Всё о вирусах. История вредоносных программ.

История вредоносных программ. (Продолжение)

История вредоносных программ
Мнений по поводу рождения первого компьютерного вируса очень много. Нам доподлинно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были.

Несмотря на это, сама идея компьютерных вирусов появилась значительно раньше. Отправной точкой можно считать труды Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, которые стали известны в 1940-х годах. В 1951 г. этот знаменитый ученый предложил метод, который демонстрировал возможность создания таких автоматов. Позднее, в 1959 г. журнал "Scientific American" опубликовал статью Л.С. Пенроуза, которая также была посвящена самовоспроизводящимся механическим структурам. В отличие от ранее известных работ, здесь была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Позднее, по следам этой статьи другой ученый Ф.Ж. Шталь реализовал модель на практике с помощью машинного кода на IBM 650.

Необходимо отметить, что с самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать мир, сделать его более приспособленным для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике и искусственному интеллекту. И в том, что последующие поколения злоупотребили плодами технического прогресса, нет вины этих замечательных ученых.

В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

На этом теоретические исследования ученых и безобидные упражнения инженеров ушли в тень, и совсем скоро мир узнал, что теория саморазмножающихся структур с не меньшим успехом может быть применена и в несколько иных целях.
______________________________

Перспективы развития вредоносных программ
Складывающаяся сейчас на вирусном фронте ситуация обусловлена событиями, произошедшими во второй половине 2003 года. Громадное влияние на современную вирусологию оказали всемирные эпидемии, вызванные следующими сетевыми и почтовыми червями: Lovesan, Sobig, Swen и Sober. Каждый из них возвел в ранг эталона собственные отличительные черты, все из которых активно используются в настоящее время новыми вирусами и будут продолжать использоваться в обозримом будущем.

Основные тренды — 2003 год
Worm.Win32.Lovesan
Итак, сетевой червь Lovesan, появившийся в августе 2003 года, использовал для своего распространения критическую уязвимость в операционной системе Windows. За считанные дни ему удалось заразить миллионы компьютеров по всему миру. Использованный им принцип размножения, через глобальную сеть интернет, с непосредственной атакой заражаемого компьютера, игнорируя традиционные для того времени пути распространения — электронную почту, IRC, P2P-сети — был впервые реализован еще в 1988 году в первом в истории сетевом черве Моррисона, однако затем, на протяжении почти 15 лет, ничего подобного не случалось.

Отметим, что Lovesan был не единственным подобным червем в 2003 году. Первым стал червь Slammer, за три дня в январе 2003 сумевший заразить около полумиллиона компьютеров. Он также использовал уязвимость в программном продукте компании Microsoft — MS SQL Server. Однако в целом, глобальные последствия и количество реальных случаев заражения заставляют отдать пальму первенства именно Lovesan.

Впрочем, Slammer можно считать первым, классическим бестелесным червем, написание которого является, несомненно, делом более трудным. Подтверждением этого является то, что за полтора года, прошедших с момента эпидемии Slammer, появился только один новый бестелесный червь - Witty, в марте 2004 года.

В дополнение ко всему, червь Lovesan пытался организовать DDoS-атаку на сайт компании Microsoft, что могло повлечь за собой весьма печальные последствия для миллионов пользователей, которые могли бы остаться без возможности установки обновлений программных продуктов, в том числе и тех, что должны защитить компьютер от червей, аналогичных Lovesan. К счастью, DDoS-атака не удалась, но принципиальная ее возможность заставила Microsoft значительно изменить архитектуру и принцип доступа к своим ключевым сетевым ресурсам.

Таким образом, Lovesan сделал классическими следующие черты современных вирусов:

использование критических уязвимостей в программных продуктах Microsoft;
распространение через глобальную сеть, путем прямого подключения к атакуемому компьютеру;
организация распределенной DoS-атаки на произвольные сайты.

I-Worm.Sobig.f
Почтовый червь Sobig.f появился в самом конце августа 2003 года и буквально за пару дней вызвал крупнейшую эпидемию почтового червя в XXI веке. На пике его активности, практически каждое 10 электронное письмо содержало в себе данного червя. Объемы почтового трафика возросли в десятки раз. Свой вклад в этот прирост внесли и миллионы отчетов почтовых антивирусов, честно рапортующих «отправителям» о найденном в письме вирусе и его удалении.

Червь не использовал какие-либо уязвимости, имел довольно простенькие темы и тексты писем, но масштабы его проникновения на пользовательские компьютеры стали настолько велики, что обнаруженная в нем функция приема команд извне (бэкдор) заставила всех антивирусных экспертов с тяжелым сердцем ожидать 22 августа 2003 года — дня, когда все зараженные Sobig.f компьютеры должны были получить команду от своего «создателя». Что могло содержаться в той команде — не знал никто. Однако команда не пришла, серверы, откуда она могла быть послана, были оперативно закрыты, что не помешало Sobig.f почти год оставаться одним из самых распространенных почтовых червей.

Столь гигантские масштабы эпидемии не могли быть вызваны традиционным червем, который выпускается в сеть с нескольких компьютеров и достигает пика своей активности спустя недели, а то и месяцы с момента своего запуска. Задолго до появления Sobig.f, еще с января 2003 года, стали появляться его «старшие братья», другие черви того же семейства. Все они планомерно заражали компьютеры, создавая возможность рассылки через них все новых и новых версий. В конце концов, когда число предварительно зараженных ранними версиями червя машин достигло критической массы, через них хлынул поток писем с Sobig.f.

Фактически именно Sobig.f положил начало эпидемиям почтовых червей, которые произошли в 2004 году и еще произойдут в будущем:

Предварительное создание гигантской сети зомби-машин (установка бэкдоров и троянцев);
первоначальная рассылка миллионов копий червя при помощи спам-технологий.

I-Worm.Swen
18 сентября 2003 года, рано утром по московскому времени, «Лаборатория Касперского» получила первый экземпляр данного червя от одного из пользователей в Новой Зеландии. Червь сразу привлек внимание своей оригинальностью, однако тогда речь о глобальной эпидемии еще не шла. Лишь спустя 6-8 часов, когда сообщения о заражении стали поступать практически отовсюду, стало ясно, что на вирусном фронте появился новый, опасный «игрок».

Swen использовал для размножения традиционные способы — электронную почту, IRC, P2P-каналы. Однако не это было его отличительной чертой. Особенностью данного червя стал мощнейший метод социального инжиниринга: Swen выдавал себя за специальный патч от компании Microsoft, якобы устраняющий все известные уязвимости. Формат письма, содержащий легко узнаваемые элементы официального сайта Microsoft, ссылки на другие ресурсы данной компании и грамотно составленный текст письма, неотразимо действовал не только на неискушенных, но и на многих опытных пользователей, заставляя их запускать приложенный к письму файл. Этому изрядно поспособствовали недавние эпидемии Lovesan и Sobig, после которых пользователи привыкли к необходимости установки новых патчей и слухам о возможной атаке на сайт Microsoft, способной привести к невозможности загрузки обновлений.

Масштабы разразившейся эпидемии, конечно, уступали и Lovesan, и Sobig, да и способ рассылки своих писем через 350 открытых для этого серверов, был не идеален, но в целом именно Swen стал первым, кто в полной мере смог использовать еще один способ проникновения на компьютер:метод социального инжиниринга.

I-Worm.Sober
Наконец, последний яркий представитель 2003 года — почтовый червь Sober, характерный пример вирусописательского плагиата, который смог кое в чем переплюнуть свои оригиналы. Написанный как подражание Sobig; использующий множество различных текстов писем, причем на разных языках, выбираемых в зависимости от страны получателя письма; выдающий себя за утилиту для удаления Sobig — он первым смог объединить в себе некоторые черты двух других червей, о которых было сказано выше и, таким образом, стал первым подтверждением наметившихся тенденций.

Продолжение трендов — 2004 год
Первое полугодие 2004 года принесло нам множество новых, зачастую оригинальных вредоносных программ, активно использовавших идеи своих предшественников и, в свою очередь, добавивших множество новых черт к основным тенденциям развития вирусов.

Trojan-Proxy.Win32.Mitglieder
Троянский прокси-сервер Mitglieder появился сразу после новогодних праздников. Утром 4 января 2004 года тысячам пользователей ICQ было разослано сообщение с просьбой посетить некий сайт. Многие из тех, кто зашел по присланной ссылке, вскоре обратились за помощью в антивирусные компании. На сайте была размещена троянская программа, которая, используя одну из множества уязвимостей Internet Explorer, скрытно устанавливала и запускала троянский прокси-сервер, открывавший на зараженной машине порты для приема и дальнейшей отправки почтовых сообщений. Проще говоря - позволял использовать зараженный компьютер для рассылки спама.

Тут можно отметить две черты, которые в будущем неоднократно использовались вирусописателями и хорошо вписываются в общую картину тенденций:

рассылка сообщений по электронной почте или ICQ с целью привлечения пользователей на зараженный сайт;
фактическое выделение троянских прокси-серверов в отдельный класс, тесно связанный и направленный на рассылку спама.

Была и еще одна черта, о которой мы уже сказали выше — «создание сети зомби-машин», но всерьез она проявилась чуть позже, когда появился червь Bagle.

I-Worm.Bagle
Bagle, по всем признакам написанный той же группой вирусописателей, что и Mitglieder, либо сразу устанавливал на зараженные машины троянский прокси-сервер, либо загружал его из интернета. Фактически это был тот же самый Mitglieder, только с функцией саморазмножения по электронной почте. И, что не менее важно, для рассылки Bagle опять-таки использовались машины, ранее зараженные троянцем Mitglieder.
__________________________

Продолжение следует.