Вирусология от Лаборатории Касперского. Часть I: от Creeper до Red October

Наиболее «интересные» компьютерные угрозы по мнению авторитетной Лаборатории Касперского.

• Creeper - был обнаружен в прототипе современного интернета - военной компьютерной сети APRANET

• Rabbit – появился на мейнфреймах этого времени, клонировал себя, занимал системные ресурсы и таким образом снижал производительность системы

• Pervading Animal – инцидент с игрой Pervading Animal

• Появляется большое количество разнообразных «троянских коней» — программ, не имеющих способности к размножению, но при запуске наносящих системе какой-либо вред.

• 1981 – вирус Elk Cloner, первый документально зафиксированный компьютерный вирус, записывался в загрузочные секторы дискет, к которым обращалась ОС компьютера.

• 1986 - вирус Brain заражал загрузочные сектора дискет. Он вызвал первую глобальную эпидемию вируса для IBM-совместимых персональных компьютеров. Вирус Brain являлся также и первым «вирусом-невидимкой». При обнаружении попытки чтения зараженного сектора диска вирус незаметно подставлял его незараженный оригинал.

• 1987 – вирус Vienna, заражавший файлы операционной системы MS-DOS. Независимо друг от друга появляется еще несколько вирусов для IBM PC под управлением MS-DOS: Lehigh, Suriv-1 Suriv-2, Suriv-3, загрузочные вирусы и первый самошифрующийся файловый вирус Cascade. Также было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.

• 1987 - первая известная глобальная эпидемия сетевого вируса Cristmas Tree, написанного на языке REXX.

• 1988 –глобальная эпидемия вируса Suriv-3, эпидемия сетевого вируса «червь Морриса», поразившего сеть ARPANET. Зафиксированы первые случаи распространения так называемых «вирусных мистификаций».

• 1989 –новые вирусы Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства Vacsina и Yankee, эпидемия вируса-червя WANK Worm.

• 1990 – новое поколение полиморфных (мутирующих) вирусов: Chameleon. В этом вирусе применялась новая технология скрытия вирусного кода — основное тело вируса шифровалось. Вирусы-невидимки Frodo и Whale.

• 1991 – уже есть несколько сотен уникальных вирусов.

• 1992 - Вирусы для не-IBM PC и не-MS-DOS практически забыты, т.к. «дыры» в глобальных сетях закрыты, ошибки исправлены. Всё большую и большую значимость начинают приобретать не сетевые вирусы, а файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (клонах IBM PC). Появляется первый полиморфик-генератор MtE. Его главное предназначение — возможность интеграции в другие вирусы для обеспечения их полиморфизма. Появление первых конструкторов вирусов VCL и PS-MPC — утилит, облегчающих создание новых вирусов. Обнаружение Win.Vir_1_4 — первого вируса для Windows 3.x, заражающего исполняемые файлы этой операционной системы. Вирусы начинают бороться с антивирусными программами — появляются первые анти-антивирусы. Одним из первых представителей этого класса стал вирус Peach, который удалял базу данных ревизора изменений Central Point Antivirus.

• 1993 - помимо сотен рядовых вирусов, появляется все больше вирусов, использующих крайне необычные технологии заражения файлов, проникновения в систему и сокрытия своего присутствия.

• 1994 - всё большее значение приобретает проблема вирусов на компакт-дисках.

• 1995 - в «живом виде» обнаружен первый вирус для текстового процессора Microsoft Word – Concept. Появление первого компьютерного вируса для достаточно популярного в те годы текстового редактора AmiPro

• 1996 – первый вирус для операционной системы Windows 95 — Boza. Первая эпидемия вируса для Windows 3.x — Tentacle, первый вирус для OS/2, первый вирус для Microsoft Excel.

• 1997 - первый вирус для операционной системы Linux — Bliss. Вирусы начинают всё более активно использовать возможности интернета — появляются первые вирусы для IRC (Internet Relay Chat).

• 1998 - Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в интернет, и несколько утилит скрытого администрирования (Backdoor). AccessiV — первый вирус для Microsoft Access. Вирус RedTeam, заражающий EXE-файлы Windows. Стал первым вирусом, который осуществлял попытки своего распространения по электронной почте при помощи почтового клиента Eudora. Появился первый вирус, заражающий исполняемые модули Java — StangeBrew. Так же известный под именами "Чих" и CIH, компьютерный вирус "Чернобыль" стал первой вредоносной программой, которая была способна повредить аппаратную часть компьютера - микросхему Flash BIOS. Вирус впервые появился в июне 1998 года и тех пор его эпидемия не прекращалась. 

• 1999 - Глобальная эпидемия почтового интернет-червя Happy99 (также известного как Ska). По сути, это был первый современный червь, открывший новый этап в развитии вредоносных программ. Он использовал для своего распространения программу MS Outlook, являющуюся корпоративным стандартом в США и во многих странах Европы.

Макро-вирус для MS Word - Caligula, глобальная эпидемия почтового червя Melissa - первого макро-вируса для MS Word, сочетавшего в себе также и функциональность интернет-червя; первый вирус для графического пакета CorelDRAW; эпидемия весьма опасного интернет-червя ZippedFiles, вирус Infis, который стал первым вирусом, внедряющийся на самый низкий уровень безопасности - область системных драйверов Windows. Первый вирус, заражавший файлы MS Project скрипт-вирус Freelinks, ставший одним из предшественников печально известного вируса LoveLetter.

Появление нового поколения червей, распространявшихся по электронной почте — уже без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал KakWorm. Все вирусы этого типа использовали «дыру», обнаруженную в системе безопасности Internet Explorer.

Вирус Babylonia - первый вирус-червь, который имел функции удаленного самообновления.

• 2000 - вирус Inta, заражавший Windows 2000, вирусы Unstable и Radiant, успешно размножавшиеся в файлах Visio. Попавшая в Книгу рекордов Гиннеса эпидемия скрипт-вируса LoveLetter. Сразу же после запуска он уничтожал на дисках файлы нескольких типов и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook. Timofonica — первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Вирус Back Orifice 2000 (BO2K), вирус Star стал первым вирусом для пакета AutoCAD, вирус Dilber содержал коды сразу пяти вирусов, интернет-червь Jer, использовавший новый метод проникновения на компьютер — через веб-сайт. Liberty — первая троянская программа для операционной системы PalmOS карманных компьютеров Palm Pilot. Первый известный компьютерный вирус (Stream), способный манипулировать «дополнительными потоками» (Alternate Data Streams — ADS) файловой системы NTFS. Fable — первый вирус, скрывающийся в информационных файлах PIF, и Pirus — первый вирус, написанный на скрипт-языке PHP. Вирус Hybris, основной отличительной чертой которого было использование модульной архитектуры с возможностью обновления модулей. Основным средством транспортировки вредоносных кодов стала электронная почта — около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Всплеск активности создателей вирусов к Linux - 37 новых вирусов и троянских программ.

• 2001 - Ramen - первый известный червь, заражавший системы RedHat Linux.

Mandragore - первый червь, использующий для своего распространения сети обмена файлами (P2P-сети). Первая известная атака на интернет-кошельки пользователей российской платёжной системы WebMoney (троянская программа Eurosol). Повторная атака на WebMoney была зафиксирована в октябре того же года. Троянская программа KWM также охотилась за персональными данными пользователей этой системы интернет-платежей.

Первые масштабными эпидемиями сетевых червей, использующих для своего проникновения в систему различные дыры в операционных системах и установленном программном обеспечении. При этом распространение идёт не только через традиционную электронную почту, но и через веб-сайты, интернет-пейджеры (ICQ), сетевые ресурсы, IRC-чаты и P2P-сети.

• 2002 - 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов. Интернет-червь Klez. Многочисленные эпидемии, проникновение через уязвимости в программном обеспечении, атаки как на Windows, так и на другие операционные системы. Стремительный рост вредоносных программ, которые преследуют конкретные коммерческие цели — похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям зараженных компьютеров. Этот год положил начало стремительной криминализации интернета в годы последующие.

Также быстро росло число разнообразных систем принудительного показа рекламы (Adware).

• 2003 - глобальная эпидемия сетевого вируса Slammer, червь Lovesan (пострадали индивидуальные пользователи, мелкие и крупные компании, исследовательские центры и учебные заведения). Эпидемии почтовых червей. Начинает набирать обороты новый вид электронного мошенничества - фишинг, рассылка поддельных писем с просьбой подтвердить персональные коды доступа к банковскому счёту. 

• 2004 - почтовый червь Bagle, положивший начало целому семейству червей с явной криминальной направленностью — он устанавливал троянский прокси-сервер для дальнейшей рассылки спама. Эпидемия первой версии почтового червя Mydoom, эпидемия сетевого червя Doomjuice, эпидемия первого червя из серии NetSky, эпидемия сетевого червя Sasser. Microsoft объявила о готовности заплатить по 250 тысяч долларов за информацию, которая поможет привести к поимке авторов червей Mydoom и Sasser. В целом, начиная с 2004 года, в тех же злоумышленных целях создаётся подавляющее количество червей и троянских программ. «Классические вирусы» практически незаметны на фоне постоянно появляющихся новых версий разнообразных криминальных программ, созданных для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и для распространения спама. Особый размах приобретают банковские атаки — троянские программы, ворующие коды доступа к банковским счетам, и фишинг-атаки, преследующие ту же цель — получить доступ к персональным банковским счетам. Год 2004 также отмечен активизацией полицейских расследований, которые нередко заканчивались арестами. Всего за разнообразные компьютерные преступления, основываясь на информации из открытых источников, в разных странах было арестовано около ста человек.

• 2005-2006 - Громких инцидентов практически не происходит, но зато двукратно растёт число разнообразных троянских программ, которые распространяются самыми разными способами: через интернет-пейджеры, веб-сайты, при помощи сетевых червей или традиционной электронной почты. При этом растёт «популярность» именно сетевых не-почтовых червей, которые проникают на компьютеры, используя различные дыры в программном обеспечении. Троян Clagge.B, червь Nyxem.

• 2007 – «штормовой червь» Storm Worm (Zhelatin по классификации «Лаборатории Касперского»), в нем реализованы практически все достижения вирусописательской мысли последних лет: руткит-технологии, и замусоривание кода, и ботнеты, защищающие себя от анализа и исследования, и взаимодействие между зараженными компьютерами через P2P-сети — без единого управляющего центра. Основная направленность общего функционала Storm Worm — это создание сетей для последующей организации спам-рассылок и проведения DoS-атак. DoS-атаки стали одной из ключевых тем информационной безопасности 2007 года. Активно развивалась отрасль создания вредоносных программ на заказ с оказанием технической поддержки заказчикам. Самый, наверное, яркий пример такого рода бизнеса — история троянской программы-шпиона Pinch. Вирус-червь Fujack. Китайский зловред, созданный с целью кражи данных пользователей онлайн-игр. Общее число угроз за 2007 год увеличилось больше чем вдвое. В 2007 году мы добавили в наши антивирусные базы почти столько же программ, сколько за предшествующие 15 лет. 

• 2008 - вредоносное ПО практически перестало создаваться в некоммерческих целях. Основным видом вредоносных программ стали троянцы, занимающиеся кражей информации – в основном данных участников онлайн-игр: их паролей, игровых персонажей и виртуальных ценностей. «Большой Китайский Хак» - две массовые атаки, нацеленные на взлом веб-сайтов, равных которым по объемам история еще не знала. Основным инструментом атакующих были SQL-инъекции, позволявшие встроить в код взломанного сайта команды для скрытого перенаправления посетителей на хакерские сайты, откуда затем происходило заражение компьютеров пользователей вредоносными программами.

• 2009 - буткит Sinowal, вирус TDSS. Главной эпидемией года стал червь Kido (Conficker), поразивший миллионы компьютеров по всему миру. Одной из крупнейших эпидемией в Интернете, затронувшей десятки тысяч веб-ресурсов, стали несколько волн Gumblar-атак. Уникальным событием 2009 года стало обнаружение троянской программы Backdoor.Win32.Skimer, первой вредоносной программы, нацеленной на банкоматы. После успешного заражения злоумышленник, используя специальную карточку доступа, может снять все деньги, находящиеся в банкомате, или получить данные о кредитных картах пользователей, производивших транзакции через зараженный банкомат.

• 2010 – год уязвимостей - большинство атак осуществлялось через «лазейки» в браузерах и сторонних приложениях.

Stuxnet - уникальной программы, знаменующей переход вирусописательства на качественно новый уровень. Эта вредоносная программа использовала пять уязвимостей, плюс была задействована одна уязвимость в ПО Siemens WinCC, связанная с паролями для доступа по умолчанию. Деструктивная активность червя оказалась нацелена не на массовое заражение обычных пользователей, а на контроль над системами управления промышленными объектами. Он был разработан специально для атак на атомные электростанции. Ему удалось инфицировать атомную электростанцию вблизи города Бушер (Иран). Появился хактивизм.

• 2011 - атаки на корпорации и правительственные структуры. Для «традиционной» киберпреступности по-прежнему основными способами нелегального заработка остаются кражи учетных записей систем онлайн-банкинга, рассылка спама, организация DDoS-атак, вымогательство и мошенничество. Наиболее явно эти методы проявились именно в России, которую продолжает захлестывать настоящий вал угроз в социальных сетях, «банковские» троянские программы и бесчисленные «блокировщики Windows».

Заражение загрузочных записей (MBR и VBR), а троянская программа MyBios продемонстрировала возможности заражения на уровне BIOS. DDoS-атаки связаны с деятельностью групп Anonymous и LulzSec. Троянец Duqu, который, как предполагают эксперты, был написан создателями скандально известного червя Stuxnet. Duqu, по всей видимости, предназначен для сбора конфиденциальной информации о его мишенях, что может включать практически любые данные, хранящиеся в цифровом формате на компьютере жертвы. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах.

• 2012- окончательно разрушен миф о тотальной защищённости Mac-устройств, троянцу Flashfake удалось создать самый большой в истории ботнет, состоящий из более 700 тысяч «яблочных» устройств по всему миру. Наибольший резонанс в 2012 году получили инциденты, связанные с применением кибероружия. Сложные системы кибершпионажа Flame и Gauss, которые, по мнению экспертов, были разработаны при государственной поддержке.

• 2013 - появление «кибернаемников» – небольших хакерских групп, специализирующихся на проведении молниеносных атак на заказ. Операция Icefog, в наибольшей степени затронувшая различные южнокорейские организации. Кампания киберкриминальной группы Winnti была нацелена на кражу исходных кодов ряда разработчиков компьютерных игр, а жертвой еще одной подобной атаки стала компания Adobe, у которой были украдены исходники программ. Вместо применения широкого набора вредоносного ПО для заражения компьютера киберпреступники стали все чаще полагаться на человеческий фактор - этот метод был задействован в рамках крупной кибершпионской кампании NetTraveler. Red October – кампания по кибершпионажу, нанесшая ущерб сотням жертв по всему миру, в том числе дипломатическим организациям и правительственным учреждениям, исследовательским институтам, компаниям, занимающимся энергетикой, в том числе ядерной, а также торговым организациям и организациям авиакосмической промышленности. Вредоносное ПО оказалось невероятно сложным: помимо прочего, зловред оснащен «модулем воскрешения», благодаря которому способен заново заражать компьютеры. Код имеет модульную систему, что позволяет злоумышленникам легко подстроить его под определенную цель.