История вредоносных программ
От полезной идеи до многомиллиардного вреда мировой экономике
Кажется, мы стали забывать, что в интернете (да и за его пределами) полно вредоносных программ, которые портят кровь, телефоны и компьютеры. А ведь прошло всего ничего со времен эпидемии WannaCry и NotPetya. Чтобы не терять бдительность, мы решили вспомнить, как появились и идейно развивались компьютерные вирусы и сетевые черви.
Словарик
Компьютерный вирус — ПО, которое умеет копировать себя и добавлять копии в код других программ и файлов.
Сетевой червь — ПО, которое самостоятельно распространяется через интернет и локальные сети.
Сетевой червь — ПО, которое самостоятельно распространяется через интернет и локальные сети.
С 1949 ученые начали задумываться, что будет, если сделать самовоспроизводящуюся программу. Писали об этом книги, высказывали догадки. И через 20 лет приступили к активным действиям. В 1969 году в университете Вашингтона запустили пробную программу, которая работала по принципу вилки: создавала 2 копии себя, которые создавали 2 копии себя, которые создавали... Всё как на картинке в учебнике биологии, глава «Деление клеток». Это были робкие и пока безобидные эксперименты.
Первый червь
Первую вредоносную программу создал инженер BBN Роберт Томас в 1970 году. Это был эксперимент в локальной сети из 28 компьютеров. Программа была демонстрацией мобильного приложения — такого, которое может перемещаться с компьютера на компьютер. Идея здравая: если комп не тянет задачу — программа перепрыгивает на более мощную машину. Или, если ей нужны специфические данные, она переходит на компьютер, где они хранятся. Называлась эта программа Creeper.
Creeper был похож на сетевого червя: он перемещался от устройства к устройству по локальной сети. Но, в отличие от современных червей, он не воспроизводил сам себя, а перепрыгивал с компьютера на компьютер. Он честно пытался удалить себя с машин, на которых уже побывал (на что современные черви времени не тратят).
Creeper был похож на сетевого червя: он перемещался от устройства к устройству по локальной сети. Но, в отличие от современных червей, он не воспроизводил сам себя, а перепрыгивал с компьютера на компьютер. Он честно пытался удалить себя с машин, на которых уже побывал (на что современные черви времени не тратят).
При появлении на компьютере Creeper выводил окошко с надписью «I’M THE CREEPER. CATCH ME IF YOU CAN» — «Я Creeper. Поймай меня, если сможешь». А так как программа могла заводиться в компьютере неограниченное количество раз, сообщение появлялось не единожды. Кого-то это веселило, а кто-то вспоминает постоянные сообщения как АПОКАЛИПСИС и утверждает, что Creeper загружал процессор и мешал работать с программами.
Зато Creeper выявил главную проблему червей: контроль за ними.
Чтобы побороть Creeper, был создан Reeper. Он перемещался с устройства на устройство, чтобы поймать и остановить Creeper, после чего самоликвидировался.
Чтобы побороть Creeper, был создан Reeper. Он перемещался с устройства на устройство, чтобы поймать и остановить Creeper, после чего самоликвидировался.
Вирус учится ходить
Creeper и другие первые вирусы и черви появлялись в условиях стерильных, почти лабораторных: под наблюдением программистов и инженеров, в замкнутой экосистеме. Но в 1981 году появилась программа, которая сбежала из-под контроля своего автора (по его задумке, конечно же). То был вирус Elk Cloner, созданный 15-летним школьником Ричардом Скрентом. Мальчик злодейских целей не преследовал, просто у него юмор был такой. Поэтому пострадавших не было: вирус не замедлял работу компьютера, не воровал данные. Он только немного раздражал сообщениями, которые показывал пользователям.
Вирус содержался в программе, которая распространялась с помощью дискеты. Когда пользователь вставлял дискету, Elk Cloner сохранялся в памяти компьютера. Там он сидел и ждал, когда в комп вставят незараженную дискету. И когда это происходило — инфицировал ее. Каждый 50-й раз он отмечал сообщением со стишком.
Ричард распространял вирус среди друзей, а также подсунул его своему учителю математики. Последнему шутка не зашла.
Дальше Elk Cloner распространялся сам, и иногда появлялся в неожиданных местах. Например, через 10 лет после изобретения его обнаружили на компьютере моряка, воевавшего в Персидском заливе.
Дальше Elk Cloner распространялся сам, и иногда появлялся в неожиданных местах. Например, через 10 лет после изобретения его обнаружили на компьютере моряка, воевавшего в Персидском заливе.
Say my name!
Описанные выше программы появились раньше, чем термины «сетевой червь» и «компьютерный вирус». До «червя» додумались только в 1975 году (спустя 4 года после Creeper-а), а до «вируса» — в 1983. Придумал термин доктор Леонард Адлеман, профессор изобретателя первого вируса — Фреда Коэна.
Фред Коэн не был злодеем. Он, как и изобретатели вирусов и червей до него, испытывал новые технологии. Коэн сделал программу, которая воспроизводила сама себя, для демонстрации. Она пряталась в файлах, пользовалась повышенными привилегиями, но знала границы и не лезла в конфиденциальные данные пользователей.
Во время эксперимента ни один компьютер не пострадал. Зато Коэну пришлось выслушать лекцию профессора Адлемана о будущем вирусов и об этике их использования.
Фред Коэн не был злодеем. Он, как и изобретатели вирусов и червей до него, испытывал новые технологии. Коэн сделал программу, которая воспроизводила сама себя, для демонстрации. Она пряталась в файлах, пользовалась повышенными привилегиями, но знала границы и не лезла в конфиденциальные данные пользователей.
Во время эксперимента ни один компьютер не пострадал. Зато Коэну пришлось выслушать лекцию профессора Адлемана о будущем вирусов и об этике их использования.
Первая эпидемия
В 1986 году появилась программа Brain, которая стала причиной первой компьютерно-вирусной эпидемии. Она заразила более 18000 компьютеров, и это только в США. А ведь свой путь Brain начал в Пакистане. И, как всегда, с добрыми намерениями.
Обитал вирус на платформе MS-DOS, передавался через дискеты. С них перемещался в память компьютера, где затаивался и ждал. Его задачей было отслеживать появление новых незараженных дискет и копировать себя на них.
Распространению вируса способствовало то, что создатели сделали его невидимым для системы. Когда та обращалась к зараженному сектору, вирус подставлял вместо него незараженный. Также у него не было игривого сообщения, как у Creeper и Elk Cloner. Хотя послание в нем было, но спрятанное. И содержало оно не стих и не шутку, а имена создателей Brain, их адреса и телефоны.
Понятное дело, что было бы глупо на месте злобных хакеров оставлять такую информацию. И верно — братья-пакистанцы Амджад и Базит Алви, которые разработали Brain, не были злодеями, они хотели сделать как лучше.
Обитал вирус на платформе MS-DOS, передавался через дискеты. С них перемещался в память компьютера, где затаивался и ждал. Его задачей было отслеживать появление новых незараженных дискет и копировать себя на них.
Распространению вируса способствовало то, что создатели сделали его невидимым для системы. Когда та обращалась к зараженному сектору, вирус подставлял вместо него незараженный. Также у него не было игривого сообщения, как у Creeper и Elk Cloner. Хотя послание в нем было, но спрятанное. И содержало оно не стих и не шутку, а имена создателей Brain, их адреса и телефоны.
Понятное дело, что было бы глупо на месте злобных хакеров оставлять такую информацию. И верно — братья-пакистанцы Амджад и Базит Алви, которые разработали Brain, не были злодеями, они хотели сделать как лучше.
Братья Алви много лет спустя
Они создали Brain, чтобы тот отслеживал пиратские копии разработанного ими ПО. Братья заподозрили неладное, когда тысячи злобных пользователей начали звонить им с требованием вылечить их компьютеры. Оказалось, что, кроме отслеживания пиратов, Brain еще нехило загружает процессор, тормозит работу компьютера и выводит из строя слабые машины.
Шутки кончились
До 1987 года вирусы появлялись либо по случайности, либо потому что их изобретателям они казались веселой шуткой. Но шутки кончились, и вирусы стали умышленно опасными. Такими, как вредоносная программа Jerusalem, также известная как Пятница, 13-е. Кто ее создал и где — неизвестно. Предположительно это произошло в Иерусалиме, хотя есть версия, что дело было в Италии.
Jerusalem распространялся с помощью дискет, CD-дисков и через вложения в имейлах. Попадая в компьютер, он заражал каждый файл, который открывал пользователь. Раз в 30 минут замедлял работу машины в 5 раз. А по пятницам, которые выпадали на 13 число, Jerusalem и вовсе удалял все файлы и программы, которые запускал пользователь.
Jerusalem вдохновил начинающих хакеров на создание подобных вирусов. Кто-то копировал Jerusalem и менял незначительные мелочи: например, пятницу 13-е на 26-е число каждого месяца. А кто-то не такой ленивый фиксил имевшиеся в вирусе баги. Но самый интересный вариант Jerusalem, на наш взгляд, Jerusalem-113, который не работает по субботам. Ибо шаббат!
В итоге семейство иерусалимово стало самым большим среди вредоносных программ. В различных вариациях вирус жил до 1995 года.
Jerusalem распространялся с помощью дискет, CD-дисков и через вложения в имейлах. Попадая в компьютер, он заражал каждый файл, который открывал пользователь. Раз в 30 минут замедлял работу машины в 5 раз. А по пятницам, которые выпадали на 13 число, Jerusalem и вовсе удалял все файлы и программы, которые запускал пользователь.
Jerusalem вдохновил начинающих хакеров на создание подобных вирусов. Кто-то копировал Jerusalem и менял незначительные мелочи: например, пятницу 13-е на 26-е число каждого месяца. А кто-то не такой ленивый фиксил имевшиеся в вирусе баги. Но самый интересный вариант Jerusalem, на наш взгляд, Jerusalem-113, который не работает по субботам. Ибо шаббат!
В итоге семейство иерусалимово стало самым большим среди вредоносных программ. В различных вариациях вирус жил до 1995 года.
Эпоха интернет-червей
Интернет-червь, червь Морриса, Великий Червь — так зовут великую и ужасную программу, которая в 1988 году парализовала работу шести тысяч интернет-узлов США, нанесла вред пользователям в размере 96,5 миллионов долларов, стала причиной судимости своего изобретателя и теперь бережно хранится в музеях.
Червь Морриса в Музее компьютерной истории, Калифорния
Червь Морриса одним из первых стал распространяться через прототип интернета — ARPANET. Сеть тогда считалась милым и безопасным местом, наполненным полезной информацией и умными людьми. Никто не ожидал от него подставы в виде вредоносной программы.
Чтобы проникнуть на устройство, червь Морриса использовал уязвимости и человеческую наивность. Неподготовленные к хакерским атакам пользователи логином чаще всего указывали своё имя и не заморачивались с придумыванием пароля — на тот момент существовало 400 популярных вариантов, среди которых червь подбором находил подходящий.
После проникновения червь сканировал компьютер, чтобы определить, инфицирован ли он. Нет — заражал. Да — решал, стоит ли переписать свою предыдущую версию — а вдруг администратор подделал ее? Так как Моррис задал слишком маленький интервал между перезаписью червя, происходило это часто. Ресурсов жрало много. И сначала замедляло компьютер, а потом совсем парализовало его работу.
Надо отдать должное Моррису — он сделал крутой программу, которую было сложно найти и еще сложнее — установить её связь с изобретателем. Но старший Моррис решил, что сынок заигрался, и сдал его властям. Защищаясь, Роберт сказал, что просто хотел посчитать таким образом, сколько всего компьютеров в сети, но что-то пошло не так. Суд отмазку не принял, и Роберт Моррис стал первым в мире человеком, обвиненным в компьютерном мошенничестве. После он перешел на светлую сторону и занялся информационной безопасностью.
Появление глобальных сетей ARPANET, а затем и интернета, облегчило распространение вирусов и червей. Их становилось все больше, и со временем люди приспособились — перестали жать на подозрительные файлы в письмах, брать дискеты у незнакомцев. Антивирусы поустановили. Научились отличать бро от не бро, вредоносные программы от всего остального.
Поэтому следующим шагом вирусов стала мимикрия под человека.
Чтобы проникнуть на устройство, червь Морриса использовал уязвимости и человеческую наивность. Неподготовленные к хакерским атакам пользователи логином чаще всего указывали своё имя и не заморачивались с придумыванием пароля — на тот момент существовало 400 популярных вариантов, среди которых червь подбором находил подходящий.
После проникновения червь сканировал компьютер, чтобы определить, инфицирован ли он. Нет — заражал. Да — решал, стоит ли переписать свою предыдущую версию — а вдруг администратор подделал ее? Так как Моррис задал слишком маленький интервал между перезаписью червя, происходило это часто. Ресурсов жрало много. И сначала замедляло компьютер, а потом совсем парализовало его работу.
Надо отдать должное Моррису — он сделал крутой программу, которую было сложно найти и еще сложнее — установить её связь с изобретателем. Но старший Моррис решил, что сынок заигрался, и сдал его властям. Защищаясь, Роберт сказал, что просто хотел посчитать таким образом, сколько всего компьютеров в сети, но что-то пошло не так. Суд отмазку не принял, и Роберт Моррис стал первым в мире человеком, обвиненным в компьютерном мошенничестве. После он перешел на светлую сторону и занялся информационной безопасностью.
Появление глобальных сетей ARPANET, а затем и интернета, облегчило распространение вирусов и червей. Их становилось все больше, и со временем люди приспособились — перестали жать на подозрительные файлы в письмах, брать дискеты у незнакомцев. Антивирусы поустановили. Научились отличать бро от не бро, вредоносные программы от всего остального.
Поэтому следующим шагом вирусов стала мимикрия под человека.
Социальная инженерия в действии
Мы на автомате удаляем сообщения от незнакомцев с содержанием вроде «Я тут твои фотки нашел! Не знал, что ты так умеешь ;) [ссылка на троян]». И это — результат эволюции. Ведь наши предки (ну, те, которые были 20 лет назад) ловились на этот приём как миленькие.
Первым вирусом, который эксплуатировал наше любопытство и наивность, стал Melissa в 1999 году. Он попадал на компьютер через имейл с темой «Important Message From <email address of the account from which the virus was sent>» («Важное сообщение от [адрес отправителя вируса]»). В самом письме было два предложения: «Here is that document you asked for ... don’t show anyone else ;-)» («Вот документ, который ты просил... не показывай никому ;-)»), и прикрепленный файл с безобидным названием list.doc. Внутри него находились 80 ссылок на порносайты, но это уже было неважно — вирус активировался сразу, как пользователь открывал документ.
Melissa проверял адресную книгу пользователя и отправлял его контактам аналогичное письмо. Таким образом были инфицированы 100 000 устройств, но вирус их не трогал, файлы не повреждал. Зато знатно попортил сервера почтовых сервисов, которые не справлялись с нагрузкой из-за огромного количества отправляемых сообщений. Ущерб от Melissa оценивается в 1,1 миллиард долларов.
После нашествия Melissa, которое освещали пресса и медиа, народ всполошился и стал массово закупаться антивирусами. Однако это не защитило пользователей от следующей вредоносной программы, которая паразитировала на человеческой наивности.
В 2000 году пользователям MS Outlook стали приходить имейлы с темой «ILOVEYOU» («ЯТЕБЯЛЮБЛЮ») с вложением LOVE-LETTER-FOR-YOU.TXT.vbs (ЛЮБОВНОЕ-ПИСЬМО-ДЛЯ-ТЕБЯ). Казалось бы, в прошлом году была похожая тема — так закрой письмо, почисть инбокс, протри монитор святой водой. Но пользователи хотели узнать, кто же их любит, и открывали вложение, где (только не удивляйтесь) прятался червь.
После нашествия Melissa, которое освещали пресса и медиа, народ всполошился и стал массово закупаться антивирусами. Однако это не защитило пользователей от следующей вредоносной программы, которая паразитировала на человеческой наивности.
В 2000 году пользователям MS Outlook стали приходить имейлы с темой «ILOVEYOU» («ЯТЕБЯЛЮБЛЮ») с вложением LOVE-LETTER-FOR-YOU.TXT.vbs (ЛЮБОВНОЕ-ПИСЬМО-ДЛЯ-ТЕБЯ). Казалось бы, в прошлом году была похожая тема — так закрой письмо, почисть инбокс, протри монитор святой водой. Но пользователи хотели узнать, кто же их любит, и открывали вложение, где (только не удивляйтесь) прятался червь.
Internet Explorer не запускает скрипты, которые запрашивают доступ к жесткому диску, без разрешения пользователя. Он выводит окошко с предупреждением, и пользователь должен либо нажать «Да» и дать доступ скрипту, либо отказаться. ILOVEYOU делал так, что вместо этого системного сообщения пользователь видел другое: мол, нужно создать элемент управления ActiveX. Если пользователь жал «Да» — червь получал доступ к жесткому диску. Если «Нет» — снова выводил сообщение про ActiveX.
Также подцепить червя можно было, перейдя по прямой ссылке на сайт, где Loveletter обитал.
После заражения червь рассылал себя всей адресной книге пользователя, закидывал троянца на компьютер и перезаписывал файлы, добавляя в них свою копию.
ILOVEYOU обошелся мировой экономике в 8,75 миллиардов долларов.
Также подцепить червя можно было, перейдя по прямой ссылке на сайт, где Loveletter обитал.
После заражения червь рассылал себя всей адресной книге пользователя, закидывал троянца на компьютер и перезаписывал файлы, добавляя в них свою копию.
ILOVEYOU обошелся мировой экономике в 8,75 миллиардов долларов.
Вирусы-вымогатели
Сложно сказать, какой профит получают разработчики вирусов. Кому-то, наверное, нравится решать сложные задачки по обходу систем безопасности. Кому-то — вредить людям и, сидя на попе ровно, создавать миллиардные убытки мировой экономике. Кто-то наверняка получает деньги за добытую информацию или вред конкуренту. Зато цель создателей вирусов-вымогателей кристально чиста — им нужно лавэ, да побольше.
Первые программы-вымогатели появились в 2005 году. Они подавались как софт, который устраняет критические проблемы устройства. Но не просто так — для этого пользователю предлагалось купить «лицензию» за 50 $. Конечно, после оплаты никакого чуда не происходило, и проблемы, если они и были у пользователя, не решались.
Вирусы-вымогатели, которые появились позже, работают по двум схемам:
1. шифруют информацию и предлагают пользователю выбор: заплатить и вернуть данные, или не заплатить и потерять их. Сейчас средняя цена за дешифровку — 300 долларов, и с 2013 года платежи стали приниматься в основном в биткоинах;
2. блокируют работу устройства, например, с помощью неубираемой заглушки.
Сейчас самые страшные и популярные вирусы и черви — этакие рок-звезды среди вредоносных программ — именно вымогатели. К ним относится и прогремевший недавно WannaCry.
Первые программы-вымогатели появились в 2005 году. Они подавались как софт, который устраняет критические проблемы устройства. Но не просто так — для этого пользователю предлагалось купить «лицензию» за 50 $. Конечно, после оплаты никакого чуда не происходило, и проблемы, если они и были у пользователя, не решались.
Вирусы-вымогатели, которые появились позже, работают по двум схемам:
1. шифруют информацию и предлагают пользователю выбор: заплатить и вернуть данные, или не заплатить и потерять их. Сейчас средняя цена за дешифровку — 300 долларов, и с 2013 года платежи стали приниматься в основном в биткоинах;
2. блокируют работу устройства, например, с помощью неубираемой заглушки.
Сейчас самые страшные и популярные вирусы и черви — этакие рок-звезды среди вредоносных программ — именно вымогатели. К ним относится и прогремевший недавно WannaCry.
Заключение
Интернет темен и полон вирусов. Да и не только интернет — вспомните про первые неприятные ПО, кочевавшие с компа на компа с помощью дискет.
Вредоносные программы постоянно эволюционируют, прямо как настоящие, биологические вирусы. И на 100% защититься от них невозможно. Ну, если только пользоваться исключительно Айфоном и Айпадом — они еще не прогнулись под натиском вредителей (нет, нам не платили за рекламу). С других устройств вирус или червь можно поймать, даже не скачивая файлы с сомнительных ресурсов и обходя порносайты за километр.
Так что не ленитесь делать бэкапы, дорогие читатели :)
Вредоносные программы постоянно эволюционируют, прямо как настоящие, биологические вирусы. И на 100% защититься от них невозможно. Ну, если только пользоваться исключительно Айфоном и Айпадом — они еще не прогнулись под натиском вредителей (нет, нам не платили за рекламу). С других устройств вирус или червь можно поймать, даже не скачивая файлы с сомнительных ресурсов и обходя порносайты за километр.
Так что не ленитесь делать бэкапы, дорогие читатели :)