Всемирно известные вирусы, изменившие наше представление о безопасности

Компьютерный вирус - это программа, которая может быть невинной шуткой над пользователем, например спрятать кнопку пуск или не давать нажать на «крестик» закрытия окна, а может вызвать неожиданные и разрушительные последствия, например повредить или зашифровать важные данные. Некоторые вирусы нанесли немалый ущерб целым странам, заставив компании выпускающие софт ответственнее относиться к безопасности их программного обеспечения. Об одних из самых опасных вирусов пойдет речь далее.

Melissa

Вирус Melissa был создан программистом Дэвидом Л. Смитом в 1999 году. Он представлял собой зараженный документ Word, в котором были ссылки и пароли от различных порносайтов. Этим он легко привлекал внимание пользователей. Распространялся он с помощью почтовых сообщений с призывом прочитать, так как это важный документ. При открытии прикрепленного файла, запускался вредоносный код, который рассылал себя по электронной почте первым 50 людям в адресной книге пользователя. И хотя вирус не нарушал работу компьютера, он лавинообразно увеличил трафик электронной почты, чем перегрузил сервера почтовых служб правительств и корпораций, серьезно нарушив их работу. Смита быстро вычислили и арестовали. Всего за 4 дня специалисты отследили, что документ Word был загружен с использованием украденной учетной записи AOL. По оценкам, на устранение ущерба, нанесенного этим вирусом, было потрачено около 80 миллионов долларов. После ареста Смит стал сотрудничать с ФБР в поимке других создателей вирусов, среди которых известный создатель вируса «Анна Курникова». За свое сотрудничество он отсидел всего 20 месяцев и заплатил штраф в размере 5000 долларов.

 ILOVEYOU

Вирус ILOVEYOU считается одним из самых опасных когда-либо созданных компьютерных вирусов. Создан он был на Филиппинах двумя программистами, Реонелом Рамонесом и Онелем де Гузманом. 4 мая 2000 г. пользователи компьютеров Windows начали получать электронное письмо с вредоносным вложением. Понадобилось десять дней, чтобы заразить примерно пятьдесят миллионов компьютеров в мире или 10% из тех, которые были подключены к Интернету. Это было настолько катастрофично, что правительства и крупные корпорации отключили свои почтовые системы, чтобы предотвратить заражение.

Вирус распространялся по электронной почте с темой «ILOVEYOU» («ЯТЕБЯЛЮБЛЮ») и вложением «LOVE-LETTER-FOR-YOU.txt.vbs» («любовное-письмо-для-тебя.txt.vbs»). При открытии прикрепленного файла к письму выполнялся сценарий Visual Basic по перезаписи абсолютно случайного набора файлов от документов до фотографий на компьютере, а потом вирус ILOVEYOU искал адресную книгу Microsoft Outlook Windows и отправлял свою копию всем указанным контактам.

«Любовное письмо» ILOVEYOU использовало социальную инженерию совершенно по-новому, через желание быть любимым и обманом вызывало у людей ложное чувство доверия, как будто оно было от знакомого человека. Это помогло вирусу быстро распространиться и привело к ущербу, по разным оценкам, от 5.5 млрд. до 15 млрд. долларов США.

Авторы вируса ILOVEYOU, Онель де Гусман и Реонел Рамонес, так и не были привлечены к ответственности, поскольку в то время на Филиппинах не было законов против взлома компьютеров. А в 2020 году, репортер Би-би-си нашел де Гусмана в мастерской по ремонту мобильных телефонов в Маниле, где он сказал репортеру, что сожалеет о написании вируса, а также о позоре, который он навлек на него.

Code Red

В пятницу 13 июля 2001 года в сеть был выпущен печально известный компьютерный червь Code Red, а 19 июля, два сотрудника калифорнийской компании eEye Digital Security, попивая газировку Code Red Mountain Dew, обнаружили его на серверах. Они и дали ему название в честь напитка.

Червь Code Red распространялся через компьютеры с установленным веб-сервером Microsoft IIS, используя проблему переполнения буфера. Он отправлял HTTP запрос, с необычным URL-адресом, который выглядел примерно так: GET /default.ida?NNNN[...]NNN%u900%u65d3%u801%[...]. В результате переполнения буфера повторяющейся буквой «N», исполнялся дополнительный код вредоносного ПО, который шел после HTTP запроса.

Компьютер, зараженный Code Red, с 1-го до 19-го дня каждого месяца сканировал Интернет, выявляя и заражая другие уязвимые компьютеры, а также открывал бэкдор-доступ к серверу, обеспечивая удаленный доступ к машине. С 20-го по 27-й день червь запускал так называемые атаки типа «отказ в обслуживании» на несколько правительственных веб-сайтов США, заваливая их запросами на доступ до тех пор, пока они не прекращали работу. С 28-го дня червь останавливал активность, но оставался в памяти компьютера.

Самая известная атака была на сайт Белого дома, приведшая к его падению. Кроме того, Пентагон закрыл сотни веб-страниц Министерства обороны, чтобы защититься от вируса Code Red. Положительным моментом является то, что Code Red не был запрограммирован на причинение большого вреда зараженным компьютерам. Прямой ущерб был ограничен попыткой испортить ваш веб-сайт сообщением «Взломан китайцами».

Code-Red также повредил работу некоторых периферийных устройств с веб-интерфейсами, таких как маршрутизаторы, коммутаторы, DSL-модемы и принтеры. Хотя эти устройства не были заражены червем, они либо зависали, либо перезагружались, когда зараженный компьютер пытался отправить им копию червя. Также Code-Red оказал большее влияние на глобальную инфраструктуру из-за огромного количества зараженных серверов и хотя его легко можно было удалить с компьютера, просто перезагрузив, это не спасало от повторного заражения после того, как он снова подключался к сети. Но Code Red не похищал паролей или данные с компьютера, не шифровал файлы с целью потребовать деньги за разблокировку, как это делают современные киберпреступники.

После выпуска исправления уязвимости от Microsoft, проблему активности вируса удалось решить, а ущерб от его деятельности превысил 2 млрд. долларов. Автор вируса Code Red так и не был найден. При этом бюро расследований Конгресса США, предположило, что червь был разработан в университете, расположенном в китайской провинции Гуандон. Однако никаких официальных заявлений против кого-либо выдвинуто не было.

WannaCry

Компьютерный вирус WannaCry появился в мае 2017 года, это был вирус-вымогатель. Он быстро распространился в 150 странах и заразил около 230 000 компьютеров. С помощью WannaCry, киберпреступники зашифровали компьютеры Windows по всему миру и потребовали выкуп в размере первоначально 300 долларов в биткоинах, а затем 600 долларов. Это привело к остановке работы на предприятиях, в больницах и государственных учреждениях. Ущерб от распространения вируса WannaCry в мире оценивается примерно в $4 млрд. Компании, которые не заплатили, были вынуждены перестраивать системы с нуля.

Распространялся вирус, используя уязвимость в системах Microsoft, которая была обнаружена Агентством национальной безопасности США (АНБ) и получила название EternalBlue. Пользователям компьютеров не нужно переходить по ссылке или открывать зараженный файл. WannaCry просто ищет уязвимые системы для входа, затем копирует и запускает программу снова, и снова, и снова. Таким образом, один уязвимый компьютер в корпоративной сети может поставить под угрозу всю организацию. Некоторые эксперты утверждают, что АНБ намеренно не известила о найденной уязвимости и использовала ее в своих целях. В апреле 2017 года группа хакеров, известных как The Shadow Brokers, украли данные у АНБ и выложили в свободный доступ, заявив, что это «протест» против президента США Дональда Трампа.

Как только вирус WannaCry попадает в компьютер, он ищет десятки определенных типов файлов, включая файлы Microsoft Office, изображения, видео и звуковые файлы. Затем он выполняет процедуру шифрования файлов, которые можно расшифровать только с помощью внешнего цифрового ключа. Изучая вирус, британский исследователь безопасности Маркус Хатчинс обнаружил, что перед тем, как начать выполняться, программа-вирус пыталась получить доступ к определенному веб-адресу, который оказался незарегистрированным бессмысленным именем. Если бы программа могла открыть URL-адрес, WannaCry не выполнялась бы, поэтому она действовала своего рода как аварийный выключатель. Поэтому он зарегистрировал URL-адрес и эффективно остановил распространение программы-вымогателя WannaCry. Вскоре было объявлено, что исследователям удалось расшифровать ключи и разработать инструменты для обезвреживания, известные как WannaKey и Wanakiwi,.

Правительства США и Великобритании впервые официально обвинили Северную Корею в распространении вредоносной программы WannaCry. Г-н Боссерт, советник президента по вопросам внутренней безопасности, сказал, что обвинение «основано на доказательствах», но не представил никаких доказательств. Он добавил, что Австралия, Канада и Новая Зеландия также разделяют вывод США о том, что за атакой стоит Северная Корея. После интервью министерство иностранных дел Великобритании также обвинило «северокорейских игроков в использовании своей программы-вируса для обхода санкций».

Conficker

Компьютерный вирус Conficker впервые появился в 2008 году. Вирус имеет еще два популярных названия Downup или Downadup. Он заразил миллионы компьютеров за считанные дни. Ботнет, образованный зараженными компьютерами, был одним из крупнейших в мире.

Червь работает, используя уязвимость сетевой службы, которая присутствовала и не была исправлена в Windows. Как только на компьютер попадал вирус Conficker, он сбрасывал учетную запись и политики блокировки, запрещал доступ к обновлениям Windows и антивирусным сайтам, затем отключал некоторые службы и блокировал свои учетные записи от всех пользователей. Затем он устанавливал вредоносное программное обеспечение и компьютер становился частью ботнет сети. Вредонос смог заразить более 9 миллионов компьютеров по всему миру. Conficker затронул правительства, предприятия и частных лиц и причинил ущерб в размере более 9 млрд. долларов.

Для того, чтобы остановить вирус, Microsoft согласилась сотрудничать с антивирусными компаниями, в результате чего были выпущены обновления антивирусов и исправление безопасности Windows.

По мнению экспертов, автор вируса Conficker преследовал финансовые мотивы. Он мог красть финансовую информацию, закрывать веб-страницы, отслеживать нажатия клавиш или отправлять спам с зараженных компьютеров. Автора вируса так и не нашли, несмотря даже на то, что Microsoft предложила вознаграждение в размере 250 000 долларов за информацию тому, кто найдет создателя вируса. Одни источники писали, что его родиной является Китай, другие, что он родом из Украины. Так одно украинское издание написало: «Первое, что делает вирус, это проверяет - установлена ли раскладка клавиатуры на украинский язык. Если это так, он оставляет компьютер в покое».

Mydoom

Mydoom - это, скорее всего, самый успешный компьютерный вирус всех времен. Его первая версия была обнаружена 26 января 2004 года. Распространялся он по электронной почте, отправляя с зараженного компьютера письмо, под видом поврежденного и чтобы его «прочесть», нужно было открыть прикрепленный файл. После открытия вложения вирус просто повторял процесс, распространяясь в геометрической прогрессии и создавая ботнет, который злоумышленники могли использовать для проведения распределенных атак типа "отказ в обслуживании".

Распространение Mydoom достигло своего пика 28 января 2004 года, когда примерно 20–25% всех электронных писем были заражены Mydoom. Считается, что на этом этапе было заражено примерно 500-800 тыс. компьютеров. 1 февраля 2004 года вирус начал атаку типа «отказ в обслуживании» на сайт SCO, известную своими заявлениями о правах на основу кода операционной системы Linux. В результате сайт стал недоступен для пользователей, что заставило SCO Group объявить вознаграждение в размере 250 000 долларов США тому, кто располагает информацией о создателе Mydoom. Второй вариант вируса провел атаки уже на Microsoft 3 февраля 2004 года, но неуспешно.

После проведенных атак, вирус Mydoom запрограммированный на завершение, перестал распространяться. 12 февраля 2004 года перестал работать Mydoom первой версии, а 1 марта 2004 года второй. Но даже после этого, бэкдоры, созданные этой вредоносной программой, оставались активными.

Mydoom, как и ILOVEYOU, является рекордсменом и самым быстро распространяющимся почтовым червем. Новые версии, созданные на основе Mydoom, все еще существует сегодня, генерируя 1% всех фишинговых писем. Это немалое достижение для такого старого вируса, но это также означает, что некоторые люди все еще попадаются на самый старый трюк с письмами электронной почты.

Разработчика этого опасного компьютерного вируса так и не поймали. В сети много теорий на эту тему, одни источники утверждают, что руку к этому приложила SCO Group, другие, что это программисты, выступившие против SCO. Кто бы это ни был, ущерб нанесенный вирусом был колоссален. По оценкам специалистов он превысил 38,5 млрд. долларов.

Что можно сказать вместо итога

В статье перечислены далеко не все вредоносные программы, но ключевой момент здесь тот же, как и всегда: человеческий фактор. Ни один современный антивирус не справится, если не придерживаться простых правил: избегать сомнительные веб-сайты, регулярно делать резервную копию важных данных, быть осторожным с вложениями электронной почты и регулярно проверять свое устройство.