Статті
- Хайп
- Безпека
04Термін «комп'ютерний вірус» виник на початку 80-х років. Вперше його застосував американський вчений Фред Коен у своїй дисертаційній роботі про самовідтворювані комп'ютерні програми. Відтоді людський інтелект породили величезну кількість шкідливих програм, які залишили слід в історії комп'ютерного програмного забезпечення, що складається з величезної кількості стертої інформації і зламаних операційних систем.
У цій статті ми розглянемо ТОП-10 найнебезпечніших комп'ютерних вірусів в історії ПК.
Що таке вірус з точки зору комп'ютерних технологій?
Взагалі, під комп'ютерними вірусами мається на увазі не якесь відволічене поняття, а саме звичайне програмне забезпечення, яке впливає на комп'ютерну систему (зокрема, на операційну систему, встановлені в її середовищі додатки або файли користувача) з метою нанесення шкоди, крадіжки даних, вимагання оплати за розшифровку файлів тощо. Самі ж такі програми містять спеціальні виконувані коди, що активуються або безпосередньо при проникненні в систему, або в певний момент часу, але спрямовані на запуск абсолютно різних операцій. По-перше, основний код призначений для основної дії, на яку розрахований сам вірус. По-друге, дуже часто запускаються паралельні процеси, що дозволяють вірусам сховатися від очей користувача або антивірусного ПЗ (замаскуватися), працюючи у фоновому режимі і підмінюючи деякі системні компоненти власними апплетами. По-третє, попутно можуть стартувати операції з самокопіювання, впровадження коду у встановлені програми, розсилання самих себе по інтернету або по мережі тощо.
Різновидів вірусних загроз сьогодні відомо дуже багато, а список їх видів за класифікацією виглядає досить значним (трояни, черви, шифрувальники, здирники, стелс-віруси, поліморфні апплети, шпигуни, кейлоггери, резидентні або нерезидентні загрози і багато інших), не кажучи вже про те, що деякі типи загроз до якогось одного класу віднести не можна. Однак, якщо говорити про найнебезпечніші у світі віруси для комп'ютера, практично всі вони відносяться до категорії хробаків. На зорі розвитку комп'ютерних технологій вони проникали в систему в основному через знімні носії (дискети), але з появою інтернету почали передаватися електронною поштою або обґрунтовувалися на всіляких сайтах у Всесвітній павутині.
Найнебезпечніші віруси за всю історію існування комп'ютерів
Історія комп'ютерних вірусів починається в 1983 р., коли американський вчений Фред Коен (Fred Cohen) у своїй дисертаційній роботі, присвяченій дослідженню самовідтворюваних комп'ютерних програм, вперше ввів термін «комп'ютерний вірус». Відома навіть точна дата - 3 листопада 1983 р., коли на щотижневому семінарі з комп'ютерної безпеки в Університеті Південної Каліфорнії (США) був запропонований проект по створенню саморозповсюдної програми, яку тут же охрестили «вірусом». Для її налагодження знадобилося 8 год комп'ютерного часу на машині VAX 11/750 під керуванням операційної системи Unix, і рівно через тиждень, 10 листопада, відбулася перша демонстрація. За результатами цих досліджень Фред Коен опублікував роботу Computer Viruses: theory and experiments з докладним описом проблеми.
Основи теорії програм, що саморозповсюджуються, були закладені ще в 40-х роках ХХ століття в працях американського вченого Джона фон Неймана (John von Neumann), який також відомий як автор базових принципів роботи сучасного комп'ютера. У цих роботах описувалися теоретичні основи самовідтворюваних математичних автоматів.
Тут же ми розповімо про найбільш небезпечні зразки шкідливого ПЗ за всю довгу історію.
Перш ніж обговорювати їх, давайте визначимо, що іметься на увазі під найбільш небезпечними?
З точки зору користувача, це вірус, що завдав йому максимальної шкоди. А з точки зору офіцера інформаційної безпеки, це той вірус, який ви ще не змогли виявити.
Цим критерієм ми і будемо керуватися надалі.
На мій погляд, найбільш небезпечне шкідливе ПО - те, яке відкриває нові можливості для зараження.
Creeper
Перший мережевий вірус Creeper з'явився на початку 70-х років у військовій комп'ютерній мережі Arpanet, прототипі Інтернету. Програма була в змозі самостійно вийти в мережу через модем і зберегти свою копію на віддаленій машині. На заражених системах вірус виявляв себе повідомленням: I’M THE CREEPER: CATCH ME IF YOU CAN. В цілому, вірус був нешкідливим, але дратував персонал.
Для видалення настирливого, але загалом нешкідливого вірусу невідомий створив програму Reaper. По суті, це також був вірус, що виконував деякі функції, властиві антивірусу: він поширювався по обчислювальній мережі і в разі виявлення тіла вірусу Creeper знищував його.
Поява Creeper не тільки поклала початок сучасному зловредному ПО, але і породила етап розвитку вірусів, протягом якого вірусописування було приділом небагатьох талановитих програмістів, які не переслідували при цьому ніяких матеріальних цілей.
Brain
Brain (1986) - перший вірус для IBM-сумісних комп'ютерів, що викликав глобальну епідемію. Він був написаний двома братами-програмістами - Басітом Фаруком і Амжадом Алві (Basit Farooq Alvi і Amjad Alvi) з Пакистану. Його про викривальну рису була функція підміни в момент звернення до нього зараженого сектора незараженим оригіналом. Це дає право назвати Brain першим відомим стелс-вірусом.
За кілька місяців програма вийшла за межі Пакистану, і до літа 1987 р. епідемія досягла глобальних масштабів. Фактично, це була перша і, на жаль, далеко не остання епідемія вірусів для IBM PC. В даному випадку масштаби епідемії, безумовно, були не співставні з теперішніми зараженнями, але ж епоха Інтернету була ще попереду.
Virdem
Німецький програміст Ральф Бюргер (Ralf Burger) в 1986 р. відкрив можливість створення програмою своїх копій шляхом додавання свого коду до виконуваних DOS-файлів формату COM. Дослідний зразок програми, що отримала назву Virdem, був продемонстрований на форумі комп'ютерного андеграунду - Chaos Computer Club (грудень, 1986, Гамбург, ФРН). Це послужило поштовхом до написання сотень тисяч комп'ютерних вірусів, які частково або повністю використовували описані автором ідеї. Фактично, даний вірус поклав початок масовим зараженням.
Jerusalem
Найвідоміша модифікація вірусного сімейства резидентних файлових вірусів Suriv (1987) - творіння невідомого програміста з Ізраїлю, Jerusalem, стала причиною глобальної вірусної епідемії, першої справжньої пандемією, викликаної MS-DOS-вірусом. Таким чином, саме з даного вірусу почалися перші комп'ютерні пандемії (від греч.pandemáa - весь народ) - епідемії, що характеризуються поширенням на територію багатьох країн світу.
Саме завдяки цьому вірусу поєднання «П'ятниця, 13» досі змушує частіше битися серця системних адміністраторів. Саме в п'ятницю, 13 травня 1987 р., даний вірус почав знищувати заражені файли при спробі їх запуску. Він проявив себе в Європі, США і на Близькому Сході. Також цей вірус носив назви Jerusalem, «Friday the 13th 1813», Hebrew University, Israeli і Suriv 3.
Jerusalem мав кілька шкідливих функцій. Найбільш відомою стала видаляє з комп'ютера всі програми, що запускаються в п'ятницю, 13-го числа. Оскільки збіг п'ятниці з 13-м числом місяця трапляється не так вже й часто, то більшу частину часу Jerusalem поширювався непомітно, без будь-якого втручання в дії користувачів. Разом з тим через 30 хв після завантаження в пам'ять вірус уповільнював швидкість роботи комп'ютерів XT в 5 разів і демонстрував маленький чорний прямокутник в текстовому режимі екрану.
Хробак Морріса
|
Роберт Морріс |
Червь Морріса (листопад, 1988) - перший мережевий хробак, що викликав епідемію. Він написаний 23-річним студентом Корнельського університету (США) Робертом Моррісом, який використовував помилки в системі безпеки операційної системи Unix для платформ VAX і Sun Microsystems. З метою непомітного проникнення в обчислювальні системи, пов'язані з мережею Arpanet, використовувався підбір паролів (зі списку, що містить 481 варіант). Загальна вартість збитку оцінюється в 96 млн дол. Збиток був би набагато більшим, якби хробак спочатку створювався з руйнівними цілями.
Дане зловредное ПЗ показало, що ОС Unix також вразлива для підбору паролів, як і інші ОС.
Chameleon
Chameleon (початок 1990 р.) - перший поліморфний вірус. Його автор, Марк Уошбурн (Mark Washburn), за основу для написання програми взяв відомості про вірус Vienna з книги Computer Viruses. The Disease of High Technologies Ральфа Бюргера і додав до них вдосконалені принципи самошифрації вірусу Cascade - властивість змінювати зовнішній вигляд як тіла вірусу, так і самого розшифровника.
Дана технологія була швидко взята на озброєння і в поєднанні зі стелс-технологіями (Stealth) і бронюванням (Armored) дозволила новим вірусам успішно протистояти існуючим антивірусним пакетам.
З появою цієї технології боротися з вірусами стало значно складніше.
Concept
Concept (серпень, 1995) - перший макровірус, який вражав документи Microsoft Word. Саме в 1995 р. стало зрозуміло, що заражатися можуть не тільки виконувані файли, а й файли документів.
Цей екземпляр не відрізнявся про себе шкідливістю, його епідемія проходила дуже мляво (протягом декількох років), і вразив він не так вже й багато комп'ютерів («Лабораторія Касперського» зареєструвала всього 800 скарг від клієнтів на цей вірус). У порівнянні з сьогоднішнім днем, масштаби Concept виглядають досить скромними. Але для 1995 - 1997 рр. результат був дуже вражаючим. Як і маленький струмочок, що дає силу бурхливій річці, макровіруси визначили стрімкий вихід вірусів на світову арену.
Серед користувачів існує думка, що макровірус - просто нешкідлива підпрограма, здатна лише на дрібні пакості на кшталт заміни букв і знаків перепинання. Насправді ж макровірус може дуже багато чого: відформатувати вінчестер або вкрасти щось цінне для нього не проблема.
Win95.CIH
У червні 1998 р. був виявлений вірус тайванського походження Win95.CIH, що містить логічну бомбу для знищення всієї інформації на жорстких дисках і псування вмісту BIOS на деяких системних платах. Дата спрацювання програми (26 квітня) збігалася з датою аварії на Чорнобильській атомній електростанції, внаслідок чого вірус отримав друге ім'я - «Чорнобиль» (Chernobyl). Саме даний вірус показав вразливість систем перезапису BIOS. Таким чином, раптом виявилося, що небезпечне ПЗ може вивести з ладу не тільки інформацію, але і комп'ютерне «залізо».
Вірус Win95.CIH був для свого часу унікальним. І не тільки тому, що він став першим з вірусів, які дійсно псують «залізо». Він не змінює SYSTEM.INI і не пише. Файли VXD у Windows System, він лише заражає файли PE... і (іноді) стирає Flash BIOS і жорсткі диски... Це перший «по-справжньому резидентний» Win95/98 вірус.
Активізується jон 26 квітня (дата катастрофи на Чорнобильській АЕС і дата народження автора вірусу).
LoveLetter
LoveLetter - скрипт-вірус, який 5 травня 2000 р. побив рекорд вірусу Melissa за швидкістю поширення. Всього протягом декількох годин були вражені мільйони комп'ютерів - LoveLetter потрапив до Книги рекордів Гіннеса.
Ситуація розвивалася стрімко. Кількість звернень (і кількість постраждалих) зростала в геометричній прогресії.
Даний вірус поширювався з повідомленнями електронної пошти і по каналах IRC. Лист з вірусом легко виділити. Тема листа - ILOVEYOU, що відразу ж кидається в очі. Сам лист містить текст kindly check the attached LOVELETTER coming from me і приєднаний файл з ім'ям LOVE-LETTER-FOR-YOU.TXT.vbs. Вірус спрацьовував тільки тоді, коли користувач відкривав цей приєднаний файл.
Вірус розсилав себе за всіма адресами, які знаходив в адресній книзі поштової програми MS Outlook інфікованого комп'ютера, а також записував свої копії в файли на жорсткому диску (незворотно затираючи тим самим їх оригінальний зміст). Жертвами вірусу були, зокрема, картинки у форматі JPEG, програми Java Script і Visual Basic Script, а також цілий ряд інших файлів. І ще вірус ховав відео- і музичні файли у форматах MP2 і MP3.
Крім цього, вірус здійснював кілька дій з інсталяції себе в систему і зі встановлення окремих додаткових вірусних модулів, які сам перекачував з Інтернету.
Все це свідчить про те, що вірус VBS.LoveLetter дуже небезпечний! Поряд з прямим псуванням даних і порушенням цілісності захисту операційної системи, він розсилав велику кількість повідомлень - своїх копій. У низці випадків вірус паралізував роботу цілих офісів.
Ramen
Ramen (січень, 2001) - вірус, за лічені дні вразив велику кількість великих корпоративних систем на базі операційної системи Linux.
Цей небезпечний інтернет-хробак атакував сервери, що функціонують під управлінням операційних систем Red Hat Linux 6.2 і Red Hat Linux 7.0. Перші повідомлення про появу цього черв'яка були отримані з країн Східної Європи, що дозволяє припускати його східноєвропейське походження. Для свого розмноження хробак використовує деякі слабкі місця в додатках цих операційних систем.
Хробак є архівом з ім'ям ramen.tgz, що містить 26 різних виконуваних файлів і shell-скриптів. Кожен виконуваний файл знаходиться в архіві у двох примірниках: скомпільований для запуску в Red Hat 6.2 і для запуску в Red Hat 7.0. Також в архіві є виконуваний файл з назвою wu62, який не використовується при роботі черв'яка.
При зовнішній нешкідливості цей хробак надзвичайно небезпечний, оскільки порушує нормальне функціонування сервера. Робота http-сервера буде порушена знищенням вмісту всіх index.html файлів, анонімний ftp-доступ до сервера буде заборонений, сервіси RPC і LPD будуть видалені, обмеження доступу через hosts.deny будуть зняті.
Хробак застосовує у своєму коді багато злегка модифікованих експлоїтів, доступних раніше на хакерських сайтах, а також на сайтах, присвячених мережевій безпеці.
Слід зазначити, що хробак використовує при атаках «дірки», найсвіжіша з яких відома з кінця вересня 2000 р. Однак те, що при інсталяції системи на неї встановлюються вразливі сервіси, а багато користувачів і адміністратори не виробляють належний моніторинг попереджень про «слабкі місця» системи і вчасно їх не усувають, робить хробака більш ніж життєздатним.
Саме з його появою був зруйнований міф про те, що вірусів під Linux не буває.
CodeRed
CodeRed (12 липня, 2001) - представник нового типу шкідливих кодів, здатних активно поширюватися і працювати на заражених комп'ютерах без використання файлів. У процесі роботи такі програми існують виключно в системній пам'яті, а при передачі на інші комп'ютери - у вигляді спеціальних пакетів даних.
Найбільш детальний і оперативний опис і аналіз хробака були зроблені програмістами групи eEye Digital Security. Вони також дали вірусу назву - натяк на вигляд напою Mountain Dew і фразу-попередження у вірусі Hacked By Chinese! («Зламано китайцями!») - натяк на комуністичний Китай, хоча насправді вірус, швидше за все, був написаний етнічними китайцями на Філіппінах. Цією фразою хробак замінював вміст веб-сайтів на зараженому сервері.
Хробак використовував уразливість в утиліті індексування, що поставлялася з веб-сервером Microsoft IIS. Ця вразливість описана вендором - Microsoft - на їхньому сайті MS01-033 (англ.). Крім того, за місяць до епідемії була опублікована відповідна заплатка.
Експерти eEye стверджують, що хробак почав своє поширення з Макаті-Сіті на Філіппінах.
Фактично, даний вірус поклав початок цілої серії вірусів (і це, на жаль, триває досі). Її відмінною рисою виявилося те, що віруси виникають через деякий час після того, як з'являються відповідні оновлення від виробників ПЗ.
За оцінками CERT (Community Emergency Response Team), число комп'ютерів, заражених хробаком Code Red, досягає приблизно 350 тис. Створений ним трафік в Інтернеті, у міру того як заражені комп'ютери шукали нові жертви, наклав істотний відбиток на загальну швидкість Інтернету.
Прояви, спочатку закладені в Code Red, полягали у використанні всіх заражених ним комп'ютерів для організації DOS-атаки проти веб-сайту Whitehouse.gov (веб-сайту Білого дому).
Цим було покладено початок використанню недбалого ставлення системних адміністраторів до встановлення оновлень ПЗ.
Cabir
Cabir (червень, 2004) - перший мережевий хробак, що поширюється через протокол Bluetooth і заражає мобільні телефони, що працюють під управлінням OS Symbian. З появою цього хробака стало зрозуміло, що відтепер заражувані не тільки ПК, а й смартфони. У наші дні загрози для смартфонів вже обчислюються мільйонами. А починалося все в далекому 2004 р.
|
Cabir |
На малюнку нижче наведена поквартально статистика збільшення кількості мобільних зловредів в 2013 р. А починалося все в 2004 р. з першого вірусу Cabir...
|
За даними «Лабораторії Касперського» |
Kido
Головну епідемію 2009 р. викликав хробак Kido (Conficker), який вразив мільйони комп'ютерів по всьому світу. Він використовував кілька способів проникнення на комп'ютер жертви: підбір паролів до мережевих ресурсів, поширення через флеш-накопичувачі, використання вразливості Windows MS08-067. Кожен заражений комп'ютер ставав частиною зомбі-мережі. Боротьба зі створеним ботнетом ускладнювалася тим, що в Kido були реалізовані найсучасніші та найефективніші технології вірусописувачів. Зокрема, одна з модифікацій хробака отримувала оновлення з 500 доменів, адреси яких випадково вибиралися з щодня створюваного списку в 50 тис. адрес, а в якості додаткового каналу оновлень використовувалися з'єднання типу P2P.
Разом з тим творці Kido не проявляли великої активності до березня 2009 р., хоча, за різними оцінками, до цього часу він вже зміг заразити до 5 000 тис. комп'ютерів у всьому світі. І в ніч з 8 на 9 квітня 2009 р. зараженим ПК була дана команда на оновлення з використанням з'єднання Р2Р. Крім оновлення Kido, на заражені ПК завантажувалися дві додаткові програми: поштовий хробак сімейства Email-Worm.Win32.Iksmas, що займається розсилкою спаму, і лжеантивірус сімейства FraudTool.Win32.SpywareProtect2009, що вимагає гроші за видалення нібито знайдених програм.
Для боротьби з цією загрозою була створена спеціальна група Conficker Working Group, що об'єднала антивірусні компанії, інтернет-провайдерів, незалежні дослідницькі організації, навчальні заклади та регулюючі органи. Це перший приклад такого широкого міжнародного співробітництва, що вийшло за рамки звичайних контактів між антивірусними експертами.
Епідемія Kido тривала протягом усього 2009 р. У листопаді кількість заражених систем перевищила 7 000 тис.
У 2012 р. з'явилася кіберзброя.
Wiper
Наприкінці квітня 2012 р. Іран сильно стривожив «містичний» троянець: з'явившись невідомо звідки, він знищив безліч баз даних у десятках організацій. Одним з тих, хто найбільше постраждав від нього, став найбільший в Ірані нафтовий термінал, робота якого була зупинена на кілька днів через те, що були знищені дані про нафтові контракти.
Творці Wiper доклали максимум зусиль, щоб знищити абсолютно всі дані, які можна було б використовувати для аналізу інцидентів. Тому в жодному з проаналізованих нами випадків, які ми мали після активації Wiper, від шкідливої програми не залишилося майже ніяких слідів.
Немає жодного сумніву в тому, що існувала програма-зловред, відома як Wiper, яка атакувала комп'ютерні системи в Ірані (і, можливо, в інших частинах світу) до кінця квітня 2012 р. Вона була написана так професійно, що, будучи активована, не залишала після себе ніяких даних. Тому, незважаючи на те, що були виявлені сліди зараження, сама шкідлива програма залишається невідомою: не надійшло жодних відомостей про жодні інші інциденти з перезаписом вмісту диска, що сталися за тією ж схемою, що при зараженні Wiper, а також не зареєстровано жодного виявлення цього небезпечного ПЗ компонентами проактивного захисту, що входять до складу захисних рішень.
Все це, в цілому, призводить до думки про те, що дане рішення швидше є продуктом діяльності технічних лабораторій ведення комп'ютерних воєн однієї з розвинених країн, ніж просто плодом розробки зловмисників.
Flame
Flame - це досить хитрий набір інструментів для проведення атак, що значно перевершує за складністю Du^. Це троянська програма - бекдор, що має також риси, властивість "