Історія. 2001 – 2005 роки

Найвідоміші віруси цієї епохи, такі як CodeRed або Nimda, продемонстрували сполучення здатності до практично миттєвого поширення й істотно ускладнену, багаторівневу структуру. Фактично, можна виділити такі тенденції: розширення спектра шляхів і методів проникнення, використання нових платформ і технологій, відновлення вірусних кодів через Інтернет, нові шкідливі функції й активна протидія антивірусним програмам.

Ramen (січень 2001) — вірус, за лічені дні поразивший велику кількість великих корпоративних систем на базі операційної системи Linux.

Sadmind (травень 2001) — перший відомий інтернет-хробак, що заражає комп’ютери Sun Sparc з операційною системою Solaris/SunOS. Для розмноження використався пролом у службі системного адміністрування /usr/sbin/sadmind. Хробак також атакував HTTP-сервери із установленим Microsoft Internet Information Server (IIS).

CodeRed (12 липня 2001 року) — представник нового типу шкідливих кодів, здатних активно поширюватися й працювати на заражених комп’ютерах без використання файлів. У процесі роботи такі програми існують винятково в системній пам’яті, а при передачі на інші комп’ютери – у вигляді спеціальних пакетів даних. Для проникнення на вилучені комп’ютери CodeRed використав пролом у системі безпеки IIS, що дозволяє зловмисникам запускати на вилучених серверах сторонній програмний код. 18 червня 2001 року Microsoft випустила відповідну заплатку, однак переважна більшість користувачів не встигло вчасно обновити своє програмне забезпечення.

CodeRed викликав епідемію, заразивши близько 12000 (за іншим даними – до 200000) серверів по усім світі й провів великомасштабну DDos атаку на веб-сервер Білого дому, викликавши порушення його нормальної роботи.

Через тиждень, 19 липня з’явилася нова модифікація CodeRed, що показала чудеса поширення – більше 350000 машин за 14 годин (до 2000 комп’ютерів у хвилину). Однак за задумом автора 20 липня вірус припинив своє поширення.

Наступна версія, CodeRed.c (CodeRed II) була виявлена 4 серпня 2001 року. Після зараження (використалася все той же пролом у системі безпеки IIS) вірус нічим не видавав свою присутність один-два дня, після чого перезавантажував комп’ютер і починав активні спроби поширення, що тривали 24 години (або 48, у випадку використання китайської розкладки). Хробак також установлював троянську програму explorer.exe і використав убудовану бекдор-процедуру (Backdoor).

У цей же час був виявлений поштовий хробак Sircam (12 липня 2001 року). Цей вірус відрізняла незвичайна процедура вибору імені зараженого вкладення. Для цього випадковим образом на диску вибирався документ, до імені якого додавалося розширення .pif, .lnk, .bat або .com. Отримана конструкція виду mydiary.doc.com служила темою листів, що розсилають, і ім’ям нової копії програми: до відібраного файлу й дописувався код хробака – у такий спосіб Sircam міг привести до витоку конфіденційної інформації. При розсиланні використався власний SMTP-клієнт, у поле Від указувався одна з адрес, знайдених на зараженому комп’ютері, а повідомлення містило текст виду “Hi! How are you? I send you this file in order to have your advice. See you later. Thanks.” Крім цього, у певний момент часу (залежно від системного часу й модифікації вірусу) на зараженому комп’ютері віддалялися всі файли на системному диску.

Nimda (18 вересня 2001 року) — вірус-хробак, протягом 12 годин уразив до 450000 комп’ютерів. Для поширення були задіяні п’ять методів: електронна пошта (пролом у системі безпеки Internet Explorer, що дозволяє автоматично виконувати вкладений файл), по локальній мережі, впровадження на IIS-сервери, зараження браузерів через javascript, а також за допомогою бекдор-процедур, залишених CodeRed.c й Sadmind. Після зараження Nimda додавав у групу Адміністратори користувача під ім’ям Guest і відкривав локальні диски на повний доступ для всіх бажаючих.

Klez (жовтень 2001) — поштовий хробак, модифікації якого протягом наступних декількох років займали перші рядки в рейтингах популярності. Програма проникала на комп’ютер по мережі або через електронну пошту, використовуючи пролом у захисті IFrame браузера Internet Explorer, що допускала автоматичний запуск вкладеного файлу. Також вірус мав убудовану функцію пошуку й придушення антивірусного програмного забезпечення. Klez дописував свій код до одному з документів на зараженій машині й починав масове розсилання. У поле Від підставлялася будь-яка адреса, знайдений на комп’ютері або ж випадково сгенерований. При цьому список всіх виявлених на зараженому комп’ютері адрес електронної пошти також приєднувався до вкладення. Крім розсилання своїх копій, хробак виявляв себе по 13-м числах парних місяців або шостим непарних, залежно від модифікації: у такий день всі файли на заражених комп’ютерах заповнювалися випадковим умістом.

Tanatos/Bugbear (жовтень 2001) — поштовий хробак, що встановлює бекдор-процедуру (Backdoor) і троян — клавіатурний шпигун. Процедура поширення практично списана з Klez – копіювання по мережі, масове розсилання із зараженим документом у вкладенні, використання уразливості IFrame в Internet Explorer, придушення антивірусних програм. Крім збільшення трафіку, вірус проявляв себе спонтанною печаткою різноманітного сміття на мережних принтерах.

У січні 2003 року гримнула епідемія інтернет-хробака Slammer, що заражає сервера під керуванням Microsoft SQL Server 2000. Вірус використав пролом у системі безпеки SQL Server, латка до якої вийшла в липні 2002. Після проникнення хробак починає в нескінченному циклі посилати свій код на випадково обрані адреси в мережі – тільки за перші 10 хвилин було уражено близько 90% (120 000 одиниць) всіх уразливих серверів, при цьому п’ять із тринадцяти головних DNS-серверів мережі Інтернет вийшли з ладу.

Slammer мав украй невеликий розмір – усього 376 байт (CodeRed – 4 КБ, Nimda – 60 КБ) і був присутній тільки в пам’яті заражених комп’ютерів. Більше того, при роботі хробака ніякі файли не створювалися, і хробак ніяк не проявляв себе (крім мережної активності зараженого комп’ютера). Це означає, що лікування полягає тільки в перезавантаженні сервера, а антивіруси в даній ситуації неспроможні.

У серпні 2003 року близько 8 мільйонів комп’ютерів в усім світі виявилися заражені інтернет-хробаком Lovesan/Blaster. Для розмноження використався черговий пролом – цього разу в службі DCOM RPC Microsoft Windows. Крім того, вірус містив у собі функцію DDoS-атаки на сервер з відновленнями для Windows.

Тижнем пізніше новий вірус, Sobig.f, встановив новий рекорд по швидкості – частка заражених їм листів доходила до 10 % від всієї кореспонденції. Це досягалося використанням спамерських технологій. Sobig.f також ініціював ланцюгову реакцію: кожен новий варіант хробака створював мережу інфікованих комп’ютерів, що пізніше використалася як платформа для нової епідемії. Однак кінець епідемії запрограмував сам автор – 10 вересня 2003 року Sobig.f припинив розмноження.

Swen (також відомий як Gibe, вересень 2003) — яскравий приклад удалого використання методів соціальної інженерії. Цей вірус-хробак поширювався по електронній пошті у вигляді листа нібито від Microsoft Corporation Security Center і з темою “Internet Security Update”. У вкладенні перебував файл із ім’ям q216309.exe, а в самому повідомленні говорилося про необхідність термінової установки вкладеної заплатки.

Наступний рік приніс популярність нової технології поширення шкідливих програм – шляхом розсилання, по електронній пошті або за допомогою інтернет-пейджеру, повідомлення з посиланням, що веде на сайт із трояном.

Mitglieder (січень 2004 року) — троянський proxy-сервер, посилання на заражений цією програмою сайт була розіслана зловмисником на тисячі адрес ICQ. Mitglieder проникав на комп’ютер через уразливість в Microsoft Internet Explorer, що дозволяла встановити й запустити proxy-сервер на зараженій машині без ведена користувача. Після зараження відкривався порт, використовуваний для розсилання спаму. Таким чином, заражені машини утворювали мережа машина-зомбі (ботнет), якими можна віддалено управляти, чим незабаром і скористалися автори нових шкідливих програм.

Буквально через місяць, у лютому 2004 року з’явився Bizex (також відомий як Exploit) — перший ICQ-хробак. Для поширення використалося масове несанкціоноване розсилання по ICQ повідомлення “http://www.jokeworld.biz/index.html :)) LOL”. Одержавши від знайомої людини таке посилання, нічого не жертва, що підозрює, відкривала зазначену сторінку й у випадку, якщо використався браузер Internet Explorer з незакритою уразливістю, на комп’ютер завантажувалися файли хробака й у деяких випадках супутнього трояна. Після установки в систему, Bizex закривав запущений ICQ-клієнт і підключившись до сервера ICQ з даними зараженого користувача починав розсилання по знайденим на комп’ютері спискам контактів. Одночасно відбувалася крадіжка конфіденційної інформації – банківські дані, різні логіни й паролі.

У цьому ж 2004 році вибухнула так називана війна авторів вірусів. Кілька злочинних угруповань, відомих по вірусах Bagle, Mydoom й Netsky випускали нові модифікації своїх програм буквально щогодини. Кожна нова програма несла в собі чергове послання до конфронтуючого угруповання, що буяє нецензурними вираженнями, а Netsky навіть видаляв будь-які виявлені екземпляри вірусів Mydoom й Bagle.

Поштовий хробак Bagle уперше був виявлений 18 січня 2004 року. Для поширення він використав власний SMTP-клієнт, код вірусу пересилався у вкладенні з довільним ім’ям і расширением.exe. Розсилання вироблялося на адреси, знайдені на зараженому комп’ютері. Також Bagle містив убудовану backdoor-процедуру, що відкриває порт 6777 на запуск команд і завантаження будь-яких файлів. Наступні модифікації містили процедури поширення через P2P-мережі, методи соціальної інженерії, активно протидіяли антивірусному програмному забезпеченню.

Mydoom відомий насамперед масованою 12-денною DDoS-атакою на веб-сайт компанії SCO, що почалася 1 лютого 2004 року. За пару годин робота сервера була повністю паралізована й повернутися в нормальний режим він зміг тільки 5 березня. У відповідь керівники SCO оголосили нагороду в розмірі 250 тисяч доларів США за інформацію про автора хробака.

Для поширення Mydoom використав поштове розсилання через власний SMTP-клієнт, а також P2P-мережі (Kazaa).

Перша модифікація поштового хробака NetSky (також відомий як Moodown) була виявлена 16 лютого. Крім електронної пошти, для поширення були задіяні P2P і локальні мережі. Друга модифікація NetSky відрізнилася тим, що в силу людського фактора нею були заражені тисячі листів, відправлених відомим фінським виробником антивірусного ПО – компанією F-Secure своїм клієнтам.

Sasser (травень 2004) — уразив більше 8 млн. комп’ютерів, збитки від цього хробака оцінюються в 979 млн. доларів США. Для проникнення Sasser використав уразливість у службі LSASS Microsoft Windows.

Cabir (червень 2004) — перший мережний хробак, що поширюється через протокол Bluetooth і заражає мобільні телефони, що працюють під керуванням OS Symbian. При кожнім включенні зараженого телефону вірус одержував керування й починав сканувати список активних Bluetooth-з’єднань. Потім вибирав перше доступне з’єднання й намагався передати туди свій основний файл caribe.sis. Нічого деструктивного Cabir не робив – тільки знижував стабільність роботи телефону за рахунок постійних спроб сканування активних Bluetooth-пристроїв.

Незабаром (серпень 2004) з’явилися й віруси для PocketPC — класичний вірус Duts і троянська програма Brador.

Однак шкідливі програми — це не тільки віруси й трояни. До цього класу повною мірою можна віднести й adware — програми, які відображають на екрані рекламу без ведена й згоди користувача, і pornware — програми, що самостійно ініціюють з’єднання із платними порнографічними сайтами. Починаючи з 2004 відзначається широке поширення використання вірусних технологій для установки adware/pornware на цільові комп’ютери.

Цей рік також запам’ятався масштабними арештами авторів вірусів – було засуджено близько 100 хакерів, причому троє з них перебували у двадцятці самих розшукуваних ФБР злочинців.