Червь морриса

Архитектура

Дискета, содержащая исходный код червя Морриса (также известного как The Worm), хранится в Музее истории компьютеров.

Червь был создан Моррисом просто для того, чтобы посмотреть, можно ли это сделать, и был выпущен Массачусетским технологическим институтом (MIT) в надежде предположить, что его создатель учился там, а не в Корнелле. (Позднее Моррис стал штатным профессором Массачусетского технологического института в 2006 году.) Моррис, создатель червя, был сыном Роберта Морриса , криптографа, который в то время работал на АНБ .

Червь использовал несколько уязвимостей для проникновения в целевые системы, в том числе:

  • Дыра в режиме отладки программы sendmail для Unix
  • Переполнение буфера или перерасход отверстие в fingerd услуги сети
  • Транзитивное доверие, обеспечиваемое людьми, настраивающими сетевые логины без требований к паролю через удаленное выполнение (rexec) с помощью Remote Shell (rsh), называемое rexec / rsh

Червь также работал с использованием слабых паролей . Из-за использования rsh (обычно отключенного в ненадежных сетях), исправлений sendmail , finger , широкого использования сетевой фильтрации и повышения осведомленности об опасностях слабых паролей, эксплойты, которые использовал Моррис, больше не будут успешными в современных и правильно настроенных система в наши дни.

Хотя Моррис не предполагал, что червь будет активно разрушать, вместо этого он стремился просто выделить слабые места, присутствующие во многих сетях того времени, непреднамеренное последствие кодирования Морриса привело к тому, что червь был более разрушительным и легко распространялся, чем планировалось изначально. Запрограммированный на проверку каждого компьютера, чтобы определить, присутствует ли уже заражение, Моррис, полагая, что некоторые системные администраторы могут противодействовать этому, давая указание компьютеру сообщать о ложном срабатывании , запрограммировал червя на копирование себя в 14% случаев, независимо от статуса. заражения на компьютере. Это приводило к тому, что компьютер потенциально мог быть заражен несколько раз, и каждое дополнительное заражение замедляло работу компьютера до точки, в которой его можно было использовать. Это будет иметь тот же эффект, что и бомба с вилкой , и приведет к поломке компьютера несколько раз.

Основная часть червя могла заразить только машины DEC VAX с 4 BSD , а также системы Sun-3 . Переносной C- компонент «захватный крюк» червя использовался, чтобы тянуть (загружать) основные части тела, а захватный крюк мог работать на других системах, нагружая их и делая их периферийными жертвами.

Как вирус воздействует на компьютерную систему

Сам Роберт Моррис (создатель вируса) всячески открещивается от последствий, нанесенных его «детищем» Соединенным Штатам, утверждая, что распространение по сети спровоцировала ошибка в коде самой программы. Учитывая то, что образование он получал в университете, тем более на факультете информатики, с этим трудно согласиться.

Итак, так называемый «Червь Морриса» изначально был ориентирован на перехват сообщений между крупными организациями (включая правительственные и военные). Суть воздействия сводилась к тому, чтобы подменить исходный текст письма, отправляемого тогда еще в сети APRANET, с удалением заголовков и окончаний в отладочном режиме Sendmail или при переполнении буфера сетевого fingerd-сервиса. Первая часть в новом письме содержала код, компилированный на удаленном терминале, а третья состояла из такого же бинарного кода, но адаптированного под разные компьютерные системы.

Кроме того, был использован специализированный инструмент, позволявший подбирать логины и пароли при помощи удаленного доступа для выполнения программ (rexec), а также вызова удаленного интерпретатора (rsh), который на командном уровне использовал так называемый «механизм доверия» (сейчас это больше ассоциируется с сертификатами).

В популярной культуре

  • В фильме 1995 года « Хакеры» главный герой разворачивает вирусную атаку, во многом похожую на червя Морриса: событие происходит в 1988 году, заражает более тысячи компьютеров, вызывает серьезные экономические потрясения и приводит к штрафу и наказанию за распространение. испытательный срок.
  • В визуальном романе Digital: A Love Story червь Морриса изображен как прикрытие для крупномасштабной атаки на ARPANET и несколько систем досок объявлений .
  • В эпилоге своей книги «Яйцо кукушки» Столл подробно описывает свои усилия по борьбе с червем Морриса.
  • В Halt and Catch Fire для измерения размера сети создается вирус, который работает аналогично червю Морриса.

Brain, 1986

Первым получившим заметное распространение вирусом для компьютеров на платформе IBM PC стал Brain, появившийся в 1986 году и представший собой рекламу пакистанской компьютерной мастерской, которая изъявляла готовность «излечить» от этого вируса. На экран выводилось соответствующее сообщение:

«(С) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES LAHORE-PAKISTAN
Beware of this VIRUS…. Contact us for vaccination».

Трудно сказать, насколько прибавилось клиентуры у создателей Brain, но в западной прессе началась настоящая паника. У некоторых даже сложилось впечатление, что компьютеры способны заражать вирусами человека.

При этом сами вирусы становились всё менее безобидными: некоторые из них стали стирать начальные дорожки и первые сектора на жёстких дисках, разрушая загрузочные данные и важную информацию о файлах. «Лечение» было возможным, но чрезвычайно сложным процессом, поэтому в большинстве случаев пострадавшим приходилось заново форматировать диск, теряя все сохранившиеся данные.

ILOVEYOU 2000 год

Известный вирус, «признававшийся в любви», был написан в 2000 году филлипинцами Рамонесом и Гузманом и нанёс мировой экономике ущерб в размере порядка 10-15 миллиардов долларов, за что и попал в Книгу рекордов Гиннесса как самый разрушительный вирус на тот момент. При этом его создатели, которые впоследствии предстали перед судом, не понесли никакого наказания, поскольку тогдашнее законодательство Филлипин вообще не предусматривало ответственности за написание вредоносного программного обеспечения.

ILOVEYOU использовал ту же схему почтового распространения, что и Melissa, а сообщение гласило: «Пожалуйста, посмотри приложенное ПИСЬМО ЛЮБВИ от меня». Однако во вложении находился уже не документ Word, а замаскированный под текстовый файл скрипт с двойным расширением LOVE-LETTER-FOR-YOU.TXT.vbs. И если пользователь видел расширение TXT, то VBS по умолчанию скрывалось, как расширение скрытых системных файлов. В свою очередь, сценарии VBS исполнялись с помощью компонента Windows Scripting Host, который имел практически полный доступ к системе и был включён по умолчанию.

В отличие от предшественников, ILOVEYOU не только рассылал себя по всем контактам Outlook, но и вёл себя, как настоящий троянец, пытаясь похитить все найденные пароли и отослать их на некий почтовый ящик. Кроме того, он удалял случайные файлы изображений и MP3, заменяя их фальшивыми файлами с копией вирусного кода, подменял системные файлы, прописывался в реестре и размножался с каждой перезагрузкой Windows.

Вирус Anna Kournikova, появившийся годом позже, использовал ту же технику маскировки расширения вложения: вместо фотографии известной теннисистки жертва получала очередной зловредный сценарий.

Последствия червя

Счетная палата правительства США оценила ущерб от 100 000 до 10 000 000 долларов. Клиффорд Столл , системный администратор, известный тем, что обнаружил и впоследствии выследил хакера Маркуса Хесса тремя годами ранее, помог бороться с червем, написав в 1989 году: «Я обследовал сеть и обнаружил, что две тысячи компьютеров были заражены в течение пятнадцати часов. Эти машины были мертвы в воде — бесполезны, пока не продезинфицировали. А удаление вируса часто занимало два дня «. Столл прокомментировал, что червь продемонстрировал опасность монокультуры : «Если бы все системы на Arpanet работали под управлением Berkeley Unix , вирус отключил бы все пятьдесят тысяч из них».

Обычно сообщается, что червем Морриса было заражено около 6000 основных UNIX-машин; однако коллега Морриса Пол Грэм утверждал: «Я был там, когда была сфабрикована эта статистика, и вот рецепт: кто-то предположил, что к Интернету было подключено около 60 000 компьютеров, и что червь мог заразить десять процентов из них. . » Столл подсчитал, что пострадали «всего пара тысяч» компьютеров, написав, что «Ходят слухи, что работал с одним или двумя друзьями на вычислительном факультете Гарварда (студент Гарварда Пол Грэм прислал ему письмо с просьбой« сообщить какие-либо новости о блестящем проекте »). ‘) «.

Интернет был разделен на несколько дней, поскольку региональные сети отключились от магистрали NSFNet и друг от друга, чтобы предотвратить повторное заражение при очистке своих собственных сетей.

Червь Морриса побудил DARPA профинансировать создание CERT / CC в Университете Карнеги-Меллона , предоставив экспертам центральную точку для координации действий в чрезвычайных ситуациях в сети. Джин Спаффорд также создал список рассылки Phage для координации действий в чрезвычайной ситуации.

Червя Морриса иногда называют «Великим червем» из-за разрушительного воздействия, которое он оказал на Интернет в то время, как в отношении общего простоя системы, так и в плане психологического воздействия на восприятие безопасности и надежности Интернета. Название произошло от «Великих червей» Толкина : Ската и Глаурунг.

Что дальше?

Несмотря на то, что периодически появляются сообщения о тех или иных компьютерных вирусах, вот уже несколько лет нет никаких громких эпидемий с катастрофическими последствиями. Угроза, стоящая сегодня перед домашними пользователями, это прежде всего «трояны», превращающие компьютер в «боевую единицу» бот-сетей и похищающие разного рода личные данные. Для веб-серверов — это всё те же DDoS-атаки, но организованные уже на принципиально ином уровне с помощью управляемых сетей ботов.

Почему почти сошли на нет «обычные» вирусы? Во-первых, в Microsoft всерьёз озаботились безопасностью как на уровне серверного, так и на уровне пользовательского ПО, так что даже Windows XP с Service Pack 3 можно считать достаточно безопасной по сегодняшним меркам операционной системой. 

Во-вторых, как ни странно, за последние годы выросла «сознательность пользователей», которые понимают, что для работы в интернете обязательно нужно установить антивирусный софт. Забавно, что этим начали пользоваться и сами вирусописатели, пытающиеся распространять своё творчество под видом антивирусов.

Наконец, есть и чисто техническая разница: если до самого начала двухтысячных большинство пользователей выходило в интернет напрямую через модемы, то сегодня практически все домашние и корпоративные машины подключаются к Сети через маршрутизаторы и коммутаторы, которые выступают в качестве брандмауэров и предотвращают в том числе и случайное заражение.

Тем не менее, пользователи Windows, как и раньше, остаются самой атакуемой группой — просто потому, что эта операционная система занимает львиную долю рынка. Между тем, участились атаки и на машины под управлением OS X, хотя их доля выросла несущественно. И ещё один объект пристального внимания вирусописателей — это мобильные ОС, которых просто не существовало десять лет назад. Речь, прежде всего, об Android и iOS, которые по числу активных пользователей уже легко поспорят с традиционными «настольными» операционками. И если пока число вирусов для Android не слишком велико, то в обозримом будущем их может оказаться намного больше, чем для той же Windows.

Червь Морриса 1988 год

Первым червём, продемонстрировавшим разрушительный потенциал зловредов, путешествующих по компьютерным сетям, стал так называемый «Червь Морриса», который был написан в ноябре 1988 года аспирантом американского Корнелльского университета Робертом Моррисом-младшим. Чтобы скрыть происхождение вируса, Моррис запустил свой червь в только зарождавшуюся Всемирную сеть (тогда ещё ARPANET) не из своего университета, а из Массачусетского технологического института.

Червь Морриса пользовался уязвимостями в операционной системе Unix, а его присутствие проявлялось в периодическом перезаписывании собственного кода и одновременном запуске нескольких копий самого себя, что приводило к засорению памяти и забиванию сетевых каналов. В результате в какой-то момент червь поразил все узлы ARPANET и полностью парализовал работу Сети. Сумма ущерба, нанесённого Великим Червём, составила почти 100 миллионов долларов, однако суд учёл явку с повинной и приговорил Морриса к условному сроку и штрафу.

Роберт Моррис-младший

Моррис сделал успешную научную карьеру в Массачусетском технологическом институте и одно время даже занимал должность главного ученого в Национальном центре компьютерной безопасности США, секретном подразделении АНБ.

Червь Морриса, 1988

Разрушительный потенциал зловредов, путешествующих по компьютерным сетям, первым продемонстрировал так называемый Червь Морриса, который был написан в ноябре 1988 года аспирантом американского Корнеллского университета Робертом Моррисом-младшим. Чтобы скрыть происхождение вируса, Моррис запустил свой червь в только зарождавшуюся Всемирную сеть (тогда ещё ARPANET) не из своего университета, а из Массачусетского технологического института.

Червь Морриса пользовался уязвимостями в операционной системе Unix, а его присутствие проявлялось в периодическом перезаписывании собственного кода и одновременном запуске нескольких копий самого себя, что приводило к засорению памяти и забиванию сетевых каналов. В результате в какой-то момент червь поразил все узлы ARPANET и полностью парализовал работу Сети. Сумма ущерба, нанесённого Великим Червём, составила почти $100 млн, однако суд учёл явку с повинной и приговорил Морриса к условному сроку и штрафу.

Моррис сделал успешную научную карьеру в Массачусетском технологическом институте и одно время даже занимал должность главного учёного в Национальном центре компьютерной безопасности США, секретном подразделении АНБ.

Сетевой червь Морриса

1988 год стал знаковым для развития IT-индустрии. Был запущен первый сетевой вирус – Morris worm. Его в «локалку» Массачусетского технологического института загрузил студент Роберт Моррис. Однако быстро программа вышла из-под контроля: в первый же день она поразила более шести тысяч узлов ARPANET (тогдашнего аналога Интернета), через неделю червем был забит весь сетевой трафик.

Вирус подбирал пароли к различным сервисам пользователей сети, забивал их оперативную память бесполезными процессами, которые ветвились каждые три секунды, и попросту выводил компьютеры из строя. Быстро справиться с червем не смогли даже лучшие компьютерные эксперты страны. В результате сумма ущерба составила почти $100 млн.

Спецслужбы США не смогли сразу отыскать Морриса, и вряд ли бы у них это получилось, если бы отец автора вируса не работал в Агентстве национальной безопасности. Моррис-старший узнал о том, что в атаке, о которой говорит вся Америка, виноват его сын и попросил Роберта сдаться полиции. На суде злоумышленника осудили на 3 года условно, $10 тыс. штрафа и несколько сотен часов общественных работ. Это был первый в истории приговор за киберпреступление. Кстати, дискета Морриса с исходным кодом программы до сих пор хранится в музее науки в Бостоне как один из главных экспонатов.

Тайваньский Чернобыль

22-летнему Чэню Инхао из Тайваня было довольно скучно учиться в университете Датун в Тайбэе. Он существенно опережал программу, поэтому пока его однокурсники делали домашние задания, Чэнь писал короткие коды, ставя себе различные задачи. Так в 1998 году появился вирус CIH – по инициалам создателя. Это безобидная на первый взгляд программа весом 1 килобайт при запуске не производила никаких манипуляций с ОС, лишь закладывая небольшую «логическую бомбу». 26 апреля (годовщина взрыва на АЭС в Чернобыле, отсюда второе название) все зараженные системы Windows 95/98 уничтожали данные с жестких дисков и повреждали содержимое микросхем BIOS, что делало компьютер непригодным для использования.

По разным оценкам, вирус, который Чэнь хотел запустить лишь в своем университете, достиг 500 тыс. компьютеров по всему миру, включая Россию. Распространялся он, в основном, за счет веб-серверов с компьютерными играми. Китаец получил серьезный выговор от университета, но не попал в тюрьму – в законодательстве Тайваня не было статей о киберпреступлениях.

Вирус «Чернобыль» можно встретить и до сих пор. У него немного изменилась оболочка, но код все еще срабатывает именно 26 апреля.

Мелисса любит тебя

1999 год ознаменовался первой масштабной волной заражения через почтовые сервисы и спам-рассылку. Вирус Melissa затронул не только обычных пользователей, но и многих компьютерных гигантов, таких как Intel и Microsoft. Изначально вирус от имени некой Мелиссы присылал странный файл с подписью «очень важная информация». При открытии приложения компьютер заражался, и рассылка шла уже от его имени. Большинство пользователей без раздумий открывали приложения от своих родственников и коллег, таким образом становясь еще одним звеном в цепочке распространения вредоносного ПО. Ущерб составил около $100 млн.

Продолжение эпопеи с почтовыми вирусами не заставило себя ждать. Уже в 2000 году злоумышленники создали похожую программу, которая на этот раз играла на эмоциях людей. От имени коллег и родственников вирус отправлял сообщение «I love you» и приложение – love-letter, которое и заражало компьютер. Дальше все происходило по схеме Melissa. Эпидемия Iloveyou стала одной из самых массовых в истории – заражено было 10% от всех имевшихся на тот момент на планете компьютеров. Ущерб от украденных паролей составил $5,5 млрд. Создатели – филиппинцы Ренел Рамонс и Онел де Гузман – также не понесли наказания за свои действия, ведь в их стране законодательством не предусмотрены наказания за распространение вирусов.

Melissa 1999 год

Первый настоящий вирус времён интернета — это, конечно же, Melissa, представляющий собой хитроумный коктейль из макровируса, почтового спама и социальной инженерии. Melissa был написан Дэвидом Смитом, известном в Сети под ником Kwyjibo, и получил название в честь его любимой стриптизёрши.

Технически новый вирус был прост до безобразия: он приходил на компьютер в качестве электронного письма с простым сообщением: «Вот документ, который ты просил… никому не показывай :-)». Во вложении находился документ Word, заражённый макровирусом. Поскольку письма рассылали другие заражённые машины, многим казалось, что они действительно приходят от коллег, старых знакомых или друзей. В результате Melissa стал одним из самых быстрораспространяющихся вирусов за всю историю.

Встроенный в Melissa макровирус немедленно проникал в адресную книгу Outlook и всем рассылал свои копии, и на этом деструктивная функция оригинальной версии заканчивалась. Разве что когда дата совпадала со временем в минутах в системных часах, Melissa начинала вставлять в любой редактируемый документ цитату из мультсериала «Симпсоны»: 

«Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here».

Однако, как вы уже догадались, модифицированные версии Melissa были уже не столь безобидны и занимались традиционными для вирусов делами, в том числе модифицировали и удаляли системные файлы.

Ущерб

Никто, однако, не думает о том, какой урон может быть нанесен той же системе безопасности. Тут проблема, скорее, в том, каков сам по себе компьютерный вирус «Червь Морриса». Дело в том, что изначально при проникновении на пользовательский терминал вирус должен был определять, содержится ли в системе его копия. Если таковая имелась, вирус оставлял машину в покое. В противном случае — внедрялся в систему и создавал свой клон на всех уровнях использования и управления. Это касалось и всей операционной системы в целом, и установленных пользовательских программ, и приложений или апплетов.

Официальная цифра, называемая департаментом США (примерно 96-98 миллионов долларов ущерба), явно занижена. Если посмотреть только на первые три дня, это уже было порядка 94,6 миллиона). За последующие дни сумма выросла не так сильно, но вот рядовые пользователи пострадали (об этом официальная пресса и департамент США молчат). Конечно, в то время число компьютеров, подключенных к глобальной паутине, составляло примерно 65 тысяч только в США, но и из них пострадал чуть ли не каждый четвертый терминал.

Elk Cloner, 1982

На заре персональных компьютеров в начале восьмидесятых для многих уже не составляло труда представить программный аналог человеческих вирусов, которые могут поражать электронный организм и выводить его из строя. Сама концепция вируса как небольшой программы, распространяемой через дискеты, была описана в мартовском номере журнала Scientific American за 1985 год.

Там же некий подросток Ричард Скрента-младший рассказывал, какой он видит программу, которая скрывалась бы среди системных файлов и вызывала необъяснимые сбои в работе компьютера. Однако Скрента почему-то не упомянул, что это не просто гипотетические рассуждения: за несколько лет до этого, в 1982-м, он собственноручно написал первый в мире широко известный компьютерный вирус-червь Elk Cloner. Зараза поражала машины Apple II и распространялась через дискеты.

Строго говоря, это был не вирус, а именно червь, поскольку Elk Cloner представлял собой независимую программу, не внедрявшуюся в какие-то другие файлы. Червь не причинял машине особого вреда, за исключением того, что при 50-й загрузке после заражения выводил на экран глупый стишок «Эрик Клонер — программа с личностью». Проблема была лишь в том, что поскольку тогда не существовало антивирусных пакетов, то Elk Cloner приходилось вручную удалять из загрузочного сектора винчестера. Сегодня Ричард Скрента известен как создатель поисковой системы Blekko.

Blaster 2003 год

Созданный группой китайских хакеров Xfocus червь Blaster (он же Lovesan или MSBlast) использовал ту же схему заражения со сканированием случайных IP-адресов, что и Slammer. И снова была задействована технология переполнения буфера, но уже множества клиентских машин. Целью китайских хакеров были серверы Microsoft: широкомасштабная DDoS-атака с заражённых компьютеров должна была начаться 16 августа 2003 года, но в Редмонде приняли меры и ущерб от Blaster был сведён к минимуму.

Однако модифицированная версия Blaster B, в изготовлении которой был уличён американский школьник Джеффри Ли Парсон, оказалась намного опасней и живучей: практически каждый пользователь Windows, не установивший антивирусного ПО, рано или поздно получал на экране окно, в котором говорилось о выключении системы и запускался обратный отсчёт: 

«Система завершает работу. Сохраните данные и выйдите из системы.?Все несохраненные изменения будут потеряны.

Отключение системы вызвано NT AUTHORITYSYSTEM»

После перезагрузки начинался подбор случайных IP-адресов и начинались попытки заразить другие доступные машины. Через произвольные отрезки времени перезагрузки происходили снова и снова — до тех пор, пока вирус не был удалён с такого компьютера.

Впоследствии появилось ещё несколько модификаций Blaster, но они уже не нанесли такого ущерба, как первые две.

Действие червя[]

Червь, вопреки расчётам создателя, буквально наводнил собой весь сетевой трафик ARPANET.

При сканированиикомпьютерачервь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённойсистемными администраторами. С определённой периодичностью программа так или иначе перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя.

Незначительная логическая ошибка в коде программы привела к разрушительным последствиям. Компьютеры многократно заражались червём, и каждый дополнительный экземпляр замедлял работу компьютера до состоянияотказа от обслуживания, подчистую исчерпывая ресурсы компьютера.

Червь использовал давно известные уязвимости впочтовом сервереSendmail, сервисахFinger, rsh/rexec сподбором паролей по словарю. Словарь был небольшой— всего лишь около 400 ключевых слов , но если учесть, что в конце1980-x о компьютерной безопасности мало кто задумывался, и имя учётной записи (обычно реальное имя пользователя) часто совпадало с паролем, то этого было достаточно.

Червь использовал также маскировку, дабы скрыть своё присутствие в компьютере: он удалял свой исполняемый файл, переименовывал свой процесс вsh и каждые три минуты ветвился.

По замыслу автора, червь должен был инфицировать толькоVAX-компьютеры соперационными системами4BSD иSun 3. Однако портируемыйСи-код дал червю возможность запускаться и на других компьютерах.

Code Red, 2001

В 2001 году родилось новое поколение компьютерных вирусов, которые пользовались уязвимостями в разных операционных системах и программах Microsoft. Самым известным из них стал Code Red, который поражал веб-серверы, работающие на основе Microsoft Internet Information Server (IIS). Этот зловред непосредственно не воздействовал на клиентские машины, но настолько замедлял интернет-трафик, что фактически блокировал доступ ко многим веб-сайтам.

«Красный код» действовал предельно просто: подключаясь к машине с запущенным IIS, он вызывал переполнение буфера и делал её неработоспособной. Кроме того, если в качестве языка такого сервера был установлен американский английский, то на главную страницу сайта выводилось сообщение, что он якобы взломан китайцами — которые на самом деле вряд ли имели отношение к Code Red.

Если системный администратор не принимал мер по удалению вируса в течение 10 часов, то это сообщение исчезало, но за истёкшее время вирус в поисках потенциальных жертв успевал отправить море запросов по случайным IP-адресам, замусоривая каналы бессмысленным трафиком и блокируя сетевую активность. Более того, если системная дата была больше 20-го числа месяца, то Code Red начинал «стучаться» в серверы, расположенные по адресу www.whitehouse.gov, организуя массированную DDoS-атаку на сайт президента США.

Однако, как и во многих вирусах, в самом Code Red скрывалась ошибка: на самом деле сканируемые IP-адреса не были случайными, и в результате некоторые машины, только что очищенные от вируса, в следующую же секунду могли быть вновь заражены.

Макровирус Concept 1995 год

С началом девяностых жёсткие диски существенно подешевели, а их ёмкость заметно увеличилась, поэтому дискеты использовались уже не так широко, так что вирусописателям потребовались новые способы распространения. Одним из таких переносчиков стали файлы Microsoft Office как одного из самых популярных программных пакетов. Поскольку Office включал в себя встроенное средство автоматизации для создания макросов — язык Microsoft Visual Basic for Applications (VBA), — именно он и стал использоваться для написания нового типа вирусов, который получили названия «макровирусы».

Фокус заключался в том, чтобы внедрить код в шаблон документа, который загружается всякий раз при запуске, например, редактора Word. Оказавшись в памяти, зловредный код записывает себя в любой документ, открываемый или создаваемый в программе. А если затем этот документ открыть на другом компьютере, то он тоже немедленно заразится. На тот момент у VBA был доступ ко всей файловой системе диска, поэтому вирусы могли с лёгкостью изменять или даже удалять любые пользовательские файлы, что нередко и происходило.

Первым макросирусом считается появившийся в 1995 году Concept, а поскольку антивирусные программы были не готовы к такой угрозе, он быстро получил огромное распространение. Сам вирус не причинял никакого вреда, но выводил простое замечание, призванное показать огромный потенциал подобного ПО

Sub MAIN REM That’s enough to prove my point End Sub

Однако несмотря на благие намерения автора оригинального Concept, очень скоро появились его неприятные модификации, некоторые из которых, например, запароливали доступ к случайным документам. К концу девяностых годов макровирусы стали самым популярным типом компьютерных вирусов. Но потом появился общедоступный массовый интернет, и история приобрела иное направление.

Slammer, 2002

Достойный преемник Code Red — вирус Slammer, который также вошёл в число самых быстрораспространяемых в мире. Этому зловреду удалось заразить 75 тысяч компьютеров всего за десять минут, при этом он использовал аналогичную технологию переполнения буфера, но уже в среде Microsoft SQL Server 2000. Самое примечательное заключается в том, что Microsoft чуть ли не за шесть месяцев до появления Slammer выпустила патч, устраняющий уязвимость, которую эксплуатировал этот вирус. Тем не менее его не установило не только большинство сторонних компаний, но и даже и целые подразделения самой Microsoft!

Одна из крупнейших сетевых атак в результате деятельности Slammer произошла в начале 2003 года, когда вирус за считанные минуты так перегрузил каналы, что почти полностью заблокировал доступ в интернет в Южной Корее и некоторых других азиатских странах. В США и Европе ситуация была не столь катастрофической, хотя замедление скорости передачи данных ощущалось почти в любой точке света.

В дальнейшем эпидемия быстро пошла на спад, поскольку после установки патча было достаточно перезагрузить сервер.

Ошибка кодирования и возникающие проблемы

Ошибка Морриса в кодировании, когда червь дал указание реплицироваться независимо от статуса заражения компьютера, превратила червя из потенциально безвредного интеллектуального и вычислительного упражнения в вирусную атаку типа «отказ в обслуживании» . Моррис включение скорости копирования в черве было вдохновлено Майкл Рабин «s мантра из „рандомизации“ .

В результате уровень репликации оказался чрезмерным, червь быстро распространился, несколько раз заразив некоторые компьютеры. В конце концов Рабин прокомментировал, что Моррису «следовало сначала попробовать это на симуляторе».

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Советчик
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: