Искусство цифровой самозащиты
Шрифт:
По различным оценкам, от вируса пострадало около полумиллиона персональных компьютеров по всему миру. На этих компьютерах сработала «логическая бомба» – была уничтожена информация на жестких дисках и повреждены данные на микросхемах BIOS. По данным The Register, 20 сентября 2000 года власти Тайваня арестовали создателя этого знаменитого компьютерного вируса.
При запуске зараженного файла CIH помещает свой код в память Windows, перехватывая запуск EXE-файлов и записывая в них свою копию. В зависимости от текущей даты вирус способен повреждать данные на Flash BIOS и жестких дисках компьютера.
Компьютерные вирусы – это вредоносное программное обеспечение, часто исполняемые файлы, которые могут копироваться и передаваться с одного компьютера на другой с помощью устройств передачи файлов. Они могут присоединяться к другому исполняемому
Нерезидентные вирусы предназначены для распространения путем прикрепления к исполняемому файлу. В нерезидентных вирусах есть два компонента, которые работают следующим образом:
• Модуль поиска, который ищет исполняемые файлы в системе.
• Модуль репликатора, который копирует и прикрепляет копии к найденным исполняемым файлам.
Резидентный вирус работает иначе: у него отсутствует модуль поиска, но он постоянно находится в системной памяти. Каждый раз, когда исполняемый файл запускается на компьютере, он становится целью для модуля репликатора, и копия вируса прикрепляется к исполняемому файлу.
Так и мы с братом подцепили вирус Win9x.CIH, как и многие другие пользователи ПК, которым посчастливилось купить тот самый злополучный диск с новой операционной системой Microsoft Windows 2000. Спасло нас, видимо, то, что CIH работал на старом семействе операционных систем Win9x [22] , а мы обнаружили и удалили его уже под системой семейства WinNT [23] . У вируса попросту не было возможности активироваться.
22
Windows 9x – часто используемое общее название для операционных систем Windows версий 4.x: Windows 95, Windows 98/98SE и Windows Me от корпорации Microsoft. Поскольку архитектура этих систем весьма схожа, термин Windows 9x зачастую используется для обозначения их всех (например, при сравнении этих систем с системами линии Windows NT).
23
Windows NT (в просторечии просто NT) – линейка операционных систем (ОС) производства корпорации Microsoft и название первых версий ОС. Windows NT была разработана после прекращения сотрудничества Microsoft и IBM над OS/2, развивалась отдельно от других ОС семейства Windows (Windows 3.x и Windows 9x). В отличие от Windows 3.x и Windows 9x, Windows NT позиционировалась как надёжное решение для рабочих станций (Windows NT Workstation) и серверов (Windows NT Server). Windows NT дала начало семейству операционных систем, в которое входят: собственно Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8, Windows 10.
Если уйти в историю, то первым компьютерным вирусом для персонального компьютера под управлением операционной системы MS-DOS и первым вирусом, вызвавшим глобальную эпидемию в 1986 году, был Brain (с англ. – мозг). Brain написали два брата из Пакистана, Базит и Амжад Фарук Альви, в целях отслеживания пиратских копий их медицинского программного обеспечения, и он не был нацелен на причинение вреда. Братьям тогда было 17 и 24 года.
Заражение компьютера происходило путем записи копии вируса в загрузочный сектор дискеты [24] . Старая информация переносилась в другой сектор и помечалась как «поврежденная». Метка тома изменялась на ©Brain.
24
Дискета, гибкий магнитный диск (ГМД; англ. floppy disk, англ. diskette) – сменный носитель информации, используемый для многократной записи и хранения данных. Представляет собой гибкий пластиковый диск, покрытый ферромагнитным слоем и помещённый в защитный корпус из пластика. Считывание или запись данных с дискет производится посредством специального устройства – дисковода; в отечественной индустрии также использовался термин «накопитель (на) гибких магнитных дисках» (НГМД).
Дискеты имели массовое распространение с 1970-х и до начала 2000-х годов, придя на смену магнитным лентам и перфокартам. В конце XX века дискеты начали уступать более ёмким оптическим дискам CD-R и CD-RW, а в XXI веке – и более удобным флеш-накопителям.
У братьев была компьютерная фирма Brain Computer Services, и вирус они написали, чтобы отслеживать пиратские копии их медицинского софта. Пиратская программа отжирала оперативку, замедляла работу диска и иногда мешала сохранить данные. По заверениям братьев, она не уничтожала данные.
Brain «не умел» работать с разделами жестких дисков, поэтому в него была встроена проверка, не позволявшая ему заражать жесткий диск. Это отличает его от многих вирусов того времени, которые не обращали внимания на разделы, что приводило к уничтожению данных. Благодаря относительной «миролюбивости» вирус часто оставался незамеченным, особенно когда пользователь не обращал внимания на замедление работы дискет.
Программа
содержала следующее сообщение:Welcome to the Dungeon 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS… Contact us for vaccination… $#@%$@!!
«Добро пожаловать в подземелье… Берегитесь этого вируса… Свяжитесь с нами для лечения…»
В заголовке были указаны реальные контакты. Когда кто-либо звонил им за помощью, они могли идентифицировать пиратскую копию. Также вирус подсчитывал количество сделанных копий.
Братья обнаружили, что пиратство было широко распространено, и копии их программ распространялись очень далеко. Амжад говорит, что первый звонок к ним поступил из США, Майами.
Это был первый из множества звонков из США. Проблема оказалась в том, что Brain распространялся и по другим дискетам, а не только по копиям их программы. В Университете Делавера в 1986 году даже случилась эпидемия этого вируса, а затем он появлялся и во многих других местах. Исков подано не было, но в газетах про это писали много. Создателей даже упоминали в журнале Time Magazine в 1988 году.
New York Times писала в мае 1988-гo: «Дерзкая компьютерная программа, которая в этом месяце появилась на компьютерах “Бюллетеня Провиденса”, уничтожила файлы одного корреспондента и распространилась через дискеты по всей сети газеты. Компьютерщики считают, что это первый случай заражения компьютерной системы американской газеты такой дерзкой программой, которую называют компьютерным вирусом».
Братьям Альви пришлось сменить телефоны и убрать контакты из поздних версий вируса. Продажи программы они прекратили в 1987 году. Их компания выросла в телекоммуникационного провайдера, и сейчас это крупнейший провайдер в Пакистане. Расположена она всё по тому же адресу.
Итак, компьютерный вирус – это такая вредоносная программа, которая может распространять сама себя путем внедрения своего кода в другие программы, загрузочные сектора дисков, системные области памяти. Главное отличие вируса от троянской программы – в его способности к самораспространению через заражение. Кроме того, часто его сопутствующей функцией является нарушение работы программно-аппаратных комплексов – удаление файлов, удаление операционной системы, приведение в негодность структур размещения данных, нарушение работоспособности сетевых структур, кража личных данных, вымогательство, блокирование работы пользователей и т. п. Т. е. вирус может распространяться через заражение файлов, но нести в себе функционал троянской программы. А вот троянская программа представляет из себя отдельный исполняемый файл, который сам по себе распространяться не может.
Хотя вирусы и остаются ощутимой угрозой, время их массового создания и распространения уже прошло. Интернет стал доступен практически каждому, а программы теперь просто скачиваются, а не продаются на дисках. Злоумышленникам стало дешевле и проще заражать пользователей в сети, используя эксплойты, вместо того чтобы писать саморазмножающиеся вирусы.
Один из последних случаев массового заражения компьютерным вирусом произошел в далеком 2004 году. Началось всё с того, что вирус ILoveYou был разослан на почтовые ящики с Филиппин в ночь с 4 на 5 мая 2000 года. В теме письма содержалась строка ILoveYou, отсюда и его название, а к письму был приложен скрипт LOVE-LETTER-FOR-YOU.TXT.vbs [25] . В большинстве случаев пользователь открывал вложение. При открытии вирус рассылал копию самого себя всем контактам в адресной книге Microsoft Outlook. Он также перезаписывал файлы определенных типов и распространялся через IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. В общей сложности вирус поразил более 5 миллионов компьютеров по всему миру. Предполагаемый ущерб, который червь нанес мировой экономике, оценивается в размере до 15 миллиардов долларов, за что вирус вошел в Книгу рекордов Гиннесса как самый разрушительный в мире.
25
VBScript (VBS, развернуто Microsoft Visual Basic Script Edition, иногда Visual Basic Script) – язык сценариев, созданный компанией Microsoft на основе языка Visual Basic, предназначенный для применения в приложениях, использующих технологию Active Scripting.
Со временем вирусописателям пришлось выдумывать различные способы противостоять антивирусам, поэтому появились полиморфные и метаморфные вирусы.
Полиморфные вирусы
Полиморфный вирус – сложный компьютерный вирус, он зашифрован с помощью переменного ключа шифрования. У такого вируса есть небольшая часть – декриптор (дешифратор), он получает управление при запуске вируса и расшифровывает основное тело. Поэтому каждая копия отличается от других. Другими словами, это зашифрованный вирус, разработанный для предотвращения обнаружения антивирусным программным обеспечением или сканером.