Добавлен: 09.11.2023
Просмотров: 81
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
6 ВИРУСЫ В WINDOWS
В 1995 году официально вышла новая версия Windows — Windows 95. На пресс-конференции, посвящённой её выходу, Билл Гейтс заявил, что с вирусной угрозой теперь покончено. Действительно, на момент выхода Windows была весьма устойчива к имеющимся вирусам для MS-DOS. Однако уже в августе появляется первый вирус для Microsoft Word (Concept), который за несколько недель распространился по всему миру.
В 1996 году появился первый вирус для Windows 95 — Win95.Boza. В марте 1996 года на свободу вырвался Win.Tentacle, заражающий компьютеры под управлением Windows 3.1. Эта была первая эпидемия, вызванная вирусом для Windows. Июль 1996 отмечен распространением Laroux — первого вируса для Microsoft Excel. В декабре 1996 появился Win95.Punch — первый резидентный вирус для Win95. Он загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.
В феврале 1997 года отмечены первые макровирусы для Office97. Первые из них оказались всего лишь «отконвертированными» в новый формат макровирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97. Март 1997: ShareFun — макровирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS-Mail. Он по праву считается первым mail-червём. В июне появляется и первый самошифрующийся вирус для Windows 95.
В апреле 1997 года появляется и первый сетевой червь, использующий для своего распространения File Transfer Protocol (ftp). Так же в декабре 1997: появилась новая форма сетевых вирусов — черви mIRC.
Начало 1998 года отмечено эпидемией целого семейства вирусов Win32.HLLP.DeTroie, не только заражавших выполняемые файлы Win32, но и способных передать своему «хозяину» информацию о заражённом компьютере.
Февраль 1998: обнаружен ещё один тип вируса, заражающий формулы в таблицах Excel — Excel4.Paix. В марте 1998 года появился и AccessiV — первый вирус для Microsoft Access, также в марте был обнаружен и Cross — первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились ещё несколько макровирусов, переносящих свой код из одного Office-приложения в другое.
В феврале-марте 1998 отмечены первые инциденты с Win95.HPS и Win95.Marburg, первыми полиморфными Win32-вирусами. В мае 1998 началась эпидемия RedTeam, который заражал EXE-файлы Windows, и рассылал заражённые файлы при помощи электронной почты Eudora.
В июне началась эпидемия вируса Win95.CIH (из-за даты активации 26 апреля также известного как «Чернобыль»), ставшая самой разрушительной за все предшествующие годы. Вирус уничтожал информацию на дисках и перезаписывал Flash Bios, что вызвало физические неисправности у сотен тысяч компьютеров по всему миру.
В августе 1998 появилась широко известная утилита BackOrifice (Backdoor.BO), применяемая для скрытого администрирования удалённых компьютеров и сетей. Следом за BackOrifice были написаны несколько других аналогичных программ: NetBus, Phase и прочие.
Также в августе был отмечен первый вирус, заражающий выполняемые модули Java — Java.StangeBrew. Этот вирус не представлял какой-либо опасности для пользователей Интернет, поскольку на удалённом компьютере невозможно использовать необходимые для его размножения функции. Вслед за ним в ноябре 1998 появился и VBScript.Rabbi. Интернет-экспансия скриптовых вирусов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса (HTML.Internal).
1999 год прошёл под знаком гибридного вируса Melissa, побившего все существовавшие на тот момент рекорды по скорости распространения. Melissa сочетал в себе возможности макровируса и сетевого червя, используя для размножения адресную книгу Outlook.
Правоохранительные органы США нашли и арестовали автора Melissa. Им оказался 31-летний программист из Нью-Джерси, Дэвид Л. Смит. Вскоре после ареста Смит начал плодотворное сотрудничество с ФБР и, учтя это, федеральный суд приговорил его к необычно мягкому наказанию: 20 месяцам тюремного заключения и штрафу в размере 5 000 долл. США.
В апреле был найден и автор вируса CIH (он же «Чернобыль»), которым оказался студент Тайваньского технологического института Чень Инхао (陳盈豪, CIH — его инициалы). Однако, из-за отсутствия жалоб на действия вируса со стороны местных компаний, у полиции не было оснований для его ареста.
Также в 1999 году был отмечен первый macro-вирус для Corel — Gala. в начале лета 1999 грянула эпидемия Интернет-червя ZippedFiles. Этот червь интересен тем, что являлся первым упакованным вирусом, получившим широкое распространение в «диком» виде.
2003-2012 эпидемия вируса Win32.Sality (авторское название КуКу). Данный полиморфный вирус состоит из нескольких частей, использует систему шифрования и маскировки. Изменяет содержимое исполняемых файлов, что делает невозможным их полное восстановление. В связи со сложным поведением и средствами маскировки, лечение данного вируса представляет собой невыполнимую задачу для обычного пользователя. Зараженный компьютер становится частью cети Sality, являющейся одной из самых крупных ботнет сетей в мире.
7 ВИРУСЫ XXI ВЕКА
7.1 2001 — атака на сервера
После неимоверного успеха «почтовых вирусов» антивирусные компании закрывают дыры в безопасности и вирусы переключаются на публичные сайты и сервера. Собственно с 2001 года и можно отсчитывать современную эпоху в компьютерной безопасности. Один за одним идут «серверные вирусы»: Code red — вирус, использующий уязвимости Microsoft Internet Information Server. Также известный как Bady, Code Red предназначался для нанесения максимального ущерба, все зараженные им сайты выглядели соответственно. После этого вирус начинал поиск других уязвимых сайтов. Приблизительно через 20 дней все веб сайты должны были начать DDoS (distributed denial of service) атаку на определенные IP адреса, включая Web-сервер Белого Дома. Меньше чем через неделю, вирус заразил около 400,000 серверов. Ущерб составил $3 миллиарда.
7.2 2003 — заражение сайтов
Сразу два червя начинают массовое заражение интернет-сайтов: Blaster и Sobiq. За первые же сутки Собик производит более миллиона собственных копий. Цель вируса — получить все возможные электронные адреса хранящиеся на компьютере и передать им свою копию. Ну а MSBLAST.exe не нуждается в представлении, думаю, все помнят его в лицо:
Главной задачей мсбласта была DDOS атака на сайт windowsupdate.com — все зараженные машины с 16 августа начинают беспрерывно отправлять запросы на обновление системы и сайт падает, не выдержав нагрузки.
Совокупный ущерб от червей составил $20 миллиардов. Microsoft объявило награду в 250,000 $ для любого, кто может предоставить информацию о создателе Sobiq.F. Ищут до сих пор. Побочным эффектом обоих червей стал колосальный рост интернет-траффика. Этот эффект нашел свое применение уже в следующем году.
7.3 2004 — интернет останавливается
Неизвестная группа хакеров запускает цепную реакцию из трех коварных червей. 18 января интернет поражает 100 модификаций червя Bagle. Он рассылает себя по почте как и Собик, но при этом на зараженном компьютере открывается доступ к порту TCP, который может использоваться для выуживания злоумышленником любой интересующий его информации. Все копии вируса самоуничтожаются 28 января 2004 года.
А уже 26 января начинается эпидемия MyDoom. Распространялся по почте и через пиринговую сеть Kazaa. Но в этот раз эффект почувствовали не только пораженные машины — на пике эпидемии червь увеличил загрузку интернета на 10 процентов, а время загрузки Web-сайтов на 50%.
Результат был настолько успешен, что в первые часы инфицирования на каждые 10 отосланных писем приходилось одно инфицированное этим вирусом. MyDoom был запрограммирован на прекращения своего распространения после 12 февраля 2004 года.
30 апреля интернет добивает третий червь — Sasser. Используя уязвимости Windows 2000 и XP вирус достиг значительных успехов и вызвал отключение спутниковой связи для нескольких французских новостных агентств. Также этот вирус вызвал отмену нескольких авиарейсов копании Delta Airline и отключение компьютеров многих компаний во всем мире. После успешного копирования, червь начинал поиск других незащищенных систем и копировал себя. Зараженные этим вирусом компьютеры отличались редкой нестабильностью работы и частыми перезагрузками, вызванными в сбое процесса lsass.exe:
В итоге расследования автором вирусов был назван 17-летний школьник из Германии, запустившим мировую эпидемия в качестве подарка себе на день рождения. Из-за несовершеннолетия он избежал какого-либо наказания.
С этого момента эксперты перестают подсчитывать ущерб от вирусов, т.к. суммы переваливают за десятки и сотни миллиардов долларов.
В ноябре 2004 года появляется и первый червь распространяющийся только через веб-сайты. Santy был написан на скриптовом языке Perl и использующий уязвимости форумов на phpBB. Вирус просто отправлял в гугл запрос, содержащий строку «Powered by phpBB», и получал таким образом адреса атакуемых форумов. Затем, сформировав некорректный запрос к файлу viewtopic.php, получал возможность выполнять на сервере произвольный код и заменял содержимое всех файлов с расширением asp, htm, jsp, php, phtm, shtm на «This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X», где X — номер поколения червя.
Уже за сутки с момента своего появления 20 декабря 2004 червём было удачно атаковано 40 тысяч сайтов. На вторые сутки Google уже не проводил поиск по фразе «Powered by phpBB». После этого появились модификации червя, использующие другие поисковые системы.
7.4 2007 — эра ботнетов
Теперь вирусы не просто инфицируют сайты, они создают ботнеты и защищают их. Червь Storm появился 17 января 2007 года и только за первую неделю заразил два миллиона компьютеров.
По инерции Storm называют «червём», хотя на самом деле эта зараза комплексного характера, и помимо метода распространения, характерного для почтовых червей, Storm Worm имеет функции трояна/бэкдора, а также может выполнять роль «DDoS-бота» — программы, используемой для проведения DDoS-атак.
Но главной проблемой является даже не сам червь, а созданная им сеть заражённых компьютеров. Её точные размеры точно не известны, но по некоторым оценкам, количество компьютеров-«зомби» уже перевалило за несколько десятков миллионов. Таким образом, совокупная вычислительная мощь ботнета, созданного Storm, может в разы превосходить самые мощные суперкомпьютеры планеты.
Известный специалист в области компьютерной безопасности Брюс Шнайер в октябре утверждал, что размеры ботнета по-прежнему колеблются между 1 и 50 миллионами. По мнению Шнайера, Storm — это будущее вредоносных программ как таковых. Ботнет Storm ведёт себя как колония муравьёв с чётким распределением ролей между машинами.
Эпидемия червя началась с компьютеров в Европе и Соединенных Штатах 19 января 2008 года, когда, прикрываясь темой урагана в Европе, пользователям повалились письма с предложением открыть вложенный файл с названиями Full Clip.exe, Full Story.exe, Read More.exe или Video.exe.
Все попавшиеся на удочку машины автоматически объединялись в ботнет, но в отличие от других сетей, он не использовал специальный управляющий сервер, доступ к которому легко перекрыть. Принцип управления Storm больше напоминает пиринговую сеть, в которой зараженные ноды подключаются к своему управляющему хосту (он руководит обычно 30-45 зомби), а хосты взаимодействуют между друг другом. Причем роль хоста в случае необходимости может занять любая из нод. Вся сеть устроена так, что полного списка нодов нет ни у кого, поэтому точные размеры ботнета так и остались загадкой.
Помимо функций по работе с ботнетом, Storm устанавливает в системе руткит: Win32.agent.dh, посредством которого держатели ботнета могли стащить любую конфиденциальную информацию, рассылать спам и устраивать мощные DDoS-атаки.