового пространства на жестких дисках компьютера, чтобы не допустить установки и запуска антивирусного программного обеспечения. Вредоносная программа вызвала значительный ущерб в ряде азиатских (и не только) стран, парализовала тысячи компьютеров.

 

4. MELISSA (1999)

 Червь «Мелисса» впервые появился на сетевых просторах 26 марта 1999 г. как очередная вредоносная программа для массовой рассылки спама, которыми и по сей день инфицированы до 20% компьютеров во всем мире. Первыми жертвами стали компьютерные сети таких крупных компаний, как Microsoft, Intel и др., которые использовали программу MS Outlook в качестве почтового клиента. Пришлось на какое-то время приостановить работу почтовых серверов по всему миру в целях предотвращения распространения вируса, ну и для того, чтобы удалить вирус из системы.


 Распространялся он по электронной почте, в том числе в виде вложения файла в формате текстового процессора MS Word. Сразу после открытия файла вирус рассылал себя по электронной почте первым 50 адресатам из списка контактов MS Outlook. Он также переписывал файлы документов в зараженном компьютере, заменяя текст на цитаты из популярного мультсериала «Симпсоны». Также червь «Мелисса» активно распространялся через новостную Usenet группу alt.sex. Создатель вируса Дэвид Л. Смит (David L. Smith) дал своему «произведению» имя знакомой стриптизерши из Флориды. Ущерб от последствий действия этого вируса оценивается в 80 млн долл. Суд Соединенных Штатов Америки приговорил Дэвид Смита к 20 месяцам лишения свободы.

 

5. ILOVEYOU, ОН ЖЕ LOVEBUG, ОН ЖЕ LOVELETTER-ВИРУС (2000)

 Вирус ILOVEYOU многие считают самым разрушительным. Он распространялся по электронной почте в 2000 г. в виде вложения в сообщения. Вирус загружал себя в оперативную память и инфицировал все исполняемые файлы.


 Пользователю было достаточно открыть письмо, содержащее вложение в виде файла LOVE-LETTER-FOR-YOU.txt. vbs, — и компьютер заражался автоматически. Затем вирус распространялся по всему жесткому диску и заражал исполняемые файлы, графические файлы изображений, а также такие аудиофайлы, как MP3. После этого вирус рассылал себя по электронной почте по всем адресам из списка контактов MS Outlook. Вирус был написан филиппинским программистом, студентом колледжа, и «случайно» выпущен им на свободу. Он распространился по всему миру за один день, заражая компьютеры сотрудников крупных корпораций и правительств, в том числе Пентагона. Эпидемия привела к 8,8 млрд долл. убытков. Основной фактический ущерб был причинен во время удаления инфекции из компьютеров, так как для этого пришлось приостановить работу почтовых серверов и даже компьютерных сетей.

 

6. CODE RED (2001)

 Мир еще не оправился от шока, вызванного эпидемией вируса ILOVEYOU, когда в середине 2001 г. пришла новая напасть — Code Red. В отличие от других вирусов, разрушительное действие этого носителя вреда было направлено только против определенных компьютеров, на которых был установлен веб-сервер под управлением Microsoft IIS (Internet Information Server). Вирус использовал неизвестную на то время ошибку в программном обеспечении. Попав в компьютер, он изменял стартовую страницу основного веб-сайта, отображая сообщение: Welcome to http://www.worm.com! Hacked by Chinese! («Добро пожаловать на worm.com! Взломано китайцами!») После чего приступал к поиску других веб-сайтов под управлением этого сервера и делал аналогичные модификации. Примерно через две недели после начала заражения вирус был запрограммирован на запуск DDoS-атак (распределенный отказ в обслуживании) на конкретные веб-сайты, в том числе сервер Белого дома. Ущерб от эпидемии Code Red оценивается в 2,6 млрд долл.


 

 

7. NIMDA (2001)

 Вирус-червь Nimda — обладатель приза за самое быстрое распространение: всего за 12 ч он успел поразить почти полмиллиона компьютеров. Это случилось 18 сентября 2001 г. Многие средства массовой информации немедленно связали появление нового вируса с недавней атакой террористов на Всемирный торговый центр и ошибочно приписали авторство «Аль-Каиде». Вирус поражал пользовательские компьютеры под управлением Windows 95, 98, Me, NT или 2000 и серверы под Windows NT и 2000. Если прочитать название вируса задом наперед, то получится admin.


 У этого червя был не один и не два, а целых пять способов распространения — через электронную почту (брешь в системе безопасности Internet Explorer, позволяющая автоматически запускать вложенный файл на исполнение), через общедоступные папки иресурсы локальных сетей, уязвимость веб-серверов под управлением Microsoft IIS (Internet Information Server), через обычный браузер с уже инфицированных сайтов, а также через бэкдоры, оставленные предшественниками — червями Code Red II и sadmind/IIS. После заражения вредонос наделял пользователя «Гость» всеми привилегиями администратора системы и открывал все локальные диски компьютера на полный сетевой доступ. Считается, что создателем червя Nimda был студент университета в Сакраменто.

 

8. KLEZ (2001)

 Klez — еще один вариант компьютерного червя, распространявшегося по Сети через электронную почту, впервые появился в конце 2001 г. Существует несколько разновидностей этого вируса. Klez заражал компьютеры под управлением ОС Microsoft Windows, используя брешь в системе безопасности Internet Explorer (движок Trident задействует такие почтовые программы, как Microsoft Outlook и Outlook Express, для отображения гипертекстового содержимого электронных писем).


 Электронное письмо с вирусом, как правило, имело текстовую часть и не менее одного вложенного в письмо файла. Текстовая часть письма включала небольшой HTML-фрейм, который автоматически открывал и запускал вирус из вложенного файла. Жертве не нужно было даже открывать вложение — вредонос все делал сам. Некоторые письма маскировались под корреспонденцию, якобы отправленную компанией Microsoft, а вложенный файл — под антивирус. Для рассылки вирус использовал адресные книги почтовых программ MS Outlook и Outlook Express, случайным образом вставляя найденные адреса в поля «Кому:» и «От кого:», значительно затрудняя поиск инфицированных компьютеров — определить источник инфекции можно было только по IP-адресу, с которого пришло письмо, содержащее вирус.

 На инфицированном компьютере Klez старался заразить все исполняемые файлы, включая содержимое архивов, обнаруживал и успешно деактивировал антивирусное программное обеспечение. Каждое 13-е число четного месяца и каждое 6-е нечетного вирус перезаписывал все файлы на дисках пораженного компьютера случайным содержимым.

 

9. BLASTER (2003)

 Вирус Blaster («Взрыватель») является еще одним видом вредоносных программ, которые распространяются не с помощью электронной почты, но через уязвимости в компьютерах под управлением операционных систем Windows 2000 и Windows X P. Эта вредоносная программа впервые была обнаружена в середине 2003 г., когда были инфицированы сотни тысяч компьютеров. Сразу после попадания вируса в компьютер отображается окно с сообщением о том, что система будет закрыта в течение нескольких минут. Также вирус был запрограммирован на запуск DDoS-атаки на серверы Microsoft в апреле 2003 г., но к моменту широкого распространения вируса эта дата уже истекла. Код вируса содержал скрытое послание к основателю Microsoft Биллу Гейтсу следующего содержания: Billy Gates, why do you make this possible? Stop making money, and fix your software! («Билли Гейтс, зачем Вы делаете это возможным? Хватит делать деньги, исправьте Ваше программное обеспечение!»)

 

 

10. SOBIG.F (2003)

 Пользователи компьютеров еще не оправились от ущерба, причиненного вирусом Blaster в 2003 г., когда появился Sobig.F, еще один массовый электронный почтальон. Ущерб от действия этого компьютерного вируса исчислялся миллиардами долларов. Вирус значительно затруднял или полностью блокировал работу интернет-шлюзов и почтовых серверов. В результате сильное замедление скорости глобального доступа к сети Интернет ощутил на себе практически каждый пользователь. Вирус собирал адреса электронной почты из различных документов, обнаруженных на дисках зараженного компьютера, затем рассылал себя по этим адресам. В течение нескольких часов после начала вспышки эпидемии Sobig.F смог отправить более миллиона копий самого себя. В сентябре 2003 г. вирус сам прекратил активность, так как был на это запрограммирован, после чего перестал представлять угрозу.

 

 

11. SQL SLAMER, ОН ЖЕ HELKERN (2003)

 Ущерб от действия вредоноса SQL Slammer был не самым серьезным в сравнении с его товарищами из группы вредоносных программ, но достаточно заметным — убытки от эпидемии 2003 г. оцениваются в 1 млрд долл. Хотя, если учитывать очень компактный код червя (всего 376 байт), то каждый байт обошелся почти в 3 млн. Червь поражал сетевые маршрутизаторы, блокируя их нормальную работу. Целью его была уязвимость в программном обеспечении веб-серверов под управлением Microsoft SQL Server. Были инфицированы только компьютеры, на которых установлено это серверное программное обеспечение, но их блокировка вызвала замедление доступа в Интернет по всему миру. Всего за десять минут вирус смог заразить тысячи серверов в разных странах.

 

 

12. BAGLE (2004)

 Bagle был еще одним вариантом классического вредоносного ПО для массовой спам-рассылки, но значительно модернизированным. Впервые был обнаружен в 2004 г., привычно заражал компьютеры пользователей через вложение к электронному письму, также использовал электронную почту для распространения. В отличие от предыдущих спам-вирусов, Bagle не полагался на адресную книгу почтовой программы MS Outlook, чтобы составить список адресатов, по которому можно разослать себя же. Он собирал все адреса электронной почты из различных документов, хранящихся в файлах на зараженном компьютере, — от обычных текстовых файлов до электронных таблиц MS Excel.


 Особая опасность данного вредоноса состояла в том, что на пораженном компьютере он открывал черный ход, через который удаленный пользователь, вероятно, автор или группа хакеров, мог получить доступ и контроль над зараженным компьютером. Эта лазейка помогала загрузить дополнительные компоненты либо программу-шпион для кражи информации у пользователей или запустить DDoS-атаку на определенные сети и компьютеры. Хотя оригинальный вирус Bagle прекратил распространение после января 2004 г., сегодня сотни вариантов и разновидностей этого вируса все еще имеют хождение по Сети.

 

13. SASSER (2004)

 Написанный 17-летним немецким студентом в 2004 г., Sasser был еще одним компьютерным червем, поразившим тысячи компьютеров. Sasser не распространялся через электронную почту и не требовал вмешательства человека, чтобы заразить компьютер. Он использовал ту же дыру, что и Blaster, — проникал в компьютеры через уязвимость ОС Windows 2000 и Windows X P, известную как RPC (Remote Procedure Call, удаленный вызов процедур). Sasser успешно инфицировал и вывел из строя тысячи ком- пьютерных сетей всего за несколько дней. После заражения компьютера он был запрограммирован на подключение к сети Интернет для поиска других уязвимых машин, чтобы заразить их.

 

 

14. MYDOOM (2004)

 Скачкообразное возрастание интернет-трафика из-за действия MyDoom сказалось даже на работе поисковика Google, хотя это был просто очередной вредонос для массовой рассылки сообщений. Соответственно, основным способом его распространения стала, как и следовало ожидать, электронная почта. MyDoom также успешно расходился по сети Интернет через инфицированное программное обеспечение файлообменника KaZaA.   


 Первое его появление на интернет-сцене состоялось в 2004 г., а результатом продолжительных «оваций» инфицированных компьютеров стало 10%-ное замедление скорости передачи данных. Доступ к некоторым веб-сайтам был ограничен на 50%. После заражения почтовый червь просматривал все адресные книги и списки контактов на компьютере жертвы и рассылал себя по найденным адресам. Было отмечено, что в течение первых дней каждое десятое электронное письмо содержало в себе MyDoom. Остановить распространение удалось только через месяц.

 

15. CONFICKER, ОН ЖЕ DOWNUP, ОН ЖЕ DOWNADUP, ОН ЖЕ KIDO (2008)

 Червь Conficker, атаковавший компьютеры под управлением операционной системы Microsoft Windows, впервые был обнаружен в 2008 г. Это была самая крупномасштабная эпидемия со времен распространения вируса SQL Slammer 2003 г. Для проникновения в компьютер Conficker использовал некоторые уязвимости ОС Windows, а чтобы получить привилегии администратора, подбирал пароль админа по словарю и связывал пораженные компьютеры в единую виртуальную сеть, готовую выполнять любые команды и задачи, поставленные создателем вируса, — ботнет. Эта сеть насчитывала более 8 млн компьютеров в 200 странах мира. Противостоять заражению было чрезвычайно трудно, так как вирус использовал целый ряд новейших технологий для распространения и внедрения вредоносного программного обеспечения. Первый вариант червя начал поражение компьютеров в ноябре 2008 г. благодаря известной уязвимости сетевой службы (MS08-067) на машинах под управлением Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 Beta. Даже свежайшая на то время операционка Windows 7 имела аналогичную уязвимость, от массового заражения ее спас запоздалый выход на широкую публику в январе 2009 г. Хотя Microsoft и выпустила соответствующий набор исправлений еще 23 октября 2008 г., установить патч на все компьютеры просто не успевали. Приблизительно 30% всех персоналок под управлением ОС Windows являлись носителем вируса до января 2009 г.


 Вторая версия червя появилась в Сети в декабре 2008 г., она уже обладала способностью распространяться внутри локальных сетей через общедоступные сетевые ресурсы, и это стало решающим фактором в скорости распространения вируса. Число инфицированных компьютеров на январь2009 г. оценивается в 9–15 млн. Всего известно пять модификаций вируса, которые получили названия A, B, C, D и Е соответственно. Каждый новый вариант обладал новыми стратегиями проникновения и распространения, автоматически обновляя себя до более «продвинутой» версии, подгружая все новое и новое вредоносное ПО на инфицированный компьютер. И прежде всего отключал ряд системных сервисов, таких как автоматическое обновление Windows, центр обеспечения безопасности, брандмауэр, систему оповещения об ошибках.

 Вредонос прячется под различными типами данных, меняя имена и расширения, поэтому при проверке компьютера антивирусным сканером рекомендуется включать опцию «Все типы файлов». Microsoft разработала специальную утилиту для обнаружения и удаления вредоносного ПО — Microsoft Software Removal Tool (MSRT). После переустановки операционной системы настоятельно рекомендуется инсталлировать полный набор свежайших обновлений для повышения безопасности системы.

 

ЧТО ДЕЛАТЬ?

 Основная причина значительного ущерба, который причинили эти компьютерные вредоносы во всем мире, объясняется тем, что большинство людей не знали о существовании таких угроз и не были защищены от них. Сегодня тысячи и тысячи компьютеров в Сети остаются инфицированными или заражаются старыми и новыми вирусами.

 Чтобы этого избежать, очень важно иметь хорошую антивирусную программу и регулярно обновлять антивирусные базы. Другие меры безопасности включают использование межсетевого экрана (брандмауэра) и обновление программ, которые вы используете для доступ в Интернет, в том числе почтовые клиенты, серверное программное обеспечение и интернет-браузеры.

Поделиться:

Возврат к списку

Читайте также