Статья с сайта: Habrahabr
Компьютерные вирусы могут доставить немало проблем. Если какие-нибудь рекламные баннеры на рабочем столе просто раздражают, то пропажа денег с электронных счетов и банковских карт – это уже в прямом смысле удар по кошельку. Но антивирусы все равно не дают стопроцентную защиту, и определенный риск заражения компьютера по-прежнему остается. Сегодня мы вспомним историю вирусов, а заодно изучим разницу между троянами, руткитами и червями.
Эволюция вирусов
1980 – 1990 годы: защита от пиратства обернулась массовым заражением компьютеров; университетский аспирант случайно нанес ущерб почти на $100 миллионов
Устройства компании Apple считаются одними из самых безопасных для домашнего пользования: в силу закрытости iOS и OS X вирусам сложно проникнуть в недра этих систем. Впрочем, назвать их неуязвимыми тоже нельзя. Например, в марте этого года на компьютерах купертинской корпорации поселился вирус-вымогатель KeRanger. Он проникал в систему под видом программы Transmission, которая используется для загрузки файлов из интернета. Однако, этот вирус и парочку других, попавших в свое время на OS X, и близко нельзя поставить с обилием угроз всех мастей для Windows. Apple использует довольно радикальную политику: пользователь не может залазить глубоко в операционную систему. По этой же причине рекомендуется устанавливать программы из AppStore — здешние приложения проверены компанией и не принесут вреда, хотя несколько раз именно так вирусы и попадали на компьютеры Apple. Словом, нужно просто работать либо отдыхать за Mac, не пытаясь что-то в нем изменить — мол, если техника исправно функционирует, то не нужно ей мешать. Любопытно, что первые вирусы появились в 1981 году как раз для компьютера Apple II…
Первый настоящий вирус под названием Brain вышел в 1986 году. Его написали два брата, которые всего лишь хотели защитить от пиратства свою программу по отслеживанию сердечного ритма. Стоило сделать копию с дискеты, как работа жесткого диска начинала резко замедляться. В 1987 году стало понятно, что Brain выходит из-под контроля: он размножался самостоятельно и заражал все больше компьютеров. Результат – 18 тысяч инфицированных систем только на территории США.
Brain стал первой ласточкой в вирусной эпидемии, но по сравнению с дальнейшими атаками он оказался не таким уж и опасным. В ноябре 1988 года аспирант Корнелльского университета Роберт Т. Моррис отпустил в свободное плавание первого компьютерного червя, который повлек многомиллионные убытки. Ощутимого вреда вирус не должен был нанести: он просто собирал данные о пользователях сети ARPANET – прототипа интернета. Обнаружив компьютер, червь проверял, инфицирован он уже или нет. Если ответ был положительный, программа случайным образом решала, оставлять ли повторно свою копию. Из-за допущенной программистом ошибки червь слишком часто перезаписывался, что постепенно приводило к зависанию компьютеров. ARPANET легла, была остановлена работа шести тысяч узлов сети. Ущерб составил примерно 96,5 миллионов долларов. Вирус получил название «Червь Морриса», а его создатель стал первым человеком, которого обвинили в компьютерном мошенничестве. Роберт Т. Моррис отделался условным сроком, общественными работами и штрафом. Эта эпидемия показала, что подобные атаки могут привести к серьезным и дорогостоящим последствиям.
Наверняка один из самых больших страхов любого пользователя компьютера – потеря данных без возможности восстановления. Некоторые вирусы именно это и делали. Jerusalem, к примеру, активировался в определенный день – пятницу 13-го числа. Программа форматировала весь жесткий диск, чем нанесла приличный урон университетам и компаниям в США, Европе и на Ближнем Востоке в 1988 году.
1990 – 2000 годы: появление вирусов с таймерами; первые макровирусы, атаковавшие MS Office и почтовые клиенты
Другой вирус, уничтожавший файлы с винчестера, появился в 1991 году и был назван в честь художника – Michelangelo. Он должен был проявить себя лишь один раз – 6 марта, в день рождения самого Микеланджело. По этой причине вирус было сложно обнаружить: код мог месяцами сидеть в системе и никак не раскрываться. В «день икс» Michelangelo заменил первую сотню секторов жесткого диска на нули, приведя к нарушению целостности данных.
1995 год ознаменовался появлением первого макровируса – это разновидность вирусов, которая, как нетрудно догадаться, создается на макроязыках. Обычно эти инфекции поражают сборники Microsoft Office. Вышедший в середине девяностых вирус Concept выбирал своими жертвами документы MS Word. Годом позже стало известно о вирусе Laroux. Он атаковал файлы с расширением .xls – то есть MS Excel. Происхождение вируса доподлинно неизвестно, а появился он только в двух местах – на компьютерах нефтедобывающих компаний в Южной Африке и на Аляске. Вероятно, происки конкурентов.
Написанный в 1998 году вирус CIH стал широко известен под именем «Чернобыль». Тайваньский разработчик Чен Инь Хао был не из скромных и назвал вредоносный алгоритм по своим инициалам – CIH. Как и Michelangelo, CIH месяцами мог сидеть в засаде, пока не наступал нужный час действия. Датой было выбрано 26 апреля 1999 года – тринадцатая годовщина аварии на Чернобыльской АЭС. Отсюда за вирусом и закрепилось имя. Компьютерная инфекция заражала исполняемые файлы Windows, повреждала данные жесткого диска, а также нарушала работу BIOS. Чен Инь Хао избежал наказания – киберпреступления на тот момент не рассматривались властями страны.
Под конец тысячелетия вышел макровирус, который, по некоторым сведениям, заразил каждый пятый компьютер в мире. Программист Дэвид Смит в марте 1999 года разработал вирус Melissa, для которого применил новый по тем временам способ распространения – через электронную почту. Попав на компьютер, Melissa проникал в почтовую программу Outlook Express и отправлял сообщение первым пятидесяти контактам. Интересно, что как такового вреда инфицированному компьютеру вирус не наносил – но массовой рассылкой писем он нарушал работу серверов. Существовало много версий Melissa, что усложняло задачу разработчиков антивирусов. Дэвиду Смиту крупно повезло: его приговорили к 20 месяцам тюрьмы и штрафу в пять тысяч долларов. Ущерб от вируса при этом составил около 80 миллионов долларов.
2000 – 2010 годы: «любвеобильный» вирус внесен в Книгу рекордов Гиннеса; сайт Белого дома под угрозой; ядерная программа Ирана едва не сорвана вирусной атакой зарубежных спецслужб
В мае 2000 года компьютеры подверглись массовому заражению червем ILOVEYOU, который распространялся через почту. Судя по всему, многим пользователям не хватало внимания и заботы: видимо, люди открывали вложенный файл «LOVE-LETTER-FOR-YOU.txt.vbs» в надежде получить любовное признание, а на самом деле запускали в систему вредоносную программу. Она вносила изменения в хранящие на жестком диске файлы и через Outlook Express распространялась дальше. Червь попал в Книгу рекордов Гиннеса как самый разрушительный в мире – ущерб от него составил по разным оценкам от 10 до 15 миллиардов долларов.
Год спустя появился червь Code Red. Уязвимыми оказались компьютеры с веб-сервером Microsoft IIS. Code Red даже атаковал сайт Белого дома. Инфекция заменяла взломанные веб-страницы на сообщение с фразой «Hacked by Chinese», хотя Китай никакого отношения к червю не имел. Однако есть предположение, что хакеры все же были китайцами, которые жили на Филиппинах.
Очередной почтовый червь появился в 2004 году. MyDoom, он же Novarg, изменял операционную систему, не позволяя зайти на сайты Microsoft и компаний по разработке антивирусов. Еще один достойный внимания вирус – Conficker, заразивший в 2008 году компьютеры французских, немецких и британских военных. Microsoft объявила награду в 250 тысяч долларов за сведения о разработчиках вируса, но создателей найти не удалось. Инфицированная система медленно работала, не могла открыть антивирусные сайты, служба обновления Windows переставала действовать. С горем пополам вирус удалось победить, но вероятность заражения остается до сих пор – Conficker постоянно видоизменяется.
Пока одни программисты искали ключи к антивирусам и операционным системам, целясь на рядовых пользователей, другие работали над задачами совсем другого уровня. Вершиной можно считать вирус Stuxnet, о котором ходит много слухов, и информация достаточно противоречивая. Известно, что в 2010 году он поставил под угрозу иранскую ядерную программу, нарушив работу тысячи центрифуг, которые обогащали урановое топливо. Утверждается, что это был первый вирус, который оказывал физическое воздействие на объекты инфраструктуры. Кроме того, Stuxnet считается первым использованным кибероружием. Существует версия, что за ним стоят спецслужбы США и Израиля. Если посмотреть на масштаб атаки и выбранную цель, такое заявление не кажется паранойей. Последние годы прошли относительно спокойно, столь крупных атак не наблюдалось. Хотя в 2013 году был троян-вымогатель CryptoLocker, который блокировал часть файлов и предлагал «выкупить» доступ к ним.
Уже после первых вирусных атак стало очевидно, что компьютерам необходима защита. Антивирусы начали создавать практически одновременно с самими вирусами – в 1984 году программист Энди Хопкинс представил программы CHK4BOMB и BOMBSQAD. Первая считывала информацию с вставленной в компьютер дискеты и анализировала, насколько безопасны находящиеся там файлы. Вторая программа отслеживала запись данных через BIOS – в случае угрозы можно было прекратить операцию. Год спустя появился первый антивирус в привычном для нас понимании – DRPROTECT. Это резидентная программа, то есть работающая в фоновом режиме без участия пользователя. По такому же принципу функционируют и современные антивирусы.
Вирусы, черви, руткиты – что это и откуда появилось?
Типы вирусов
В обиходе все компьютерные болячки называют вирусами, хотя это не совсем правильно. Вредоносного ПО на самом деле предостаточно: есть и трояны, и руткиты, и черви, и непосредственно вирусы, и много чего еще. За этими названиями скрываются разные по действию вредоносные программы. Но чем они отличаются друг от друга и каким образом могут испортить пользователю жизнь? Как в медицине необходимо установить точный диагноз для правильного лечения, так и в компьютерной отрасли нужно знать, с какой именно угрозой столкнулась система. А угроз, к сожалению, существует много.
Вирус
Компьютерным вирусом чаще всего называют любое вредоносное ПО, будь то троян, червь или что-то другое. Это не совсем корректно, но так делают для удобства и простоты. На самом же деле вирус выделяется особым поведением. Он пытается заразить как можно больше файлов. Оказавшись на компьютере, вирус быстро распространяется, постепенно захватывая контроль над всеми файлами, что оказались ему по зубам. В этом заключается его отличие от червя, который существует самостоятельно и не атакует другие программы.
Обычно вирусы проникают в исполняемый файл, то есть они не способны размножаться и вредить системе, пока сам процесс не будет запущен пользователем. Распространение идет традиционными способами: прикрепленные к почтовому письму документы, ссылки в чатах, флеш-накопители, загрузки из интернета.
Троян
Понять принцип действия этой программы легко, если вспомнить легенду о Троянском коне, которую описывал Гомер в «Илиаде». Стражники осажденной Трои открыли ворота перед огромной статуей лошади из дерева. Внутри, замерев, находились солдаты, которые под покровом ночи выбрались из конструкции и помогли союзникам попасть внутрь города.
Компьютерный троян действует по такому же принципу: под видом безобидной программы скрывается угроза, которая может уничтожить ваши данные или, что хуже, украсть их. Также утилита без спроса пользователя способна закачивать свои файлы, подставлять вместо открываемых пользователем сайтов заранее приготовленные – зачастую рекламного характера. Общая суть у троянов одна – они выдают себя за обычные программы либо файлы, хотя таковыми совсем не являются. Подавляющая масса успешно отлавливается антивирусами. В основном трояны серьезной угрозы теперь не представляют, но испортить настроение могут.
Руткит
Одна из наиболее сложных для обнаружения угроз. Руткиты прячутся глубоко в системе, они могут входить в какую-либо программу и отбирать себе часть ресурсов для функционирования. Хуже всего, когда руткит оказался в недрах операционной системы – фактически он получает доступ к любым процессам без ограничений. Попадает на компьютер это вредоносное ПО так же, как и многие другие: через внешние накопители, дыры в безопасности браузеров, открытие сомнительных файлов.
Руткит сложно не только обнаружить, но и удалить. Проблема поиска заключается в том, что прячется вирус глубоко в ОС, а кроме того умеет маскировать свое присутствие, чтобы антивирус ничего не заподозрил. Исход битвы пользователя с руткитом во многом зависит от конкретного типа программы, которая оказалась на компьютере. В некоторых случаях остается только переустановка операционной системы.
Червь
Черви иногда классифицируются как разновидность вируса, но принцип действия у них разный. В то время как вирус стремится проникнуть в максимально возможное количество программ, червь не инфицирует другие файлы. Он стремится наплодить побольше своих копий. Поскольку червь не прячется в структуру других файлов и программ, обнаружить его обычно проще, чем вирус или руткит. При этом скорость распространения червя выше. Многие из них находят адреса других компьютеров через ваши почтовые аккаунты либо мессенджеры, и без ведома пользователя отправляют всему списку контактов ссылку на свою копию. Доверчивые люди, увидев сообщение от знакомого человека, наверняка кликнут, после чего начнется заражение компьютеров.
В 2003 году много шума наделал червь Blaster, который атаковал компьютеры под управлением Windows 2000 и недавно появившейся XP. Оказавшись на компьютере, Blaster искал слабые места системы, заражал ее и двигался дальше. Червь был нацелен на серверы Microsoft, а серьезной угрозы для обычных пользователей не представлял – из побочных эффектов была разве что спонтанная перезагрузка компьютера. Microsoft приостановила работу серверов в день атаки, таким образом вреда червь практически не нанес. На скамье подсудимых оказались не китайские хакеры из группы Xfocus, которые и разработали Blaster, а американский школьник. Непосредственно к созданию червя он отношения не имел, но приложил руку к доработке кода – по крайней мере, так парень заявлял. Подростка наказали тюремным заключением на полтора года и 225 часами общественных работ.
***
Угроз предостаточно, и чем больше о них узнаешь, тем увеличиваются шансы стать компьютерным ипохондриком. Антивирусы хорошо борются с популярными вредоносными программами, достаточно глубоко сканируя систему. Вообще же, противостояние вирусов и антивирусов вряд ли когда-нибудь закончится – на каждое действие есть противодействие, и представители обоих лагерей хороши в своем ремесле. Большинство рядовых проблем могут решить антивирусы, причем не обязательно выбирать варианты с оплачиваемой подпиской. Порой бесплатные, как наш антивирус 360 Total Security, обеспечивают высокий уровень защиты. Заодно и прилично экономя. К тому же установить его можно на все популярные платформы.
Куда серьезнее дела обстоят с вирусами, которые целятся на объекты инфраструктуры и корпоративные серверы. Попавший на корпоративный сервер вирус может легко нарушить работу компании — например, заблокирует доступ в систему. Также он способен удалить либо скопировать информацию, в том числе конфиденциальную. Если такое происходит с домашними компьютерами, то глобально ничего страшного не произойдет. Но когда речь, допустим, о банках, экономических биржах, крупных компаниях с большими средствами — последствия вирусной атаки, в теории, могут привести к банкротству этих организаций. Либо, как в случае со Stuxnet, вирусы поставят под угрозу национальную безопасность страны: кто знает, чем закончилось бы полное отключение системы охлаждения атомной станции и невозможность запустить центрифуги. Остается гадать, что еще разработано за прошедшие шесть лет с момента атаки Stuxnet – и какие последствия могут вызвать более современные вредоносные программы.