Компьютерные вирусы: тридцать лет бесчинств Юрий Ильин

Компьютерные вирусы: тридцать лет бесчинств

Юрий Ильин

Опубликовано 19 октября 2010 года

Компьютерные вирусы, кажется, давно уже никто не воспринимает, как нечто из ряда вон выходящее и смертельно опасное (за исключением, возможно, Stuxnet, но о нём разговор отдельный). Это уже просто данность.

Так было, понятное дело, не всегда: случались и массированные паники, и громогласные пророчества со стороны антивирусных компаний, предрекающих, что вирусы скоро устроят конец если не света, то интернета точно, ну и многочисленные городские легенды про компьютерные вирусы, способные вызывать припадки эпилепсии и инсульт у людей, сидящих за компьютерами. Как и любые другие конспирологические теории и городские легенды, опровергать и развенчивать их бессмысленно и невозможно.

Самый первый вирус был создан как экспериментальная программа, демонстрирующая способность компьютерного кода самовоспроизводиться без участия человека. Сейчас компьютерные вирусы — средство заработка как для тех, кто их пишет, так и для тех, кто с ними борется: и с той и с другой стороны имеет место быть отличный бизнес, правда, со стороны вирусописателей — сугубо криминальный, но зато какой доходный!

Самый ранний из известных вирусов писался в порядке эксперимента — исследовалась возможность автоматической саморепликации компьютерного кода. Боб Томас, сотрудник ИТ-компании BBN Technologies, написал программу, получившую название Creeper («ползун», читается как «крипер»), — вполне натурального «червя», который «заражал» компьютеры DEC PDP-10 на базе ОС TENEX, используя в качестве средства распространения ARPANET.

На экране заражённой системы появлялась надпись «Я — ползун, поймай меня, если сможешь». Позднее, в соответствии с золотым принципом «клин клином вышибают», была написана программа Reaper («жнец», читается как «рипер»), которая отыскивала и истребляла копии «крипера».

Остаётся добавить, что BBN Technologies занималась разработкой метода пакетной коммутации (packet switching) для APRANET — и, в итоге, того, что станет интернетом. То есть, получается, что «черви» и интернет родились практически одновременно. Хотя стоит уточнить: термины «вирус» и, тем более, «червь» в отношении компьютерных программ тогда ещё не применялись.

Само понятие «компьютерный вирус» появилось в 1983-1984 годах благодаря профессору информатики в Университете Южной Калифорнии Леонарду Эдлману (Leonard Adleman) и его студенту Фредрику Коэну (Frederick Cohen). Собственно термин придумал Эдлман, а Коэн — написал демонстративную паразитическую программу, способную «заражать» другие программы, внедряя в них свою копию, иногда видоизменённую. Почти так же, как действует биологический вирус.

Между тем, двумя годами раньше — в 1981 году — 15-летний гик по имени Ричард Скрента (Richard Skrenta), любитель небезобидных розыгрышей, написал первый «загрузочный» вирус (boot sector virus) для операционной системы Apple II, живенько так распространявшийся через флоппи-дискеты. Это был первый в истории случай широкого, неконтролируемого распространения вируса, который, по счастью, не причинял целенаправленного ущерба.

О том, что вредоносное программное обеспечение вообще может существовать, большинство пользователей просто не знало.

Довольно скоро, впрочем, пришлось узнать: в 1986 году братья Басит и Амджад Фарук Альви написали программу (c)Brain, вирус, который заменял загрузочный сектор флоппи-диска своей копией, а сам этот сектор угонял в другое место и метил как непригодный (bad sector). Вирус создавал на дискете до пяти килобайт испорченных секторов, замедлял работу дисководов и делал около 7 килобайт оперативной памяти недоступной для DOS.

Как потом объясняли братья Альви, они писали свой вирус как средство защиты своей основной программной разработки от пиратов — предполагалось, что (c)Brain позволит отслеживать пиратские копии этой программы. Братья даже честно указали в программном коде свои координаты, в частности, телефон, по которому следует звонить в случае заражения — и в итоге получили колоссальное количество звонков от возмущённых жертв своего вируса. Ничем хорошим это для них не закончилось.

1987 год оказался каким-то особенно урожайным на зловредный софт. Бельгийские офисы IBM подверглись атаке со стороны первого в истории самошифрующегося вируса Cascade, после чего в IBM начали всерьёз разрабатывать антивирусное ПО. Появился первый вирус для Commodore Amiga, и не то, чтобы совсем безобидный.

Впрочем, он был несравним с Jerusalem, вирусом для DOS, обнаруженным в октябре 1987 года. Эта безбожная тварь садилась резидентом в оперативную память и заражала все исполняемые файлы. Обходила только command.com (в своей оригинальной версии). файлы EXE Jerusalem заражал по нескольку раз, до тех пор, пока они не переставали влезать в память. Медленные машины (PC-XT) вирус мог замедлять в пять раз, на PC-AT последствия заражения были менее заметны.

Главная же проблема заключалась в том, что, начиная с 1988 года, каждую пятницу тринадцатого, этот вирус должен был уничтожать все запускавшиеся с момента заражения компьютера программы. Впоследствии у него было несколько десятков разновидностей, отличавшихся степенью деструктивности и датами уничтожения запускавшихся программ.

В декабре того же 1987 года появился Christmas Tree EXEC, репродуцирующийся вирус, парализовавший ряд международных компьютерных сетей.

В ноябре 1988 года специалисты выявили вирус, «официально» называвшийся «червём» — Morris worm.

История с ним получилась весьма драматичной. Автором «червя» явился некий Роберт Таппан Моррис, студент Корнелльского университета, который создал программу, с помощью которой хотел — по его словам — просто выяснить, сколько в мире компьютеров подключено к интернету. Непонятно, правда, почему тогда Моррис разослал своё детище из сетей Массачусеттского технологического института (MIT), а не из Корнелльского университета...

"Червь" должен был заражать машины под управлением BSD, используя самые разные уязвимости — от программных брешей до слабых паролей. Кроме того, ему полагалось самовоспроизводиться и перед заражением опрашивать каждую машину на наличие на ней своей копии. Правда, Моррису подумалось, что системные администраторы могут попытаться помешать его вирусу, настроив компьютеры так, чтобы те давали ложные положительные ответы. Поэтому автор червя настроил его так, чтобы тот в 14% случаев самовоспроизводился, вне зависимости от ответа опрашиваемых машин.

Следствием этого стала жуткая эпидемия и значительный финансовый ущерб для организаций, чьи сети оказались наглухо забиты червём Морриса. Сам Моррис, узнав о том, что натворил, заявил, что сначала должен был испытать своего червя на симуляторе. Программист оказался первым в истории человеком, осуждённым по закону 1986 года о злоупотреблениях и мошенничестве при использовании компьютерных технологий (Computer Fraud and Abuse Act), но наказан был достаточно мягко: три года условного срока и штраф в 10 тысяч долларов. Впоследствии он стал профессором в том же самом MIT.

Следующими предполагаемым чемпионом по вредоносности должен был стать вирус Michelangelo (1992 год), но не стал. Оказалось, что это СМИ развели истерику, и намалевали чёрта так страшно, что 6 марта все ждали «цифрового апокалипсиса». Не случилось.

В 1995 году на свет появился первый макровирус, использовавший уязвимости в Microsoft Word — Concept. Впоследствии макровирусы стали чрезвычайно популярны у вирусописателей. Чем больше распространялись операционные системы и офисные пакеты Microsoft, тем больше становилось макровирусов.

Стремительное распространение Microsoft Windows — со всеми множественными брешами в безопасности у ранних версий (с Windows 95 начиная) — положило начало совсем новой эпохе.

В 1998 году на свет появился чрезвычайно опасный вирус китайского происхождения, CIH. Как потом стало известно, компания Yamaha начала распространять обновлённую прошивку для своих CD-приводов CD-R400, в которой сидел этот вирус, затем с зеркала сайта Activision пошла распространяться заражённая вирусом демоверсия игры SiN, а в марте 1999 года IBM поставила клиентам несколько тысяч компьютеров Aptiva, заражённых вирусом CIH, ставшим впоследствии известным ещё и как Chernobyl. И не случайно: первый массированный удар вирус нанёс как раз 26 апреля 1999 года, в годовщину чернобыльской аварии.

Вирус заполнял первые 1024 кб загрузочного сектора нулями и выводил из строя BIOS. Для простых людей это фактически означало уничтожение компьютера.

Впоследствии CIH совершил второе пришествие, но это отдельная история.

Следующие пять лет, с 1999 по 2004 годы — это период настоящей гонки вооружения между вирусописателями, антивирусниками, программистами Microsoft и пользователями, становившимися всё менее доверчивыми к нехитрым уловкам распространителей вирусной погани.

Большая часть наиболее опасных червей этих лет использовали многочисленные уязвимости в разработках Microsoft — офисных пакетах, операционных системах Windows и Windows Server, серверных приложениях Microsoft Internet Information Services, браузерах Internet Explorer и т.д. Продукция Microsoft была крайне популярной, и крайне бранимой за свои уязвимости: для вирусописателей создание червей, эксплуатировавших бреши, стало настоящим видом спорта.

Melissa (1999) — макровирус, распространявшийся самостоятельно по электронной почте, используя адресную книгу Microsoft Outlook.

ExploreZip (1999) — вирус, уничтожавший документы Microsoft Office.

ILOVEYOU, он же LoveLetter (2000) — один из наиболее зловредных в истории вирусов. Выуживая адреса из адресной книги Outlook, рассылал сам себя по электронной почте в виде вложения с таким вот файлом: LOVE-LETTER-FOR-YOU.TXT.vbs. По умолчанию Outlook скрывал расширение VBS (а это скрипт на Visual Basic), поэтому наивному получателю казалось, что это обычный текстовый файл. А какой, спрашивается, может быть вред от открытия файла TXT? Внимание, ответ: от 5,5 до 10 млрд долларов.

Ранние версии ILOVEYOU подгружали в систему ещё и троян Barok, а более поздние (с 2001 года) «подгоняли» и старичка CIH. Уж если пакостить, так по-крупному.

2001 год — это AnnaKournikova, опять почтовый червь, притворявшийся, что во вложении письма есть фотография Анны Курниковой в чём мать родила. Автора вируса поймали и отправили на 150 часов общественных работ.

2001 год — вирус Sircam, распространявшийся по почте и через локальные сети, Code Red и Code Red II, атаковавший Microsoft IIS, червяки Nimda и Klez. Последний мог утаскивать с собой с заражённой машины на следующую какой-нибудь случайно выбранный файл.

Следующим поистине знаменательным годом стал 2003-й: SQL Slammer, Blaster/Lovesan, Sobig.F и Sober.

SQL Slammer, он же Sapphire и Helkern, из них самый выдающийся: 24 января 2003 года он устроил форменную глобальную катастрофу, оставил без интернета Южную Корею, нарушил работу банкоматов в США и серьезно замедлил работу всего интернета в целом — России тоже досталось.

Очень мелкий (менее 400 байт) и оборотистый, вирус со страшной скоростью генерировал случайные IP-адреса и сразу же отправлял туда свою копию «на удачу». За первые три минуты атаки вирус поразил 75 тысяч адресов и продолжал размножаться как тот самый пресловутый штамм Андромеды. Впрочем, атака быстро схлынула именно потому, что вирус забил все каналы связи и ему больше некуда было размножаться. Вдобавок, системные администраторы бросились латать дыры в Microsoft SQL Server, которые и использовал червь, так что его удалось быстро усмирить.

В дальнейшем (после того, как в 2004 году MyDoom стал самым стремительно распространявшимся вирусом в истории) вредоносные программы стали отчего-то куда реже привлекать к себе массовое внимание. Их не стало меньше, они изменились сами — и по форме, и по назначению.

Вирусописателям, похоже, надоело в массе своей соревноваться, чей вирус быстрее заразит всё на свете, разработчики ПО начали куда более тщательно относиться к безопасности, а рядовые пользователи сделались менее доверчивыми. Достаточно разок вляпаться, чтобы здоровая паранойя относительно «левых» вложений и странных ссылок выработалась навеки.

Сейчас у вирусописателей несколько иные интересы. Трояны и вирусы пишутся не для того, чтобы нанести прямой ущерб компьютерам, а для того, чтобы воровать личную информацию вроде номеров кредитных карт и паролей к ним (а то даже и аккаунты в онлайновых играх, благо на них тоже можно подзаработать).

Формируемые с помощью вирусов гигантские ботнеты — это тоже бизнес. Большой, добротный ботнет — ходовой товар, отличное оружие, активно используемое, кстати, в политической и конкурентной борьбе (особенно в России).

В 2007 году много шуму наделал, например, вирус Storm Worm, с помощью которого как раз и формировался мощный ботнет, объёмы которого в итоге оценивались где-то в 50 млн заражённых машин (впрочем, это наиболее пессимистичная оценка).

Через такие крупные ботнеты рассылается большая часть спама, трояны для расширения ботнета, с их помощью организуются DDoS-атаки и прочие «прелести жизни». Аренда ботнетов сейчас стала, по некоторым оценкам, совсем недорогой: 9 долларов в час.

Венцом вирусописательского творения на сегодняшний день является, возможно, всё тот же Stuxnet — просто в силу своей оригинальности: такого не видел никто и никогда.

Про него уже очень многое написано. За техническими подробностями можно обратиться, например, к статьям Бёрда Киви.

Так или иначе, Stuxnet является серьёзным оружием. Возможно, менее серьёзным, чем хотелось бы думать конспирологам, — в конце концов, он изначально предназначен для атаки на совершенно конкретные промышленные установки. Но — легка беда начала. История вирусов явно не закончена.

К оглавлению