Предишният път разгледахме зараждането на компютърните вируси и първите епидемии. Но това ставаше във времена, когато потребителите въобще не се замисляха за подобни неща, а антивирусните програми не бяха особено разпространени и със съвсем слаби възможности.

Този път ще се спрем на злонамерения софтуер, който успяваше да се разпространи, когато антивирусните програми вече бяха неизменна част от операционната система. Но и не помагаха особено.

Melissa

След пандемията, организирана от вируса Чернобил, популярността на антивирусните програми рязко нарасна. Но техните възможности бяха много далече от съвременните решения. По това време, много потребители вече имаха електронна поща и общо взето, всички се примиряваха със спама. Но представете си, че от ваш приятел пристига писмо с текст: „Here is that document you asked for…don’t show anyone else“ (Това е документът, който търсеше… на никого не го показвай). Към имейла бе прикрепен обикновен Word файл. Много потребители мислеха, че един обикновен текстов файл със сигурност няма как да е опасен (още повече, е е изпратен от приятел). Следва отваряне на файла, а след това всичко е въпрос на техника. Понеже в обикновения Word файл може да бъде скрит всякакъв код.

За щастие, през не толкова далечната 1999 година, когато този вирус се появи, никой не мислеше да прави пари от нещо подобно. От заразения компютър, Melissa просто изпращаше своя код към 50 контакта от Outlook. Но това се оказа предостатъчно, за да срине пощенските сървъри на Microsoft. За да намалят разпространението на вируса, големите корпорации започнаха да изключват своите e-mail сървъри. А това оказа голямо влияние на ефективността на работата на служителите.

Единственото, за което не се е сетил създателят на Melissa е, че много лесно може да бъде открит. ФБР много бързо свърши тази работа. Оказа се, че вирусът за първи път е пуснат от Internet адрес на AOL. Това бе адресът на 30 годишният Дейвид Смит. Той бързо си призна и помогна на следствието. В крайна сметка получи 10 години лишаване от свобода и глоба от $5000. Това съвсем не е много, като се има предвид нанесената щета за над $80 милиона. Да не говорим за пропуснатите печалби на корпорациите, изчислени на стотици милиони долари.

При своя пик на разпространение Melissa зарази 15-20% от всички делови компютри от целия свят. А създателите на антивирусни програми научиха ценен урок, че вирусът може да бъде скрит не само в изпълнимите файлове, но и във всички други. Ето защо се налага да се прави анализ на съдържанието на всички файлове.

ILOVEYOU

ILOVEYOU се счита за първия масов вирус, нарочно написан да поврежда файловете. Негови създатели са двамата млади филипински програмисти Реонел Рамонес и Онел де Гузман. Те дори не измислиха нещо ново, а се възползваха от идеите на Melissa, но малко промениха кода.

Разбира се, по това време антивирусните програми вече проверяваха всички прикачени към имейлите файлове. Само че далеч не всички имаха антивируси. А промяната в кода бе такава, че вирусът не си изпраща кода до 50 Outlook контакта, като Melissa, а до всички налични контакти. Това силно разшири обхвата на заразата. И още, антивирусните от това време често намираха вируси там, където ги няма, и потребителите ги игнорираха.

От това се възползваха създателите на ILOVEYOU. Той също се разпространява като прикачен файл, а текстът на писмото е съвсем опростен – „Провери си прикачения файл“. Това свърши работа. Въпросният файл се нарича LOVE-LETTER-FOR-YOU.TXT.vbs. Към днешен ден повечето потребители знаят, че по подразбиране Windows скрива разширенията на регистрираните в системата файлове. В резултат от това, потребителите виждат само LOVE-LETTER-FOR-YOU.TXT – тоест, най-безобиден текстов файл. И дори антивирусната да се опита да предупреди, файлът често бе отварян. Как да повярваш, че един обикновен текстов файл е опасен?

Резултатът е ясен, понеже това си е скрипт, написан на програмния език VBScript. Но докато Melissa успя само да парализира пощенските сървъри, ILOVEYOU сканираше файловете на диска с по-популярни разширения (JPG, MP3, DOC и т.н) и по този начин се случваше да унищожи ценна лична информация.

И тъй като това е обикновен скрипт, който лесно може да се промени, излязоха над 20 най-различни модификации нанасящи най-различни поражения. Тук за първи път се появи нов модел, Някои от тях започнаха да търсят лични данни и конфиденциална информация, и да ги изпращат на създателя на модифицирания вирус.

В крайна сметка, заразени бяха над 50 милиона компютри – около 10% от всички компютърни системи. Вредата бе изчислена от 5 до 15 милиарда долара, понеже имаше унищожаване на потребителски данни.

А създателите на вируса се отърваха само с лека уплаха. Филипинските закони от това време не предвиждаха криминална отговорност за киберпрестъпления. Реонел и Онел просто бяха пуснати на свобода. Но законодателството на Филипините бе коригирано много бързо – само два месеца след случая.

Code Red

Вирусите преди Code Red не използват уязвимостите на операционните системи, а невниманието, заблудата и любопитството на потребителите. Но тогава (както и сега), дупките в безопасността бяха много и започването на тяхното използване бе въпрос на време.

Първият масов червей от подобен род бе Code Red, пуснат в Глобалната мрежа на 19 юли 2001 година. Той атакува компютрите с работещ уеб-сървър Microsoft IIS, използвайки доста разпространената уязвимост „препълване на буфера“. Уязвимостта се използва съвсем банално – непрекъснато се въвежда „N“, докато сървърът не се срине, след което се вмъква вредоносния код. Интересното тук е, че Microsoft е знаел за тази уязвимост и е представил пача за нея още през месец юни, който изцяло премахва проблема. Само че далеч не всички са го инсталирали.

Самият вирус работи малко дървено – просто заменя всички данни в заразения сайт на следната фраза:

HELLO! Welcome to ! Hacked By Chinese!

По-сериозните сайтове си имат архиви, систем-администраторите възстановиха данните си от архива и загубите бяха незначителни.

Но след това последва голяма изненада. След анализа на кода на червея, експертите откриха, че той не само въвежда забавния текст, цитиран по-горе. След от 20 до 27 дни заразеният сървър трябва да започне DDOS атака към няколко IP адреса, единият от които на Белия дом.

След анализа се видя, че кодът на вируса не е написан особено грамотно. Той дори не проверява на какъв сървър е попаднал и дали това е уязвим IIS. Дори и в лог файловете на Apache сървърите бяха открити опити за осъществяване на препълване на буфера. Но идеята е добра, а разпространението мащабно – чрез случайни IP адреси.

Code Red успя да зарази 400 000 сървъра и нанесе щети за около $2,5 милиарда. Създателите на червея така и не бяха открити. Но мястото на възникването на епидемията бе определено съвсем точно – Макати-Сити, Филипини. Отново там.

Всъщност името Code Red на този червей бе дадено от експертите, които го изследваха. По това време е популярен коктейла Code Red Mountain Dew, а и вирусът съдържа „Хаканто от китайците“ и се натрапва асоциацията с „червения комунистически Китай“. Code Red подхожда идеално.

SQL Slammer

Това е класически случай за неправилно избрано време, който спаси уеб-пространството от пандемия. Ако атаката не бе започнала в събота на 25 януари 2003 година, а два дни по-късно – в понеделник, щетите от нея щяха да бъдат невероятни. Но дори и в събота, само за 10 минути вирусът зарази над 75 000 компютри. Използваше се същата уязвимост – препълване на буфера, само че този път в Microsoft SQL Server.

Това е червей с дължина само 376 байта, който се побира в един UDP пакет. Именно това е причината за неговото толкова бързо разпространение. Принципът на действие не е сложен – търси се рутер с SQL Server, заразява се и се присъединява към бот мрежата. Интересно е, че самият вирус не съдържа вредоносен код – той се намесва в естествения начин на работата на рутерите. По принцип, маршрутизаторите са направени така, че ако трафикът през тях е твърде голям, те го задържат за обработка и по този начин рязко понижават пропускателната способност.

И още, ако след известно време проблемът с увеличения трафик не се е решил, рутерът рестартира и възстановява таблицата с маршрутите от другите рутери. Ето защо, не след дълго, по-голямата част от Глобалната мрежа бе заета именно с възстановяването на маршрутизацията. А това парализира потребителския трафик.

Резултатите бяха плачевни. Сринаха се около 500 000 сървъра. В Южна Корея нямаше интернет в продължение на 12 часа. А що се отнася до решаването на проблема – оказа се, че Microsoft е пуснал необходимия пач половин година по-рано. Практиката показа, че урокът с Code Red не е научен.

Blaster, Sobig.F, Bagle, MyDoom

Пикът на вирусите чрез прикачени файлове в електронната поща бе регистриран през 2002-2005 години. Въпреки че всички бяха предупредени (и сега всички са предупредени) да не отварят прикачените файлове в имейлите от непознати, тези файлове продължиха да се отварят. Загубите от тези действия достигнаха милиарди долари, заразени бяха милиони компютърни системи, и през тези години едно от всеки 10 писма бе с вирус.

Нищо оригинално не бе измислено в тези компютърни зарази. Но някои бяха забавни – имаше послания „I just want to say LOVE YOU SAN!!“ (Просто искам да кажа, ОБИЧАМ ТЕ СИНЕ!!), billy gates why do you make this possible? Stop making money and fix your software!! (били гейтс, защо направи това възможно? Стига си правил пари, а си оправи софтуера!!). А този вирус осъществяваше и DDoS атака към сайта windowsupdate.com, откъдето идват обновяванията за ОС Windows. Има и други подобни компютърни вируси, които почти не се различават по начин на действие и не си струва да им отделяме време.

 


Това е всичко на този етап. В следващата последна част ще обърнем внимание на съвременните вирусни атаки, които не са осъществени от един-два програмиста, а от групи професионалисти.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
2 Коментара
стари
нови оценка
Отзиви
Всички коментари