Най-опасните компютърни вируси в началото на века
Предишният път разгледахме зараждането на компютърните вируси и първите епидемии. Но това ставаше във времена, когато потребителите изобщо не се замисляха за сходни неща, а антивирусните стратегии не бяха изключително публикувани и със напълно слаби благоприятни условия.
Този път ще се спрем на злонамерения програмен продукт, който успяваше да се популяризира, когато антивирусните стратегии към този момент бяха неизменима част от операционната система. Но и не помагаха изключително.
Melissa
След пандемията, проведена от вируса Чернобил, известността на антивирусните стратегии внезапно набъбна. Но техните благоприятни условия бяха доста надалеч от актуалните решения. По това време, доста консуматори към този момент имаха е-поща и общо взето, всички се помиряваха със спама. Но представете си, че от ваш другар идва писмо с текст: „Here is that document you asked for…don’t show anyone else“ (Това е документът, който търсеше… на никого не го показвай). Към имейла бе прикован елементарен Word файл. Много консуматори мислеха, че един елементарен текстов файл сигурно няма по какъв начин да е рисков (още повече, е е изпратен от приятел). Следва отваряне на файла, а по-късно всичко е въпрос на техника. Понеже в елементарния Word файл може да бъде прикрит всевъзможен код.
За благополучие, през не толкоз далечната 1999 година, когато този вирус се появи, никой не мислеше да прави пари от нещо сходно. От инфектирания компютър, Melissa просто изпращаше своя код към 50 контакта от Outlook. Но това се оказа премного, с цел да срине пощенските сървъри на Microsoft. За да понижат разпространяването на вируса, огромните корпорации започнаха да изключват своите e-mail сървъри. А това оказа огромно въздействие на успеваемостта на работата на чиновниците.
Единственото, за което не се е сетил основателят на Melissa е, че доста елементарно може да бъде открит. ФБР доста бързо свърши тази работа. Оказа се, че вирусът за първи път е пуснат от Internet адрес на AOL. Това бе адресът на 30 годишният Дейвид Смит. Той бързо си призна и оказа помощ на следствието. В последна сметка получи 10 години отнемане от независимост и санкция от $5000. Това напълно не е доста, като се има поради нанесената вреда за над $80 милиона. Да не приказваме за пропуснатите облаги на корпорациите, изчислени на стотици милиони долари.
При своя пик на разпространяване Melissa болести 15-20% от всички настоятелен компютри от целия свят. А основателите на антивирусни стратегии научиха скъп урок, че вирусът може да бъде прикрит освен в изпълнимите файлове, само че и във всички други. Ето за какво се постанова да се прави разбор на наличието на всички файлове.
ILOVEYOU
ILOVEYOU се смята за първия всеобщ вирус, преднамерено написан да поврежда файловете. Негови основатели са двамата млади филипински програмисти Реонел Рамонес и Онел де Гузман. Те даже не измислиха нещо ново, а се възползваха от концепциите на Melissa, само че малко трансформираха кода.
Разбира се, по това време антивирусните стратегии към този момент ревизираха всички прикачени към имейлите файлове. Само че надалеч не всички имаха антивируси. А смяната в кода бе такава, че вирусът не си изпраща кода до 50 Outlook контакта, като Melissa, а до всички налични контакти. Това мощно разшири обсега на болестта. И още, антивирусните от това време постоянно намираха вируси там, където ги няма, и потребителите ги пренебрегнаха.
От това се възползваха основателите на ILOVEYOU. Той също се популяризира като атачмънт, а текстът на писмото е напълно банален – „Провери си прикачения файл“. Това свърши работа. Въпросният файл се назовава LOVE-LETTER-FOR-YOU.TXT.vbs. Към сегашен ден множеството консуматори знаят, че по дифолт Windows скрива разширенията на записаните в системата файлове. В резултат от това, потребителите виждат единствено LOVE-LETTER-FOR-YOU.TXT – т.е., най-безобиден текстов файл. И даже антивирусната да се опита да предизвести, файлът постоянно бе отварян. Как да повярваш, че един елементарен текстов файл е рисков?
Резултатът е явен, тъй като това си е скрипт, написан на програмния език VBScript. Но до момента в който Melissa съумя единствено да сковава пощенските сървъри, ILOVEYOU сканираше файловете на диска с по-популярни разширения (JPG, MP3, DOC и т.н) и по този метод се случваше да унищожи скъпа персонална информация.
И защото това е елементарен скрипт, който елементарно може да се промени, излязоха над 20 най-различни модификации нанасящи най-различни провали. Тук за първи път се появи нов модел, Някои от тях започнаха да търсят персонални данни и конфиденциална информация, и да ги изпращат на основателя на модифицирания вирус.
В последна сметка, инфектирани бяха над 50 милиона компютри – към 10% от всички компютърни системи. Вредата бе изчислена от 5 до 15 милиарда $, тъй като имаше заличаване на потребителски данни.
А основателите на вируса се отърваха единствено с лека нерешителност. Филипинските закони от това време не предвиждаха престъпна отговорност за киберпрестъпления. Реонел и Онел просто бяха пуснати на независимост. Но законодателството на Филипините бе поправено доста бързо – единствено два месеца след случая.
Code Red
Вирусите преди Code Red не употребяват уязвимостите на операционните системи, а невниманието, заблудата и любознанието на потребителите. Но тогава (както и сега), дупките в сигурността бяха доста и започването на тяхното потребление бе въпрос на време.
Първият всеобщ червей от сходен жанр бе Code Red, пуснат в Глобалната мрежа на 19 юли 2001 година. Той нападна компютрите с работещ уеб-сървър Microsoft IIS, употребявайки много публикуваната накърнимост „препълване на буфера“. Уязвимостта се употребява напълно тривиално – непрестанно се вкарва „N“, до момента в който сървърът не се срине, след което се вмъква вредоносния код. Интересното тук е, че Microsoft е знаел за тази накърнимост и е показал пача за нея още през месец юни, който напълно отстранява казуса. Само че надалеч не всички са го конфигурирали.
Самият вирус работи малко дървено – просто заменя всички данни в инфектирания уебсайт на следната фраза:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
По-сериозните уеб сайтове си имат архиви, систем-администраторите възвърнаха данните си от архива и загубите бяха незначителни.
Но по-късно последва огромна изненада. След разбора на кода на червея, специалистите откриха, че той освен вкарва занимателния текст, представен нагоре. След от 20 до 27 дни инфектираният сървър би трябвало да стартира DDOS офанзива към няколко IP адреса, единият от които на Белия дом.
След разбора се видя, че кодът на вируса не е написан изключително грамотно. Той даже не ревизира на какъв сървър е попаднал и дали това е уязвим IIS. Дори и в лог файловете на Apache сървърите бяха открити опити за реализиране на препълване на буфера. Но концепцията е добра, а разпространяването огромно – посредством инцидентни IP адреси.
Code Red съумя да болести 400 000 сървъра и нанесе вреди за към $2,5 милиарда. Създателите на червея по този начин и не бяха открити. Но мястото на възникването на епидемията бе несъмнено напълно тъкмо – Макати-Сити, Филипини. Отново там.
Всъщност името Code Red на този червей бе обещано от специалистите, които го изследваха. По това време е известен коктейла Code Red Mountain Dew, а и вирусът съдържа „Хаканто от китайците“ и се натрапва асоциацията с „червения комунистически Китай“. Code Red подхожда идеално.
SQL Slammer
Това е типичен случай за погрешно определено време, който избави уеб-пространството от пандемия. Ако офанзивата не бе почнала в събота на 25 януари 2003 година, а два дни по-късно – в понеделник, вредите от нея щяха да бъдат невероятни. Но даже и в събота, единствено за 10 минути вирусът болести над 75 000 компютри. Използваше се същата накърнимост – препълване на буфера, единствено че този път в Microsoft SQL Server.
Това е червей с дължина единствено 376 байта, който се побира в един UDP пакет. Именно това е повода за неговото толкоз бързо разпространяване. Принципът на деяние не е комплициран – търси се рутер с SQL Server, заразява се и се причислява към бот мрежата. Интересно е, че самият вирус не съдържа вредоносен код – той се намесва в естествения метод на работата на рутерите. По принцип, маршрутизаторите са направени по този начин, че в случай че трафикът през тях е прекомерно огромен, те го задържат за обработка и по този метод внезапно намаляват пропускателната дарба.
И още, в случай че след известно време казусът с нараствания трафик не се е решил, рутерът рестартира и възвръща таблицата с маршрутите от другите рутери. Ето за какво, не след дълго, по-голямата част от Глобалната мрежа бе заета точно с възобновяване на маршрутизацията. А това сковава потребителския трафик.
Резултатите бяха плачевни. Сринаха се към 500 000 сървъра. В Южна Корея нямаше интернет в продължение на 12 часа. А що се отнася до решаването на казуса – оказа се, че Microsoft е пуснал нужния пач половин година по-рано. Практиката сподели, че урокът с Code Red не е теоретичен.
Blaster, Sobig.F, Bagle, MyDoom
Пикът на вирусите посредством атачмънти в електронната поща бе регистриран през 2002-2005 години. Въпреки че всички бяха предизвестени (и в този момент всички са предупредени) да не отварят атачмънтите в имейлите от непознати, тези файлове продължиха да се отварят. Загубите от тези дейности доближиха милиарди долари, инфектирани бяха милиони компютърни системи, и през тези години едно от всеки 10 писма бе с вирус.
Нищо автентично не бе измислено в тези компютърни болести. Но някои бяха занимателни – имаше послания „I just want to say LOVE YOU SAN!!“ (Просто желая да кажа, ОБИЧАМ ТЕ СИНЕ!!), billy gates why do you make this possible? Stop making money and fix your software!! (били гейтс, за какво направи това допустимо? Стига си правил пари, а си оправи софтуера!!). А този вирус осъществяваше и DDoS офанзива към уеб страницата windowsupdate.com, откъдето идват обновяванията за Оценка за съвместимост Windows. Има и други сходни компютърни вируси, които съвсем не се разграничават по метод на деяние и не си коства да им отделяме време.
Това е всичко на този стадий. В идната последна част ще обърнем внимание на актуалните вирусни офанзиви, които не са осъществени от един-два програмиста, а от групи експерти.
Този път ще се спрем на злонамерения програмен продукт, който успяваше да се популяризира, когато антивирусните стратегии към този момент бяха неизменима част от операционната система. Но и не помагаха изключително.
Melissa
След пандемията, проведена от вируса Чернобил, известността на антивирусните стратегии внезапно набъбна. Но техните благоприятни условия бяха доста надалеч от актуалните решения. По това време, доста консуматори към този момент имаха е-поща и общо взето, всички се помиряваха със спама. Но представете си, че от ваш другар идва писмо с текст: „Here is that document you asked for…don’t show anyone else“ (Това е документът, който търсеше… на никого не го показвай). Към имейла бе прикован елементарен Word файл. Много консуматори мислеха, че един елементарен текстов файл сигурно няма по какъв начин да е рисков (още повече, е е изпратен от приятел). Следва отваряне на файла, а по-късно всичко е въпрос на техника. Понеже в елементарния Word файл може да бъде прикрит всевъзможен код.
За благополучие, през не толкоз далечната 1999 година, когато този вирус се появи, никой не мислеше да прави пари от нещо сходно. От инфектирания компютър, Melissa просто изпращаше своя код към 50 контакта от Outlook. Но това се оказа премного, с цел да срине пощенските сървъри на Microsoft. За да понижат разпространяването на вируса, огромните корпорации започнаха да изключват своите e-mail сървъри. А това оказа огромно въздействие на успеваемостта на работата на чиновниците.
Единственото, за което не се е сетил основателят на Melissa е, че доста елементарно може да бъде открит. ФБР доста бързо свърши тази работа. Оказа се, че вирусът за първи път е пуснат от Internet адрес на AOL. Това бе адресът на 30 годишният Дейвид Смит. Той бързо си призна и оказа помощ на следствието. В последна сметка получи 10 години отнемане от независимост и санкция от $5000. Това напълно не е доста, като се има поради нанесената вреда за над $80 милиона. Да не приказваме за пропуснатите облаги на корпорациите, изчислени на стотици милиони долари.
При своя пик на разпространяване Melissa болести 15-20% от всички настоятелен компютри от целия свят. А основателите на антивирусни стратегии научиха скъп урок, че вирусът може да бъде прикрит освен в изпълнимите файлове, само че и във всички други. Ето за какво се постанова да се прави разбор на наличието на всички файлове.
ILOVEYOU
ILOVEYOU се смята за първия всеобщ вирус, преднамерено написан да поврежда файловете. Негови основатели са двамата млади филипински програмисти Реонел Рамонес и Онел де Гузман. Те даже не измислиха нещо ново, а се възползваха от концепциите на Melissa, само че малко трансформираха кода.
Разбира се, по това време антивирусните стратегии към този момент ревизираха всички прикачени към имейлите файлове. Само че надалеч не всички имаха антивируси. А смяната в кода бе такава, че вирусът не си изпраща кода до 50 Outlook контакта, като Melissa, а до всички налични контакти. Това мощно разшири обсега на болестта. И още, антивирусните от това време постоянно намираха вируси там, където ги няма, и потребителите ги пренебрегнаха.
От това се възползваха основателите на ILOVEYOU. Той също се популяризира като атачмънт, а текстът на писмото е напълно банален – „Провери си прикачения файл“. Това свърши работа. Въпросният файл се назовава LOVE-LETTER-FOR-YOU.TXT.vbs. Към сегашен ден множеството консуматори знаят, че по дифолт Windows скрива разширенията на записаните в системата файлове. В резултат от това, потребителите виждат единствено LOVE-LETTER-FOR-YOU.TXT – т.е., най-безобиден текстов файл. И даже антивирусната да се опита да предизвести, файлът постоянно бе отварян. Как да повярваш, че един елементарен текстов файл е рисков?
Резултатът е явен, тъй като това си е скрипт, написан на програмния език VBScript. Но до момента в който Melissa съумя единствено да сковава пощенските сървъри, ILOVEYOU сканираше файловете на диска с по-популярни разширения (JPG, MP3, DOC и т.н) и по този метод се случваше да унищожи скъпа персонална информация.
И защото това е елементарен скрипт, който елементарно може да се промени, излязоха над 20 най-различни модификации нанасящи най-различни провали. Тук за първи път се появи нов модел, Някои от тях започнаха да търсят персонални данни и конфиденциална информация, и да ги изпращат на основателя на модифицирания вирус.
В последна сметка, инфектирани бяха над 50 милиона компютри – към 10% от всички компютърни системи. Вредата бе изчислена от 5 до 15 милиарда $, тъй като имаше заличаване на потребителски данни.
А основателите на вируса се отърваха единствено с лека нерешителност. Филипинските закони от това време не предвиждаха престъпна отговорност за киберпрестъпления. Реонел и Онел просто бяха пуснати на независимост. Но законодателството на Филипините бе поправено доста бързо – единствено два месеца след случая.
Code Red
Вирусите преди Code Red не употребяват уязвимостите на операционните системи, а невниманието, заблудата и любознанието на потребителите. Но тогава (както и сега), дупките в сигурността бяха доста и започването на тяхното потребление бе въпрос на време.
Първият всеобщ червей от сходен жанр бе Code Red, пуснат в Глобалната мрежа на 19 юли 2001 година. Той нападна компютрите с работещ уеб-сървър Microsoft IIS, употребявайки много публикуваната накърнимост „препълване на буфера“. Уязвимостта се употребява напълно тривиално – непрестанно се вкарва „N“, до момента в който сървърът не се срине, след което се вмъква вредоносния код. Интересното тук е, че Microsoft е знаел за тази накърнимост и е показал пача за нея още през месец юни, който напълно отстранява казуса. Само че надалеч не всички са го конфигурирали.
Самият вирус работи малко дървено – просто заменя всички данни в инфектирания уебсайт на следната фраза:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
По-сериозните уеб сайтове си имат архиви, систем-администраторите възвърнаха данните си от архива и загубите бяха незначителни.
Но по-късно последва огромна изненада. След разбора на кода на червея, специалистите откриха, че той освен вкарва занимателния текст, представен нагоре. След от 20 до 27 дни инфектираният сървър би трябвало да стартира DDOS офанзива към няколко IP адреса, единият от които на Белия дом.
След разбора се видя, че кодът на вируса не е написан изключително грамотно. Той даже не ревизира на какъв сървър е попаднал и дали това е уязвим IIS. Дори и в лог файловете на Apache сървърите бяха открити опити за реализиране на препълване на буфера. Но концепцията е добра, а разпространяването огромно – посредством инцидентни IP адреси.
Code Red съумя да болести 400 000 сървъра и нанесе вреди за към $2,5 милиарда. Създателите на червея по този начин и не бяха открити. Но мястото на възникването на епидемията бе несъмнено напълно тъкмо – Макати-Сити, Филипини. Отново там.
Всъщност името Code Red на този червей бе обещано от специалистите, които го изследваха. По това време е известен коктейла Code Red Mountain Dew, а и вирусът съдържа „Хаканто от китайците“ и се натрапва асоциацията с „червения комунистически Китай“. Code Red подхожда идеално.
SQL Slammer
Това е типичен случай за погрешно определено време, който избави уеб-пространството от пандемия. Ако офанзивата не бе почнала в събота на 25 януари 2003 година, а два дни по-късно – в понеделник, вредите от нея щяха да бъдат невероятни. Но даже и в събота, единствено за 10 минути вирусът болести над 75 000 компютри. Използваше се същата накърнимост – препълване на буфера, единствено че този път в Microsoft SQL Server.
Това е червей с дължина единствено 376 байта, който се побира в един UDP пакет. Именно това е повода за неговото толкоз бързо разпространяване. Принципът на деяние не е комплициран – търси се рутер с SQL Server, заразява се и се причислява към бот мрежата. Интересно е, че самият вирус не съдържа вредоносен код – той се намесва в естествения метод на работата на рутерите. По принцип, маршрутизаторите са направени по този начин, че в случай че трафикът през тях е прекомерно огромен, те го задържат за обработка и по този метод внезапно намаляват пропускателната дарба.
И още, в случай че след известно време казусът с нараствания трафик не се е решил, рутерът рестартира и възвръща таблицата с маршрутите от другите рутери. Ето за какво, не след дълго, по-голямата част от Глобалната мрежа бе заета точно с възобновяване на маршрутизацията. А това сковава потребителския трафик.
Резултатите бяха плачевни. Сринаха се към 500 000 сървъра. В Южна Корея нямаше интернет в продължение на 12 часа. А що се отнася до решаването на казуса – оказа се, че Microsoft е пуснал нужния пач половин година по-рано. Практиката сподели, че урокът с Code Red не е теоретичен.
Blaster, Sobig.F, Bagle, MyDoom
Пикът на вирусите посредством атачмънти в електронната поща бе регистриран през 2002-2005 години. Въпреки че всички бяха предизвестени (и в този момент всички са предупредени) да не отварят атачмънтите в имейлите от непознати, тези файлове продължиха да се отварят. Загубите от тези дейности доближиха милиарди долари, инфектирани бяха милиони компютърни системи, и през тези години едно от всеки 10 писма бе с вирус.
Нищо автентично не бе измислено в тези компютърни болести. Но някои бяха занимателни – имаше послания „I just want to say LOVE YOU SAN!!“ (Просто желая да кажа, ОБИЧАМ ТЕ СИНЕ!!), billy gates why do you make this possible? Stop making money and fix your software!! (били гейтс, за какво направи това допустимо? Стига си правил пари, а си оправи софтуера!!). А този вирус осъществяваше и DDoS офанзива към уеб страницата windowsupdate.com, откъдето идват обновяванията за Оценка за съвместимост Windows. Има и други сходни компютърни вируси, които съвсем не се разграничават по метод на деяние и не си коства да им отделяме време.
Това е всичко на този стадий. В идната последна част ще обърнем внимание на актуалните вирусни офанзиви, които не са осъществени от един-два програмиста, а от групи експерти.
Източник: kaldata.com
КОМЕНТАРИ