Чертова дюжина чертей - самые разрушительные вирусы

С того самого дня, как был изобретен компьютер, определенные умы были заняты созданием программ, предназначенных не для облегчения вычислений или ускорения работы вычислительных машин, но для создания хаоса. Вредоносные программы, написанные ими за все эти годы, успели нанести значительный ущерб компьютерам по всему миру, нам они известны как компьютерные вирусы. В первые дни, на заре компьютерной эры, действие этих программ было направлено на поражение отдельных ПК, так как лишь небольшая часть компьютеров имела подключение к Сети. Вычислительные технологии совершенствовались, росла роль Интернета в жизни людей и компьютеров, создатели вирусов также вышли на новый плацдарм, они получили возможность производить атаки через Сеть, причиняя гораздо больше вреда за наименьший промежуток времени. Суммы ущерба, причиненного вирусами, росли как на дрожжах.

Обычным пользователям компьютерные вирусы могут показаться маленьким недоразумением или даже приключением, доставляющим всего лишь некоторые неудобства. Если представить более широкую картину, то можно увидеть полностью парализованные после вирусной атаки компьютерные системы государственных учреждений, университетов и школ, предприятий и фирм.

Эти вирусы распространяются быстрее, чем вирус гриппа, благодаря Глобальной компьютерной сети. Современный бизнес имеет очень высокую зависимость от компьютерных систем и сетей передачи данных в области производства, реализации товаров и предоставления услуг. Вирусная атака может привести к миллионам и даже миллиардам долларов убытков и потерь. Хотя не все вредоносные компьютерные программы были разрушительными в глобальном масштабе, некоторые из них вызвали значительный ущерб. В нашем списке тринадцать самых разрушительных компьютерных вирусов всех времен.

1. CIH, он же Чернобыльский вирус, он же Spacefiller (1998)
Этот вирус считался одним из наиболее опасных и разрушительных, потому что он был способен длительное время оставаться незамеченным в памяти компьютера, заражая все запускаемые программы и приложения. Вирус CIH был выпущен в Сеть и впервые обнаружен в 1998 году (однако пользователи познакомились с его действием в апреле 1999 года, в 13-ю годовщину аварии на Чернобыльской АЭС), инфицировал исполняемые файлы операционных систем Windows 95, 98 и ME. Совершенно случайно распространению этого вируса оказали помощь поставщики программного обеспечения, это способствовало массовому характеру заражения компьютеров. Особо опасной особенностью этого вируса было то, что его активация была привязана к конкретной дате, это была мина замедленного действия. После установленной даты вирус перезаписывал все файлы на жестком диске компьютера и полностью уничтожал его содержимое. Вирус также имел возможность модификации BIOS компьютера, после которой компьютер вообще переставал загружаться. Автор грозного вируса - выпускник университета Тайваня Чен Инь Хау (Chen Ing Hau - CIH), который и дал ему свое имя. Вирус также известен как Spacefiller, благодаря своей способности к незаметному заполнению всего свободного файлового пространства на жестких дисках компьютера, чтобы не допустить установки и запуска антивирусного программного обеспечения. Вредоносная программа вызвала значительный ущерб в ряде азиатских (и не только) стран, парализовала тысячи компьютеров.

2. Melissa (1999)
Червь Мелисса впервые появился на Сетевых просторах 26 марта 1999 года как очередная вредоносная программа для массовой рассылки спама, им и по сей день инфицированы до 20% компьютеров во всем мире. Первыми жертвами стали компьютерные сети таких крупных компаний, как Microsoft, Intel и других, которые всецело полагались на программу MS Outlook в качестве почтового клиента. Пришлось на какое-то время даже приостановить работу почтовых серверов по всему миру в целях предотвращения распространения вируса, а также чтобы удалить вирус из системы. Вирус распространялся по электронной почте, в том числе в виде вложения файла в формате текстового процессора MS Word. Сразу после открытия файла вирус рассылал себя по электронной почте первым 50 адресатам из списка контактов MS Outlook. Вирус переписывал файлы документов в зараженном компьютере, заменяя текст на цитаты из популярного мультсериала "Симпсоны". Также червь Мелисса активно распространялся через новостную Usenet группу alt.sex в виде файла "List.DOC", в котором якобы хранились пароли к 80 порносайтам. Создатель вируса Дэвид Л. Смит (David L. Smith) дал своему "произведению" имя знакомой стриптизерши из Флориды. Ущерб от последствий действия этого вируса оценивается в 80 миллионов долларов. Суд Соединенных Штатов Америки приговорил Дэвид Смита к 20 месяцам лишения свободы.

3. ILOVEYOU, он же Lovebug, он же LoveLetter (2000)
Вирус ILOVEYOU многие считают самым разрушительным вирусом. Он распространялся по электронной почте в 2000 году в виде вложения в сообщения. После открытия вложенного файла вирус загружал себя в оперативную память и инфицировал все исполняемые файлы. Пользователю было достаточно открыть письмо, содержащее вложение в виде файла "LOVE-LETTER-FOR-YOU.txt.vbs", и компьютер заражался автоматически. Затем вирус распространялся по всему жесткому диску и заражал исполняемые файлы, графические файлы изображений, и даже такие аудиофайлы, как MP3. После этого вирус рассылал себя по электронной почте по всем адресам из списка контактов MS Outlook. Вирус был написан филиппинским программистом, студентом колледжа, который сказал, что "случайно" выпустил вирус на свободу. Этот вирус распространился по всему миру за один день, заражая компьютеры сотрудников крупных корпораций и правительств, в том числе Пентагона в Соединенных Штатах. Эпидемия вызвала 8,8 миллиарда долларов убытков. Основной фактический "ущерб" был причинен во время удаления инфекции из компьютеров, так как для этого пришлось приостановить работу почтовых серверов и даже компьютерных сетей.

4. Code Red (2001)
Мир еще не оправился от шока, вызванного эпидемией вируса ILOVEYOU, когда в середине 2001 года пришла новая напасть - Code Red. В отличие от других вирусов, разрушительное действие этого носителя вреда было направлено только против определенных компьютеров, на которых был установлен веб-сервер под управлением Microsoft IIS (Internet Information Server). Вирус использовал известную на то время ошибку в программном обеспечении. Попав на компьютер, вирус изменял стартовую страницу основного веб-сайта, отображая сообщение "Welcome to http://www.worm.com! Hacked by Chinese!" ("Добро пожаловать на worm.com! Взломано китайцами!"). После чего приступал к поиску других веб-сайтов под управлением этого веб-сервера и делал аналогичные модификации. Примерно через две недели начала заражения вирус был запрограммирован на запуск DDoS атак (Распределенный отказ в обслуживании) на определенные веб-сайты, в том числе сервер Белого дома США. Ущерб от эпидемии Code Red оценивается в 2,6 миллиарда долларов.

5. Nimda (2001)
Вирус-червь Nimda - обладатель приза за самое быстрое распространение, всего за 12 часов он успел поразить почти полмиллиона компьютеров. Это случилось 18 сентября 2001 года. Многие средства массовой информации немедленно связали появление нового вируса с недавней атакой террористов на Международный Торговый Центр и ошибочно приписали авторство Аль-Каиде. Вирус поражал пользовательские компьютеры под управлением Windows 95, 98, Me, NT или 2000 и серверы под Windows NT и 2000. Если прочитать название вируса задом наперед, то получится "admin". У этого червя был не один и не два, а целых пять способов распространения - через электронную почту (брешь в системе безопасности Internet Explorer, позволяющая автоматически запускать вложенный файл на исполнение), через общедоступные папки и ресурсы локальных сетей, уязвимость веб-серверов под управлением Microsoft IIS (Internet Information Server), через обычный браузер с уже инфицированных сайтов, а также через бэкдоры, оставленные предшественниками, червями "Code Red II" и "sadmind/IIS". После заражения вирус наделял пользователя "Гость" всеми привилегиями администратора системы и открывал все локальные диски компьютера на полный сетевой доступ. Считается, что создателем червя Nimda был студент университета в Сакраменто.

6. Klez (2001)
Klez - еще один вариант компьютерного червя, распространявшегося по Сети через электронную почту, впервые появился в конце 2001 года. Существует несколько разновидностей этого вируса. Заражает компьютеры под управлением ОС Microsoft Windows, используя брешь в системе безопасности Internet Explorer (небезопасный движок Trident задействуют такие почтовые программы, как Microsoft Outlook и Outlook Express, для отображения гипертекстового содержимого электронных писем). Электронное письмо с вирусом, как правило, имело текстовую часть и не менее одного вложенного в письмо файла. Текстовая часть письма включала небольшой HTML-фрейм, который автоматически открывал и запускал вирус из вложенного файла. Жертве не нужно было даже открывать вложение - вирус все делал сам. Некоторые письма маскировались под корреспонденцию, якобы отправленную компанией Microsoft, а вложенный файл - под антивирус. Для рассылки вирус использовал адресные книжки почтовых программ MS Outlook и Outlook Express, случайным образом вставляя найденные адреса в поля "Кому:" и "От кого:", значительно затрудняя поиск инфицированных компьютеров - определить источник инфекции можно было только по IP-адресу, с которого пришло письмо, содержащее вирус. На инфицированном компьютере Klez старался заразить все исполняемые файлы, включая содержимое архивов, обнаруживал и успешно деактивировал антивирусное программное обеспечение. Каждое 13- е число четного месяца и 6-е — нечетного вирус перезаписывал все файлы на дисках пораженного компьютера случайным содержимым.

7. Blaster (2003)
Вирус Blaster (Взрыватель) является еще одним видом вредоносных программ, которые распространяются не с помощью электронной почты, а через уязвимости в компьютерах под управлением операционных систем Windows 2000 и Windows XP. Эта вредоносная программа впервые была обнаружена в середине 2003 года, когда были инфицированы сотни тысяч компьютеров. Сразу после попадания вируса в компьютер отображается окно с сообщением о том, что система будет закрыта в течение нескольких минут. Также вирус был запрограммирован на запуск DDoS-атаки на серверы Microsoft в апреле 2003 года, но к моменту широкого распространения вируса эта дата уже истекла. Код вируса содержал скрытое послание к основателю Microsoft Биллу Гейтсу следующего содержания: “Billy Gates, why do you make this possible? Stop making money, and fix your software!” ("Билли Гейтс, зачем вы делаете это возможным? Хватит делать деньги, исправьте Ваше программное обеспечение!").

8. Sobig.F (2003)
Пользователи компьютеров еще не оправились от ущерба, причиненного вирусом Blaster в 2003 году, когда появился Sobig.F, еще один массовый электронный почтальон. Ущерб от действия этого компьютерного вируса исчислялся миллиардами долларов. Вирус значительно затруднял или полностью блокировал работу интернет-шлюзов и почтовых серверов, в результате сильное замедление скорости глобального доступа к сети Интернет ощутил на себе практически каждый пользователь. Вирус собирал адреса электронной почты из различных документов, обнаруженных на дисках зараженного компьютера, затем рассылал себя по этим адресам. В течение нескольких часов после начала вспышки эпидемии Sobig.F смог отправить более миллиона копий самого себя. 10 сентября 2003 года вирус сам прекратил активность, так как был на это запрограммирован, после чего перестал представлять угрозу. Компания Microsoft объявила награду в 250 тысяч долларов за информацию, которая позволит найти и арестовать автора вируса, но даже такая высокая награда не помогла в его поимке.

9. SQL Slammer, он же Helkern (2003)
Ущерб от действия вируса SQL Slammer был не самым серьезным в сравнении с его товарищами из группы вредоносных программ, но достаточно заметным, убытки от эпидемии 2003 года оцениваются в миллиард долларов. Хотя если учитывать очень компактный код червя (всего 376 байт), то каждый байт обошелся почти в 3 миллиона. Вирус поражал сетевые маршрутизаторы, блокировал их нормальную работу. Целью этого вируса-червя стала очередная уязвимость в программном обеспечении веб-серверов под управлением Microsoft SQL Server. Были инфицированы только компьютеры, на которых установлено это серверное программное обеспечение, но их блокировка вызвала замедление доступа в Интернет по всему миру. Всего за десять минут вирус смог заразить тысячи серверов в разных странах. После заражения сервера вирус назначал ему произвольный IP-адрес, через который пытался искать в Сети другие компьютеры под управлением Microsoft SQL Server и заражать их.

10. Bagle (2004)
Bagle был еще одним вариантом классического вредоносного ПО для массовой спам-рассылки, но значительно модернизированным. Впервые был обнаружен в 2004 году, привычно заражал компьютеры пользователей через вложение к электронному письму и так же использовал электронную почту для распространения. В отличие от предыдущих спам-вирусов, Bagle не полагался на адресную книгу почтовой программы MS Outlook, чтобы составить список адресатов, по которому можно разослать себя же. Он собирал все адреса электронной почты из различных документов, хранящихся в файлах на зараженном компьютере - от обычных текстовых файлов до электронных таблиц MS Excel. Особая опасность данного вируса состояла в том, что на пораженном компьютере он открывал черный ход, через который удаленный пользователь, вероятно автор или группа хакеров, мог получить доступ и контроль над зараженным компьютером. Эта лазейка помогала загрузить дополнительные компоненты либо программу-шпион для кражи информации у пользователей, или запустить DDoS-атаку на определенные сети и компьютеры. Хотя оригинальный вирус Bagle прекратил распространение после января 2004 года, сегодня сотни вариантов и разновидностей этого вируса все еще имеют хождение по Сети.

11. Sasser (2004)
Написанный 17-летним немецким студентом в 2004 году, Sasser был еще одним компьютерным вирусом, поразившим тысячи компьютеров. Sasser не распространялся через электронную почту и не требовал вмешательства человека, чтобы заразить компьютер. Он использовал ту же дыру, что и вирус Blaster - проникал в компьютеры через уязвимость ОС Windows 2000 и Windows XP, известную как RPC (Remote Procedure Call, удаленный вызов процедур). Sasser успешно инфицировал и вывел из строя тысячи компьютерных сетей всего за несколько дней. После заражения компьютера он был запрограммирован на подключение к сети Интернет для поиска других уязвимых машин, чтобы заразить их. Sasser также перед отключением компьютера отображает уведомление о том, что эта система выключается.

12. MyDoom (2004)
Скачкообразное возрастание интернет-трафика из-за действия этого вируса сказалось даже на работе поисковика Google. Очередным вирусом для массовой рассылки, вызвавшим большой ущерб, стал MyDoom. Хотя главным способом распространения вируса являлась, как и следовало ожидать, электронная почта, MyDoom успешно расходился по сети Интернет через инфицированное программное обеспечение файлообменника KaZaA. Первый выход этого артиста на интернет-сцену состоялся в 2004 году, а результатом продолжительных оваций инфицированных компьютеров стало десятипроцентное замедление в скорости сетевого доступа. Доступ к некоторым веб-сайтам был ограничен на 50 процентов. После заражения вирус просматривал все адресные книги и списки контактов на компьютере жертвы и рассылал себя по всем найденным адресам. Было отмечено, что в течение первых дней каждое десятое электронное письмо содержало в себе вирус. И остановить его распространение удалось только через месяц.

13. Conficker, он же Downup, он же Downadup, он же Kido (2008)
Червь Conficker, атаковавший компьютеры под управлением операционной системы Microsoft Windows, впервые был обнаружен в 2008 году. Это была самая крупномасштабная эпидемия со времен распространения вируса SQL Slammer 2003 года. Для проникновения в компьютер Conficker использовал некоторые уязвимости ОС Windows, а чтобы получить привилегии администратора, подбирал пароль админа по словарю и связывал пораженные компьютеры в единую виртуальную сеть, готовую выполнять любые команды и задачи, поставленные создателем вируса. Эта сеть насчитывала более восьми миллионов компьютеров в 200 странах мира. Противостоять заражению было чрезвычайно трудно, так как вирус использовал целый ряд новейших технологий для распространения и внедрения вредоносного программного обеспечения. Первый вариант червя начал поражение компьютеров в ноябре 2008-го благодаря известной уязвимости сетевой службы (MS08-067) на машинах под управлением Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 Beta. Даже свежайшая на то время операционка Windows 7 имела аналогичную уязвимость, от массового заражения ее спас запоздалый выход на широкую публику в январе 2009-го. Хотя Microsoft и выпустила соответствующий набор исправлений еще 23 октября 2008 года, установить патч на все компьютеры просто не успевали, приблизительно 30 процентов всех персоналок под управлением ОС Windows являлись носителем вируса до января 2009. Вторая версия червя появилась в Сети в декабре 2008-го, она уже обладала способностью распространяться внутри локальных сетей через общедоступные сетевые ресурсы, это стало решающим фактором в скорости распространения вируса. Число инфицированных компьютеров на январь 2009 года оценивается в 9-15 миллионов. Всего известно пять модификаций вируса, которые получили названия A, B, C, D и Е соответственно. Каждый новый вариант обладал новыми стратегиями проникновения и распространения, автоматически обновляя себя до более "продвинутой" версии, подгружая новое и новое вредоносное ПО на инфицированный компьютер, и прежде всего отключал ряд системных сервисов, таких как Автоматическое Обновление Windows, Центр Обеспечения Безопасности, Брандмауэр, Систему Оповещения об Ошибках. Вирус прячется под различными типами файлов, меняя имена и расширения файлов, поэтому при проверке компьютера рекомендуется включать опцию "все типы файлов" для антивирусного сканера. Microsoft разработала специальную утилиту для обнаружения и удаления вредоносного ПО - Microsoft Software Removal Tool (MSRT). После переустановки операционной системы настоятельно рекомендуется установить полный набор свежайших обновлений для повышения безопасности системы.

Основная причина значительного ущерба, который причинили эти компьютерные вирусы во всем мире, объясняется тем, что большинство людей не знали о существовании таких угроз и не были защищены от них. Сегодня тысячи и тысячи компьютеров в Сети остаются инфицированными или заражаются старыми и новыми вирусами. Чтобы этого избежать, очень важно иметь хорошую антивирусную программу и регулярно обновлять антивирусные базы. Другие меры безопасности включают межсетевой экран (брандмауэр) и обновление программ, которые вы используете для доступа в Интернет, в том числе почтовые клиенты, серверное программное обеспечение и интернет-браузеры.

Игорь Грень


Компьютерная газета. Статья была опубликована в номере 38 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета