Читайте также: |
|
Изобретателем компьютерного вируса, как правило, рассматривается Фред Коэн. Фред занимался в рамках его докторской диссертации на тему «саморазмножающееся программное обеспечение» и в течение его исследований (1981-84) запрограммировал также первый настоящий вирус. Тем не менее, идея вирусов гораздо старше и возвращается в прошлое вплоть до 1949. Имеются первые преобразования похожего на червей и похожего на вирусы программного обеспечения в 70-ых годах (Core Wars была первая червеобразная программа), однако, мы хотим начать наш обзор, только с 80-ых годов.
1982
Джон Хеппс и Джон Шок из Xerox PARC спрограммировали первых получивших известность червей. Собственно, они должны были использоваться только для собственных нужд, чтобы делать распределенные (скорее всего имеются в виду параллельные вычисления) расчеты. Тем не менее, в программе были ошибки вследствие чего, они выходили из-под контроля и размножались самостоятельно. В конце концов, системы (ПК) чрезмерно нагружались и их приходилось перезагружать.
1986
В этом году был обнаружен первый вирус для ПК. При этом речь шла о так называемом вирусе «Brain» происхождением из Пакистана. Он был разработан для грабежей в двух копиях и для последующего распространения. Было удивительным то, что «Brain» причинил большой убыток не только в Азии, но и в США. Все-таки нужно понимать (знать), что вирус распространялся не через интернет, а только посредством заражения дискет.
1987
Вирус «Иерусалим» возник в Израиле как первый устойчивый вирус в памяти ПК (трудноудаляемый или не удаляемый вообще). Прежде всего, вирус достиг большой сенсации потому что, он продолжал жить в течение долгих лет в различных, легко модифицируемых версиях. При варианте – «Пятница-13-е) впервые один временной компонент попадавший в игру, мог вызывать как простые нарушения в работе, так и могли быть более серьёзные повреждения файлов с раширением.exe,.com и т.д. Разработанный студентом из университета Веллингтон (Новая Зеландия) вирус «Stoned» (Stoned от англ. обдолбанный; под кайфом), являлся первым вирусом для Master Boot Record (MBR) (Главного загрузочного сектора жесткого диска). Вскоре он достиг большого распространения и был всегда активен при запуске системы.
1988
В этот год было разработано первое «Антивирусное ПО». Если посмотреть на него в наше время, то едва его можно так назвать, тем не менее, это было начало пути для дальнейшего развития.
В ноябре 1988 интернет-червь Роберта Морриса (тогда докторант университета Корнеллу в Ithaca, Нью-Йорк) в течение самого короткого времени инфицировал более 6.000 компьютеров и вместе с тем примерно 10% от всего на тот момент имеющихся хостов (Hosts) в интернете. Вскоре Моррис был арестован и приговорён к 3 годам условно и выплате денежного штрафа. Как реакция на это событие начал воплощаться в жизнь проект- CERT (Компьютерная Команда Аварийного реагирования). Также в 1988 появлялись первый «Вирусный Набор Инструкций» - например, для Atari ST. Также это впервые дало возможность постоянно создавать новые компьютерные вирусы посредством простого программного обеспечения.
1989
В Израиле был сделан «Фродо», первый вирус шапка-невидимка, который распространялся посредствам инфицированием файлов. Легендарная антивирусная программа McAfee появившейся в первой версии на тот момент могла распознавать невероятное число вирусов, 44 штуки. Конкуренты к тому времени могли распознать лишь только около 20.
1990
В этот год из США прибывали первые сообщения о полиморфных и скрытых (Stealth) вирусах, которые могут модифицировать себя самих. Также появился первый вирусный набор инструкций для DOS. Ещё 1989/90 начинали обосновываться первые троянские кони, тогда, однако, еще с предпочтением для системы «Макинтош».
1991
Обе организации EICAR (European институты for компьютер Anti-VirusResearch) и CARO (компьютер антивирус Research организация) были основаны. Одновременно число вирусов стремительно росло в быстром темпе. В 1991 был обнаружен знаменитый вирус «Michelangelo», а год позже он вызывал первую истерию вирусов. Также это время программирование вирусов было распространенным хобби, появлялись соответствующие журналы, и проводились регулярные чемпионаты.
1992
Программист под псевдонимом «Dark Avenger» опубликовывал «Мутационое Ядро», которое позволяло отныне делать простые полиморфные вирусы. В последующее время появилось еще более 60 мутаций ядра. Кроме того, в 1992 году были открыты первые вирусы, которые могли нападать на еще очень молодую операционную систему «MS Windows».
1994
Первый настоящий интернет-вирус (Kaos5) появлялся в Usenet. Он распространялся, прежде всего, в новостной группе alt.binaries.pictures.erotica.
1995
В этот год появились первые вирусы для Windows 95. Интернет становился как основное средством распространения вирусов и стали вскоре оставлять в покое носителей данных, такие как дискеты. Одновременно появлялись первые макровирусы, которые в течение последующих 3 лет чаще всего были кажущимися видами вирусов. «Concept» считается первым вирусом, который создал скачок от программного файла (вирус как отдельная, самостоятельная программа) к документу (имеется в виду заражение файла\документа). «Черный барон» (Кристофер Пайл), один из самых знаменитых программистов вирусов, арестовывался и признавался виновным в киберпреступности в 11 случаях.
1996
С XM.Laroux свет увиделпервый вирус для Excel. Теперь макроязык MS входящий в «пакет офиса» позволял составить опасный вирус без требуемых ранее обязательных знаний языка программирования Ассемблер или C. На 1996 примерное число существующих вирусов составляло 10.000 штук. При этом тенденция уже отчетливо выделяла направление вирусов в сторону Windows. В это время в отсносительной безопасности оставались операционные системы, такие как Unix т.к. насчитывали малое число вирусов, в тоже время количество вирусов для Windows значительно росло. Время от времени вирусы для Unix почти полностью исчезали.
1997
Первый вирус для Linux был обнаружен McAfee. Злые языки утверждали, что McAfee с самого начала имел связь с появлением вируса, всё для того чтобы продвинуть на рынок свой сканер на вирусы для Linux. Кроме того, в этот год, возможности распространения вирусов в очередной раз стали шире, начал размножаться первый вирус в системы IRC (система для общение через Интернет).
1998
C 1998 года вирусы распространяются молниеносно через Интернет и причиняют значительный вред. Число вредителей и серьезных инцидентов возросло настолько сильно, что в дальнейшем мы будет рассматривать только лишь краткую выписку из истории самых важных вех.
NetBus созданный Карлом-Фредириком Найктером, был на тот момент как один из самых сильных троянов который, быстро распространялся в Интернете. Компьютером который был инфицирован NetBus’омможно было управлять дистанционно. Несколько месяцев позже «Культ дохлой коровы» выпустил в свет самый знаменитый на то время троян по имени Back Orifice (дословно с англ. Заднее отверстие). И вместе с этим была открыта дверь для самых больших атак в будущем, теперь Back Orifice вместе с созданным чуть позже SubSeven (троян.), использовались как самые важные инструменты для нападения на клиентскую систему Windows.
При помощи «VBS.Rabbit» появлялся первый Вирус-Скрипт, который был написан в языке программирования Visual Basic.
С тех пор как возник вирус - «CIH», в то время являлся самым опасным вирусом. Он пытался, взять контроль над «BIOS» [4] у пораженного компьютера и вместе с этим причинял вред «железу» ПК. К счастью, он не получил столь сильного распространения согласно опасениям. Однако же 26 апреля 1999 года он причинтл в Азии значительный урон. Также программистом вирусы был студентом (Чен Инг-Хау).
1999
В этот год был создан червь «Мелисса». Он распространялся через электронные письма и мог рассылаться 50 контактам из адресной книги инфицируемого. Так как он мог атаковать только пользователей «Outlook» [5], после этого, политика программирования (написание скриптов) продуктов от «Microsoft» подверглась сильной критики. Впервые стало ясно в полном объеме, как сильно может быть опасно использовать монопольную систему почтового клиента. Мелисса распространялась настолько быстро, что многочисленные почтовые серверы «падали» под нагрузкой и местами было отчетливо видно замедление работы интернета. Давид Л. Смит был арестован за создание вируса.
Однако, следом по не понятным причинам еще 2 вируса причинили значительный урон при использовании «Outlook». К этим событиям имел отношение, с одной стороны, ExploreZip, который разрушал файлы с расширением.doc.xls и.ppt, и, с другой стороны, VBS.BubbleBoy. Второй был особенно интересен, так как он запускался уже при чтении электронной почты, поэтому больше не нужно было запускать приложения.
2000
Червь -I LOVE YOU (с англ. я люблю тебя) вырывался на свободу и распространялся гораздо быстрее и сильнее чем какой-либо другой вредитель перед ним. Его всё равно открывали вопреки всегда повторяющемуся предупреждению «никогда не открывайте приложения от неизвестных источников», таким образом «I LOVE YOU» нападал на несколько сотен тысяч Хостов и причинил значительный вред, прежде всего, большим предприятиям. Многочисленные почтовые серверы «падали» в интернете под нагрузкой рассылаемых сообщений. Удивительный успех вируса связан с тем, что он очень похож, по принципу работы, на вирус Мелиссы. Затем многочисленные вирусы тоже пытались вскачить на поезд VBS Outlook, иногда они достигали своего успеха.
В 2000 году появлялся также первый вирус для PDA[6].
Весной 2000-го по мимо всего прочего, происходили первые большие DDoS-атаки против интернет-гигантов таких как Yahoo, Amazon и eBay. Мы рассмотрим их (DDoS-атаки) дальше после истории о вирусах, червях и троянов, так как эти атаки создают перегрузки с помощью управления, удалённо, многими сотнями ПК зараженными трояном, который для самого ПК не причинял вред (в тот момент когда производились атаки, пользователи ПК ни о чём не догадывались). С тех пор ежегодно происходят многочисленные атаки и полностью парализуют интернет-ресурсы, бывает, выводят из строя на многие дни.
2001
В 2001 году были установлены новые рекорды, в любом отношении, как в появлении самых опасных червей и их распространения. Кроме того, это была весточка о повороте в тенденции развития червей, в это же время увеличение собственных сервисных служб у почтовых клиентов и интегрированию в код «задних дверей», вскоре, поэтому граница между червями и троянами быстро исчезала. Черви на 2001 год и правда были способны на многое. Лучший пример для этого, пожалуй, будут черви - SirCam и Nimda, они в отличие от других червей были наполнены невероятным изобилием функций. В то же время операционные системы перестали быть разграниченными, имеется в виду, что вирусы и черви поражают операционные системы Linux и Windows. Появлялись черви, которые ищут других червей для их устранения, однако, эти "хорошие" черви таили в себе определенные опасности. В то же время появились первые черви, которые заражали через Чат и через «службу мгновенных сообщений». В 2001-м вирус «Dialer» (с англ. Номеронабиратель) нанёс массивный урон в финансовом секторе, который мы подробней рассмотрим в главе 11 –«Сценарии нападения». И появился очень знаменитый новый подвид вредителей – «Шпионские программы) (англ. Spyware), которые мы также рассмотрим в главе 3 «Осознание безопасности».
Для червей «CodeRed», «worms2» и им похожих появилось понятие «fileless» (англ. Безфайловый). Термин обозначает вредителей, которые распространяются, используя пакеты данных вместо открываемых (заранее заражённых файлов) файлов (тем не менее, термин не стал популярным).
Из появления «Nimda» можно кое-что заключить о дальнейшем развитии в области вредоносных программ, поэтому мы несколько позже, рассмотрим 4-х самых известных вредителей из этого года.
2002
Апогей был достигнут в 2001-м году, далее с 2002-го года становилось значительно спокойнее. Осознание безопасности простых пользователей и предпринимателей ощутимо возросло. Тем не менее, это не значит, что количество червей было меньше, просто они распространялись не так быстро как годами ранее. Также упоминается, что «CodeRed» (в различных версиях) возможно, все ещё распространялся и в 2002-м году.
Тем не менее, гораздо интереснее, чем просто различные черви и трояны 2002-го года являлась постепенно ощутимая перемена, а именно то, что вирусы писались сообществом. Чем популярнее и вездесуще становился Интернет, тем больше начинали играть роль при взламывании или «краке» (Cracker от англ. программа взлома чужого ПО) политических и социальных темы. Например: индийский взломщик – Яша. Червь «E» соединён с «DoS-Утилитой» интересовался Интернет-страницой пакистанского правительства. А червь «Bugbear» интересовался номерами кредитных карточек и их паролями.
2003
2003 год начинался с сильного «удара в литавры», который показал, что в течение всех этих лет едва что-либо было изменено в типичной проблематике защиты «Windows». В январе 2003 года сразу 2 червя сильно парализовали интернет, местами интернет был полностью парализован или просто имелся замедленный доступ. Червь «Sobig» достиг сильного распространения, хотя он всегда функционировал по одной схеме, по которой нужно открыть странный E-Mail и включить вложение самостоятельно с помощью двойного нажатия. Многочисленные родственные черви (тоже из Германии) разделяли успех с «Sobig».
Тем не менее, гораздо более опасным был – «SQLSlammer», это червь который заражал Microsoft SQL[7] и установочный пакет, в котором он заражал ядро рабочего стола «Windows 2000» и вместе с тем многие десятки тысяч серверов в Интернете были парализованы. При этом червь, в обыкновенном смысле, даже не содержал вредоносный код, а просто использовал вокруг себя всю ширину полосы пропускания у пораженных серверов, и распространялся посредством одного единственного пакета данных UDP (червь был достаточно мал, для того чтобы вместиться в этот пакет). В США вышли из строя более чем 10.000 банкоматов, и даже значительно затронуты компьютеры в «Microsoft». Хотя провайдеры могли легко и быстро обезвредить червя, заблокировав пакет UDP в порте 1434, однако более 300.000 компьютеров были инфицированы и время от времени целые районы полностью оставались без Интернета.
Так же нельзя не упомянуть червя - LoveSAN/W32.Blaster. Он гнездился на сотнях тысяч ПК и пытался запускать «DDoS-аттаку» направленую против сервера обновления ПО «Microsoft».
2004
Во время прошлых лет, в первую очередь черви нападали на «Windows», затем на «Linux», а далее интернет-сервера и интернет-приложения (например, «мессенджер», платформы для торговли), палитра наступления расширялась, также наблюдалось всё больше нападений на широко распространенные веб-приложения. Таким образом, в 2004 году червь «Santy» нападал, примерно на 40.000 интернет-форумов, которые были разработаны на популярном открытом программном обеспечении – «phpBB».
Среди многочисленных червей года особенно интересны черви «Sasser» и «Phatbot4». При этом речь идет о 2 вредителях, которые не могут существовать по отдельности, тем не менее, только вместе они представляли настоящую опасность. Согласно оценки подсчетов, оба инфицировали более одного миллион ПК и причинили различные убытки в разных размерах которые исчисляются миллионами. Поэтому далее мы хотели бы рассмотреть обоих более подробно.
С 2003/2004 годов различные группы разработчиков вирусов частично воюют друг с другом и оставляют различные сообщения в первоначальном коде своих вредоносных программах. Кроме того, эти черви пытаются исключить друг друга из конкуренции по заражению ПК. Особенно отчетливо это было видно в 2004 году у червей – «Netsky» и «MyDoom», которые пытались удалить друг друга с заражённых ПК. На первый взгляд это может казаться абсурдным, но, однако, всё-таки имеет смысл, мы рассмотрим это более детально в следующей части, которая называется –«Botnets».
2005
Как было описано ранее авторы вирусов и сама сцена по взлому уже несколько лет подряд меняется и уходит прочь от не связанных друг с другом оперирующих групп, простых компьютерных энтузиастов и легкомысленных молодых людей к организованной криминальной сцене, в которой прежде всего речь идет, о очень большом количестве денег. 2005 год отражает это развитие как никакой другой год. Уже давно черви несут в себя трояна, которые затем устраивают либо «Botnets», с помощью которых захватывают номера кредитных карточек и «TANs[8]», либо рассылают «Спам-сообщения» в гигантских размерах.
Червь – «Lion» [9] (Linux)
В марте 2001 года червь – «Lion» проникал через известные бреши в защите Linux-сервером. Он отправлял закодированный «Root[10]-пароль» в интернет и дополнительно устанавливал несколько так называемых Backdoors (задние двери), затем с помощью которых, взломщик получал легкий доступ к пораженной системе. Далее зашифрованный пароль можно было легко расшифровать, а затем использовать для проникновения в систему. Однозначно, червь был очень опасным, так как его нельзя было деинсталлировать без последствий. Институт «SANS» опубликовывал средство для обнаружения «Lion’а», но не для его удаления. Таким образом, ничего другого не оставалось, как устанавливать всю серверную систему заново.
Двумя месяцами позже появился новый червь по имени «Cheese[11]» для систем «Linux». Он искал на системах «Linux» порт 10.008, на этом порте «Lion» устанавливал его задние двери. Если червь обнаруживал своё местонахождение, то он закрывал в системе свои «Backdoor» и пытался оттуда найти новые хосты для инфицирования. Так как активность червя «Cheese» могла установиться только количеством просканированных портов, то из этого выходит, что должно иметься большое количество инфицированных «Lion’ом» систем (Имеется ввиду, что не все порты могли быть просканированы на наличие вируса заражения червём «Cheese», поэтому и предполагается, что количество заражённых систем намного больше). Однако, как уже упомянутый, "хороший" червь, не может браться во внимание с положительной стороны как противоположность вредным червям по типу «Cheese», т.к. все-таки он тоже проникает в систему.
Червь SirCam (Windows)
Червь «SirCam» появился в июле 2001 года, и в течение нескольких дней занимал первое место в списке ТОП-10 самых распространённых и опасных вредителей. Причиненный убыток исчисляется в ретроспективном взгляде примерно от 1 до 1,5 млрд. $ и чуть более 2 млн. инфицированных компьютеров.[12]
Поэтому мы хотим, прежде всего, рассмотреть принцип действия этого исключительного в своём роде червя. Для начала червь устанавливает себя в один из каталогов системы, в том числе и в корзине для удалённых файлов «Windows». Затем он пытается отправить по E-Mail файлы из собственного регистра файлов. «SirCam» был особенно проворен потому, что он располагает собственным, установленным сервером SMTP (это было революционное решение для 2001 года и между тем стало основным стандартом в будущем) и таким образом стал независим от различных (обязательно используемых ранее) «E-Mail-клиентов». «SirCam» может прочитать адреса для своих целей почти у всех «E-Mail-клиентов», поэтому он представляет собой опасность не только для пользователей «Outlook». Также простой отбор червей при помощи функции фильтрования входящих сообщений при «SirCam» больше не представлялось возможным, так как в зависимости от используемого приложения, адресная строка ввода «E-Mail» изменялась при отправлении документа. Если пользователь просто открывает вложение, то червь сразу у него устанавливается. Однако, любопытно, что все инфицированные сообщения содержали схожие строки по типу: «Привет! Как твои дела?» или «Hola, como estas?». Наряду путей распространения червя по средствам «E-Mail», червь также распространяется и по локальных сетях, в которых он высматривал регистры и там же гнездился.
Также помимо всего прочего с вероятность 1:20, 16 октября «SirCam» мог удалить все данные с Вашего жесткого диска, если же он инфицирован им. В целом кажется, что специалисты антивирусной защиты изначально недооценили «SirCam» и рассматривали его как вариант вечно возвращающихся червей типа «I YOU LOVE». Хотя сначала «SirCam» распространялся медленно, все же, под конец он достиг критической точки, с которой его дальнейшее распространение было скачкообразным и дальше он оставался самым распространенным червем за всю историю вредоносного ПО.
Червь CodeRed (Windows / IIS)
Хотя «CodeRed» появился ещё в 2001, но в 2003 имелось еще больше инфицированных серверов в интернете, чем в год его появления. Ущерб нанесённый вирусом, насчитывает чуть более чем 3 млрд. $. «CodeRed» нападал при установке Информационного Интернет Сервера (IIS, веб-сервер стандарта Microsoft) в версиях 4 и 5. Он использовал уже очень давно известную брешь в защите, для минирования системы. Затем он изменил подпись на главной странице «Hacked by Chinese»[13]. Особенно коварен «CodeRed» из-за того, что он не записывал себя на жесткий диск, а всегда оставался в основной памяти сервера. Таким образом для всех пользователей антивируса он был практически невидим. Однако, у этого неприятного факта есть преимущество: Червя можно было удалить посредством обновлений «Microsoft» и\или простой перезагрузкой сервера.
Наряду с регулярными волнами распространения, при помощи «CodeRed», на ряду с другими, была предпринята попытка парализовать одновременно со всех заражённых серверов, сервер веб-страницы Белого дома в Вашингтоне (Округ Колумбия). Этот вариант «CodeRed» и все дальнейшие его виды существовали без подписи в начальной странице и так оставались, с неизвестным происхождением дальше.
С начала августа 2001 года третий вариант (CodeRed II) распространялся в интернете ещё быстрее, который, прежде всего, отличался от его предшественников в способности распространения и поэтому был более опасным для локальных сетей (техника размножения «CodeRed II» смотри далее внизу в этой главы в части "Черви"). Кроме того, с помощью установленных «CodeRed II» и «Backdoors», взломщик также как и ранее получал полный доступ к системе. Можно предположить, что не речь шла не о новом варианте червя под названием «CodeRed II», а о полностью новом черве, однако, эксперты в этом не сходятся.
Первой волной червь «CodeRed» умудрился за короткое количество дней инфицировать более чем 200.000 серверов. Так как «CodeRed» от каждой системы вызывал только одну последующую волну поражения, тем удивительнее то, что в начале августа вторая волна нападения была направлена на 600.000 «Windows-серверов». Особенно страшно было то, что сервер «Microsoft» по Интернет-адресу «www.windowsupdate.microsoft.com» тоже попал под удар.
Червь «Nimda» (Windows / IIS)
В середине сентября 2001 года «Nimda» позаботился о многочисленном заражения ПК и серверов, которые вышли из строя согласно разным оценкам от 3 до 5 млн. штук (вместе с этим он мог бы быть, пожалуй, самым успешным червем в истории). Этот червь был особенно интересным экземпляром, так как он был, с одной стороны, классическим «безбилетником» который работал, пользуясь средствами других вредителей, а с другой стороны не смотря на представленные доказательства и вопреки его продолжительного существования, остался в квалификации как скорее теоретическая опасность. В принципе, «Nimda» был слиянием двух «Windows-червей» - «SirCam» и «CodeRed». Он располагал собственным сервером SMTP и нападал на сервер «Microsoft» «IIS», а также на всех пользователей «Windows». Также механизм распространения сильно напоминал образ действий известного «CodeRed II».
Для того чтобы увидеть, что такого особенного в «Nimda», мы должны взглянуть на принцип действия червя. Сначала он просто искал не обновленный «IIS-сервер» или те сервера, на которых был установлен «CodeRed» с «Backdoor». Далее он инфицировал сервер и догружал файл admin.dll. Затем червь манипулировал всеми файлами, найденными на сервере, с расширением -.html -.htm и -.asp таким образом, что они содержали несколько вредоносных строк кода «JavaScript». Если неосведомленный «сёрфер»[14] используя его «Internet Explorer» посещал заражённые интернет-страницы, тогда срабатывал вредоносный код «JavaScript» и выводился на экран файл readme.eml, в этот момент он загружался и незамедлительно запускался. Таким образом заражался ПК. Так впервые можно было заразиться просто посещая интернет-страницы через браузер.
Все же, помимо всего прочего, «Nimda» размножался ещё и с помощью «E-Mail». Для того чтобы заразиться нужно было открыть файл с названием -readme.exe который был прикреплён во вложении. Отличием было то, что получатель не должен был открывать «E-Mail» и запускать пораженный exe-файл. Достаточно было программы почтового клиента, чтобы пустить в ход механизм. Всё это происходило из-за ошибок как в почтовых клиентах, так и в браузерах, и даже по причине новой бреши в защите носящей имя Автоматическое Выполнение Встроенных MIME-типов.
Также существовал третий путь распространения «Nimda», он искал по локальной сети свободные регистры и пытался инфицировать exe-файлы. Вы можете найти точные технические действия червя и механизмы распространения на http://www.incidents.org/react/nimda.pdf.
Вирусы «Sasser» и «Phatbot» (Windows)
Оба вредителя появившееся в 2004 году относятся, наверное, к самым сенсационным в виду того, что они были частично сцеплены друг сдругом. Поэтому мы хотим сначала описать работу «Sasser», а далее рассмотреть то, как «Phatbot» извлекал из него пользу.
«Sasser» считается очень плохо и небрежно запрограммированным червем, все же, очевидно, это и поспособствовало его массивному распространению. «Sasser», прежде всего, был особенно опасным из-за его чрезмерно быстрой скорости распространения и последующих падений системы. Чтобы заразить ПК «Sasser»-ом, для этого не было обходимости открывать E-Mail или переходить на определенные интернет-страницы, было достаточно просто напросто быть в сети «Интернет». Так как бо́льшая часть пользователей располагает быстрыми и постоянным доступом к Интернету, это была одна фатальная смесь. При этом червь не был сильно известен, а получил он свою известность несколькими неделями позже, когда начал использовать уязвимость в системе под названием «Local Security Authority» подсистема сервиса (LSASS) и затем устанавливал маленький сервер FTP, с помощью которого была возможность захватывать данные инфицированного ПК. Из-за того, что эта FTP-служба не была спрограммирована должным образом и содержала у себя брешь в защите, с помощью которой новые черви (например, Dabber) проникали в уже заражённые системы и могли с ещё большей регулярностью вызывали серьёзные повреждения.
Всё же, гораздо более опасным было то, что сам процесс инфицирования (или даже попытка инфекцировать) вела очень часто к полному падению «LSA-службы» в системе «Windows». «Падение» этой службы вызывало за собой автоматическую перезагрузку всей системы, таким образом, в многочисленных фирмах компьютеры постоянно включались и отключались. Едва компьютер был включён после перезагрузки и снова устанавливал подключения к сети, он тут же инфицировался «Sasser»-ом и снова давал сбой и перезагружал систему. Именно поэтому у пользователей не было шанса обновить до последней версии антивирус или «Firewall» через Интернет или загрузить соответствующее исправлении ОС «Micorosoft», так как заражённый ПК снова и снова перезагружался.
В целом, у пользователя было примерно 60 секунд, за которые он должен был успеть сохранить документы до того как начиналась перезагрузка системы. Чтобы предотвратить самопроизвольную перезагрузку ОС, было необходимо сделать следующие действия: нажать меню «Пуск» → в окне «Ввод параметров» ввести команду → «shutdown a». Затем можно было продолжать заниматься «сёрфингом» по сети Интерент и установить соответствующие обновления. Тем не менее, само собой разумеется, самопроизвольная перезагрузка системы продолжалась несколько дней, до тех пор пока информация с действиями предотвращения самопроизвольной перезагрузки ПК не получила широкого распространения. До тех пор пока ПК был заражен, червь всё время пытался распространять себя дальше на другие ПК.
Разработчики всегда придерживались того, что «Sasser» был очень компактным, маленьким червем, который мог распространяться, прежде всего, неистово быстро, а именно без содействия пользователя. «Phatbot», напротив (который частично затрагивал системы Linux) был по-настоящему «тяжелым» и принадлежал, пожалуй, к самым роскошным и самым требовательным (по используемым ресурсам системы) вредителям, которые когда-либо разрабатывались. Его функциональное изобилие было настолько велико, что этому можно было посвятить целую главу, и кроме того он могу сильно конфигурироваться и таким образом был гибок. «Phatbot» использовал известные бреши в защите в «Windows» или «Задние двери» задействуя других вредителей (например «MyDoom») для проникновения в систему, потом он мог захватить систему полностью под свой контроль. Если появлялись новые бреши в защите, то агрессора была возможность удалённо приводить в действия «Phatbot» в абсолютно новое состояние и тем самым запускать новый эшелон наступающих войск. Такой пораженный компьютер становился дистанционно управляем (как упомянутый выше «ПК-зомби») и мог быть выведен из строя. Но это было далеко не всё, что он делал «Phatbot» сканировал заражённый ПК на различную полезную информацию, например такую как, данные доступа или ключи активации компьютерных игр.
Все это вместе вызывает определённые опасения, ко всему этому прибавилось ещё одно опасение то, что полный (даже если был слегка изменённый оставался полезным) первоначальный код вируса свободно распространялся в Интернете. Таким образом, это означало, что его легко можно было использовать как хорошую основу для собственных разработок.
Всё же причина того, что мы рассматриваем в основном разделе обоих вредителя «Sasser» и «Phatbot», состоит в том, что «Phatbot» использовал «Sasser». До тех пор, пока «Phatbot» пока ещё не стал решающим шагом, в то время считалось очень прогрессивным использовать «задние двери» используя другие черви. В то время как вредитель удалял «задние двери» других червей после поражения, чтобы господствовать отныне только над системой, он умело использовал «Sasser» для их распространения. Для этого он вовсе не удалял «Sasser», а следовал за его следами и мог, таким образом умело инфицировать системы, уже проникший «Sasser» из соответствующей системы.
Много пользователей Интернет могли быть одинаково задействованы 2 червями сразу, от действия которых один под своим воздействием передавал полный контроль над системой. Так как установленные вредители работают скрытно, нужно исходить дальше из того, что имеются много тысяч пораженных «Phatbot»-ом компьютеров, пользователи которых ничего не подозревают. Мы рассмотрим принципы работы более подробно далее в этой главе вытекающим из этих вирусов «Bots» и «Botnets» и бросим короткий взгляд на их поле деятельности.
In the wild – In the zoo (англ. В дикой природе - в зоопарке)
Согласно разным оценкам в настоящее время имеются более 100.000 компьютерных вредителей; почему всё таки распространение имеют мало их колличество? С одной стороны, нужно ставить под сомнение упомянутое число, так как не имеется ни унифицированного счетного процесса, ни номенклатуры для компьютерных вирусов, и таким образом вероятны неоднократные повторения одного и того же вируса под разными именами. Также почти от каждого вредителя имеются дюжины суб-типов и вариантов, которые отличаются только мелкими изменениями. Кроме того, нужно делать различие между так называемыми вредителями, которые появились «в дикой природе и в зоопарке».
Речь идет о названных выше вирусах и червях, которых содержат только в базах в лабораториях и только в исследовательских целях. Они не представляют опасности. Частично считаются вымершие вредители или никогда не получившие распространения. Как простой пользователь вы можете встретить так называемые вирусы «из дикой природы и зоопарка». Они находятся в «свободной зоне охоты». Это касается только 3%, в самом крайнем случае 5% вредителей. В конкретных числах указания колеблются между 2500 и 5000. Интересно то, что только некоторые из немногих были действительно распространены также как «вредители дикой природы», в то время как остальные довольствуются скорее маргинальным распространением. Разработчики антивирусного ПО могут исходить из того, что реальная опасность исходит примерно из 50-100 вредителей в год. Это зависит, пожалуй, с одной стороны, от того, как в прошлом известные вирусы или черви едва могли распространиться, как например червь «I LOVE YOU» после его высокой фазы. И с другой стороны вредители, которые пользуются брешью в защите, могут существовать лишь столько, пока эту брешь не закроет обновлением системы большинство пользователей.
Дата добавления: 2015-11-14; просмотров: 53 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Logische Bomben | | | Boot (англ. загрузка. Пример: основной загрузочный сектор) -вирусы |