Повсеместно проеденная паутина
| 28 Сентябрь 2008
Первым человеком на земле был, по слухам, Адам. Первым вирусом для IBM PC-совместимых машин, по тем же слухам, — некий программный код под названием Brian, поражающий загрузочные области жёстких и гибких дисков. Обнаружен он был в «дикой природе» в 1986 г., и, как утверждают всезнающие эксперты, происходил из Пакистана. Первый из вирусов, ориентированный на порчу файлов, увидел виртуальный свет в том же 1986; назывался он Virdem и был разработан в Германии. А самый первый на свете компьютерный «червь» (Worm), IBM Christmas Worm, завёлся на рабочих станциях всего лишь годом позже, в 1987. Размножался он исключительно на мэйнфреймах производства уважаемой корпорации и занимался в основном тем, что увлечённо копировал сам себя со скоростью, доходившей до 0,5 миллионов экземпляров в секунду. Соединявшиеся в сеть компьютеры заражались вирусом мгновенно.
Развитие технологий шло своим чередом, гостеприимный интернет распахнул перед немногочисленными пока пользователями створки своих шлюзов… И вот 2 ноября 1988 г. некто Роберт Моррис младший, студент последнего курса отделения компьютерных наук Корнельского университета, совершил исторический, как мы теперь понимаем, шаг. Он создал экспериментальный самовоспроизводящийся, самораспространяющийся программный код, названный им «червём», и выпустил его в интернет. Уже первый в истории Вселенной «червовод» понимал, что следов своей экспериментальной деятельности надо оставлять как можно меньше, поэтому червь отправился в своё разрушительное путешествие по сети не из Корнела, а с одного из компьютеров Массачусетского технологического института.
Даже самый первый в мире червь уже содержал программную ошибку: скорость его распространения от компьютера к компьютера оказалась существенно выше, чем предполагал его создатель. Компьютеры в окрестностях Массачусетса пугающе быстро выходили из строя один за другим — падали или зависали, и Моррис со всё нарастающим ужасом наблюдал, как дело его рук буйствует на свободе. В поисках решения проблемы он связался со знакомыми в Гарварде, и они вместе оперативно составили инструкцию для системных администраторов по дезактивации червя и защите от его проникновения. Но письмо с инструкцией далеко не ушло — коммуникации всемирной паутины были прерваны: Robert Morris' Internet Worm поразил более шести тысяч компьютеров, то есть около 10% их общего числа в тогдашнем интернете.
Этот программный код использовал для своего распространения ошибку в стандартной для UNIX-машин программе почтового обмена sendmail. Ущерб, нанесённый червем, составил от $200 до 53 тыс. на каждый поражённый компьютер: пострадали машины университетов, медицинских учреждений и даже военного ведомства США. Именно в ответ на эту атаку был сформирован CERT — «Центр реагирования на компьютерные инциденты», суммирующий и систематизирующий опыт пострадавших от всевозможных интернет-атак. С тех пор разработчики UNIX/Linux стали уделять безопасности гораздо больше внимания, а вирусописатели переквалифицировались понемногу на стремительно набиравшую популярность Windows.
Насекомая любовь
Скорее всего, Дэвид Л. Смит, программист из Нью-Джерси, действительно не имел в виду ничего плохого и не собирался наносить Всемирной паутине ущерб, исчисляемый к настоящему времени суммой $1,2 млрд. Однако червь Melissa (первый макро-вирус для MS Word) — его творение, и события весны-лета 1999 г. в Сети — дело его собственных рук.
Впервые этот вирус был обнаружен в телеконференциях USENET 26 марта 1999 г., а затем перекинулся и на обычные каналы электронной почты. Он представлял собой письмо с присоединённым файлом в формате Microsoft Word (Office 97 или Office 2000). Файл был инфицирован кодом, приводившем к рассылке зараженного письма по адресам из адресной книги пользователя. Тем самым резко увеличилась нагрузка на почтовые серверы Сети — им пришлось обрабатывать на несколько порядков больше отправлений, чем обычно. Тысячи машин по всему миру не выдержали нагрузки — они же не железные, в конце концов, а полупроводниковые! — и вышли из строя. 27 марта распространение вируса приняло характер эпидемии. К 29 марта он проник уже на компьютеры всех стран мира, подключённых к Сети, в том числе и на российские.
В итоге Дэвид Смит был обнаружен силами специальных агентов ФБР и осуждён на 20 месяцев тюрьмы (но другие источники говорят о десяти годах тюремного заключения и штрафе в размере 400 000 долларов США, а первоначальное обвинение предполагало 40 лет тюремного заключения и $480,000 штрафа). А его «Мелисса» продолжает победное шествие по земному шару даже сейчас, хоть и с гораздо меньшим масштабом. Червь этот внесён во все мыслимые базы данных антивирусных программ, однако не каждый пользователь горит стремлением установить у себя такую программу. А «Мелисса» коварна: она поражает не только операционную систему, но и тягу рядового пользователя к общению. Получая письмо с заголовком «Important message from Vassily Poupkine! Don't show to anyone else!» (Важное сообщение от Васи Пупкина! Не показывайте никому!), рядовой пользователь смекает, что перед ним большой секрет. Пользователь озирается по сторонам и не задумываясь, прикрывая экран монитора своей спиной, щёлкает мышкой по таинственному файлу: что там? И очень скоро осознаёт — что. К сожалению, бывает уже поздно.
Ещё серьёзнее оказалась эпидемия, вызванная в мае 2000 г. вирусом Love Bug (или Love Letter). Письма, содержащие незамысловатое ILOVEYOU в строке темы, посыпались на ничего не подозревающих пользователей градом. Небольшая программка на языке Visual Basic Script запускалась, стоило пользователю открыть вложенный файл Love-letter-for-you.txt.vbs. После чего, вдосталь пошарив на жёстком диске незадачливого пользователя, червь рассылал свои копии по всем адресам из адресной книги почтовой программы Outlook (Outlook Express).
Первый случай активности вируса был зафиксирован 5 мая 2000 г., а уже через сутки им были частично или полностью поражены сети ЦРУ, NASA, Министерства энергетики, конгресса США, Пентагона, британской палаты общин и ещё множества организаций. Ущерб, нанесённый червем в первые дни активности, был оценен в $9 млрд. Рекомендации по противодействию его проникновения в компьютерные системы были сформулированы и распространены незамедлительно, но ещё $9 млрд. Love Bug выгрыз таки по всему миру в бюджетах своих жертв к настоящему времени за два с лишним года обитания в Сети (примечание: статья написана в 2002 г.).
Да-да. До сих пор ещё компьютера незадачливых пользователей посещает иногда «письмо любви» — и находятся люди, спешащие его прочесть. Прочесть, не взирая на всем теперь известное правило: не следует запускать файлы, полученные неизвестно от кого, даже от лучших своих друзей и любимых, если вы не уверены до конца, что это послание именно от них!
Главной проблемой первых червей оказался тот факт, что никто не воспринял их как проблему. Ну подумаешь — самораспространяющийся код, полагают люди… Ведь никакого вреда техники он не наносит. То ли дело — настоящие, матёрые вирусы, начисто удаляющие информацию из boot-sector жёсткого диска, например! Вот это проблема!
Буря и натиск
Так считал мир, пока не наступил 2001 г. И стал он началом конца.
В июле 2001 г. интернет поражает Code Red — червь, распространяющийся благодаря использованию уязвимости веб-сервера IIS версий 4.0 и 5.0 от Microsoft. В августе эпидемия Code Red II, нацеленного на те же самые дыры, собирает новый урожай — а ведь, казалось бы, уже после первого предупреждения бдительность администраторов должна была бы повыситься! Тогда под удар попали в большинстве своём не сайты чайников, а профессионально созданные и поддерживаемые порталы.
25 июля того же года на волю вырывается SirCam, настоящий степной пожар, перекидывающийся с компьютера на компьютер через электронную почту и незащищённые сетевые «расшаренные» папки. А затем очередной паразит по имени Nimda атаковал интернет. Источником заразы, помимо уже привычных почты и общих папок, становятся ещё и веб-сайты — оказывается, вредоносный код вполне можно записать в виде исполняемого на клиентской стороне сценария.
Но настоящая эпидемия величайшего масштаба началась в конце 2001 — начале — 2002 г., когда на просторы Сети выбрался ничем на первый взгляд не примечательный червячок по имени Klez.
Модификаций у этого вредителя было немало, и первые из них вызывали у экспертов приблизительно такие комментарии: «Появился W/32 Klez.F, халтурно сделанный почтовый червь». По пятибалльной шкале угрозы этот Klez.F тянул не единичку. Единственной занимательной его особенностью было вольное обращение с электронными адресами: он умел подставлять произвольные (из доступных на данном компьютере) адреса в поля «Кому» и «От кого» того письма, в котором отправлял в большой мир свою копию, из-за чего настоящий источник его распространения было непросто отыскать.
А уже в апреле 2002 г. Паутину захлестнула эпидемия Klez.H — новой модификации червя, гораздо более вдумчиво освоившей технологию заражения и проникновения. Klez.H по-прежнему не предпринимал никаких деструктивных действий, однако вместе с собой рассылал по случайным адресам из адресной книги различные файлы с зараженного компьютера. Таким образом, произошла утечка нескольких ценных финансовых документов в Великобритании, испытавшей самый сильный удар червя. Под угрозу попала одна из самых величайших демократических ценностей — конфиденциальность информации, как государственной значимости, так и глубоко личной. На сей раз процесс рассылки вируса оказался предельно автоматизированным: пользователю не нужно было запускать вручную никаких программ — червь активизировался при автоматическом просмотре почтовым клиентом содержимого письма.
В итоге июльский хит-парад вирусов 2002 г. (по версии «Лаборатории Касперского») возглавляет именно Klez.H с чудовищным отрывом от ближайших конкурентов. Вот как выглядит первая пятёрка:
| 01. I-Worm.Klez | 84,28% |
| 02. I-Worm.Lentin | 9,24% |
| 03. Win95.CIH | 0,93% |
| 04. I-Worm.Frethem | 0,90% |
| 05. I-Worm.Desos | 0,28% |
Обратите внимание: наиболее смертоносный обычный вирус Win95.CIH пробился в эту пятёрку лишь потому, что кому-то пришла в голову дьявольская идея скрестить его с почтовым червем (тем же Klez.H, кстати). Собственно, черви уверенно держат верхние места в списке. И как держат! Эту бы энергию да в мирных целях!
Эпидемию Klez.H удалось остановить лишь с принятием беспрецедентных мер безопасности. Многие антивирусные компании выложили на свои сайты бесплатные утилиты для борьбы с этой напастью. И если бы они так не поступили, огромная часть их клиентов просто перестала бы существовать в этом качестве: настолько жесток был удар из интернета.
Последнее обновление: 30.11.1999 03:00