Історія комп’ютерних вірусів

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Історія комп'ютерних вірусів

вірус комп'ютер мережа загроза

Припущень щодо появи першого комп'ютерного вірусу дуже багато. Нам напевно відомо тільки одне: на машині Чарльза Беббіджа, який вважається винахідником першого комп'ютера, вірусів не було, а на Univax 1108 та ІВМ 360/370 у 1970-х роках вони вже були. Незважаючи на це, сама ідея комп'ютерних вірусів з'явилася значно раніше. Відправною точкою можна вважати праці Джона фон Неймана з вивчення математичних автоматів, що самовідтворюються. Його праці відомі з 1940-х років, а 1951 року знаменитий учений запропонував метод, який демонстрував можливість створення таких автоматів. Пізніше, 1959 року, у журналі «Scientific American» було опублікувано статтю Л.С. Пенроуза, також присвячену механічним структурам, що самовідтворюються. На відміну від раніше відомих робіт, тут була описана проста двовимірна модель подібних структур, спроможних до активації, розмноження, мутацій, захоплення. Пізніше за результатами цієї статті інший учений, Ф. Шталь, реалізував таку модель за допомогою машинного коду на ІВМ 650 [8].

Варто зазначити, що з самого початку ці дослідження були спрямовані зовсім не на створення теоретичної основи для майбутнього розвитку комп'ютерних вірусів. Навпаки, учені прагнули удосконалити світ, зробити його більш пристосованим для життя людини, адже саме ці праці лягли в основу багатьох пізніших розробок із робототехніки й штучного інтелекту. У тому, що наступні покоління зловжили плодами технічного прогресу, немає провини цих чудових учених.

На початку 1970-х років у прототипі сучасного Інтернету - військовій комп'ютерній мережі APRANET - виявлили вірус Creeper. Написана для популярної колись операційної системи Tenex, ця програма могла самостійно увійти до мережі через модем і передати свою копію віддаленій системі. На заражених системах вірус виявляв себе повідомленням: «ІМ ТНЕ СRЕЕРЕR: САТСН МЕ ІF УОU САN». Пізніше для видалення настирливого, але загалом нешкідливого вірусу хтось створив программу Rеареr - вірус, що виконував деякі функції, властиві антивірусу: він поширювався обчислювальною мережею і якщо виявляв вірус Creeper, то знищував його [2].

1974 року на мейнфреймах з'являється програма, яку назвали «Кролик» (Rabbit). Таке ім'я вона отримала тому що, окрім розмноження і поширення носіями інформаціі, нічого більше не робила. Правда, швидкість її розмноження цілком виправдовувала назву. Ця програма клонувала себе, займала системні ресурси і таким чином знижувала продуктивність системи. Досягши певного рівня поширення на зараженій машині, «Кролик» нерідко викликав збій у її роботі.

Із плином часу комп'ютери стають дедалі популярніші. З'являється все більше і більше програм, авторами яких є не фірми-виробники програмного забезпечення, а приватні особи. Розвиток телекомунікаційних технологій дає можливість порівняно швидко і зручно поширювати ці програми через сервери загального доступу - Bulletin Board System (BBS). Пізніше напіваматорські університетські BBS перетворюються в глобальні банки даних, що охоплюють майже усі розвинені країни. Вони забезпечують швидкий обмін інформацією навіть між найвіддаленішими точками планети.

Поширення комп'ютерів марки Apple ІІ привернуло увагу до цієї платформи авторів вірусів. Не дивно, що перша в історії дійсно масова епідемія комп'ютерного вірусу в 1981 році відбулася саме на Apple ІІ. Вірус Elk Cloner записувався у завантажувальні сектори дискет, до яких йшло звернення. У ті часи це здавалося неймовірним і призвело до виникнення у рядових користувачів стійкого переконання у наявності зв'язку між вірусами і позаземними цивілізаціями, що намагаються завоювати світ. Враження від вірусу посилювалося його проявами: Elk Cloner перевертав зображення на екрані, примушував текст блимати, виводив різні загрозливі повідомлення.

1983 року Лен Ейделман вперше використав термін «вірус» щодо комп'ютерних програм, які можуть самі поширюватися. 10 листопада того самого року Фред Коен, родоначальник сучасної комп'ютерної вірусології, на семінарі з комп'ютерної безпеки в Лехайському університеті (США) демонструє на системі VAX 11/750 вірусоподібну програму, здатну* - впроваджуватися в інші об'єкти. Роком пізніше на 7-й конференцйї з безпеки інформації він дає наукове визначення терміну «комп'ютерний вірус» - це «програма, здатна «вражати» інші програми за допомогою їхньої модифікації для впровадження своїх копій» [28].

У 1986 році зареєстровано першу глобальну епідемію вірусу для ІВМ-сумісних комп'ютерів. Вірус Brain, що заражає завантажувальні сектори дискет, протягом кількох місяців поширився майже в усьому світі. Причина такого «успіху» полягала у цілковитій неготовності комп'ютерного суспільства до зустрічі з таким явищем, як комп'ютерний вірус: антивірусні програми ще не набули значного поширення як нині, а користувачі, своєю чергою, не дотримувалися основних правил антивірусної безпеки. Ефект від епідемії, що відбулася, посилювався недостатнім рівнем освіченості суспільства і невивченістю феномена «комп'ютерний вірус». Після виявлення Brain один за одним почали з'являтися науково-фантастичні романи, присвячені вірусам.

Вірус Brain написали у Пакистані 19-річний програміст Басит Фарук Алві (Basit Farooq Alvi) і його брат Амжад (Amjad), які залишили у вірусі текстове повідомлення, що містило їхні імена, адресу і телефонний номер. Як стверджували автори вірусу, що працювали у компанії з продажу програмних продуктів, вони вирішили з'ясувати рівень комп'ютерного піратства у себе в кра'їні. Крім зараження завантажувальних секторів і зміни міток (label) дискет на фразу «(с) Brain», вірус нічого не робив: не чинив ніякої побічної дії і не псував інформацію. На жаль, експеримент швидко вийшов з-під контролю і поширився за межі Пакистану.

Цікаво, що Brain був також і першим вірусом-невидимкою. Під час спроби читати заражений сектор диска вірус непомітно «підставляв» його незаражений оригінал.

У 1988 році зафіксовано перші випадки поширення так званих вірусних містифікацій (Virus Hoax). Це вельми цікавий феномен, створений на поширенні помилкових чуток про появу нових, надзвичайно небезпечних комп'ютерних вірусів. По суті, чутки і були певною мірою вірусами: налякані користувачі надсилали такі повідомлення усім знайомим із надзвичайною швидкістю. Навряд чи варто говорити про те, що містифікації не завдають комп'ютерам ніякої шкоди. Проте вони «забивають» канали передачі даних, нервують інших користувачів і дискредитують людей, що повірили цим чуткам.

Один із перших жартів такого характеру належить Майку Ро-Ченлу (Mike RoChenle, його псевдонім схожий на англійське слово «microchannel»), який у жовтні 1988 року розіслав зі станції BBS велику кількість повідомлень про вірус, який нібито передається від модема до модема і використовує для цього швидкість 2400 бітів на секунду. Як панацея пропонувалося якнайскоріше перейти на використання модемів зі швидкістю 1200 бітів на секунду. Хоч як це смішно, але багато користувачів справді послухалися цієї поради.

Іншим подібним жартом стало попередження Роберта Морріса (Robert Morris) про вірус, що поширюється по електричній мережі, змінює конфігурацію портів і напрям обертання дисководів. Лишень за 12 хвилин, за цим повідомленням, вірус встиг уразити 300 000 комп'ютерів у штаті Дакота (США).

У листопаді 1988 року сталася епідемія справжнього мережного вірусу названого «черв'яком Морріса». Вірус заразив понад 6000 комп'ютерних систем у США (разом із Дослідницьким центром NASA) і майже паралізував їхню роботу. Унаслідок помилки в коді вірусу він, які вірус-черв'як Christmas Tree, безупинно розсилав свої копії по інших комп'ютерах мережі, запускав їх на виконання і таким чином цілковито підкорював усі мережні ресурси. Для свого розмноження вірус використовував помилки у системі безпеки операційної системи UNIX для платформ VAX і Sun Microsystems. Крім помилок в UNIX вірус використовував й інші оригінальні ідеї, наприклад, добирав паролі користувачів (зі списку, що містить 481 варіант) для входу в системи під чужим ім'ям. Загальні збитки від вірусу Морріса оцінили у 96 млн доларів.

А от 1988 рік ознаменувався появою однієї з найвідоміших антивірусних програм - Dr. Solomons Anti-Virus. Програма, створена англійським програмістом Аланом Соломоном (Alan Solomon), здобула надзвичайну популярність і проіснувала до 1998 р., коли компанію поглинув інший виробник антивірусів - американська Network Associates.

У червні 1994 року почалася епідемія вірусу OneHalf написаного під DOS поліморфний комп'ютерний вірус (гібрид бутового і файлового вірусів). Він відомий особливим корисним навантаженням, яке кодує певні частини жорсткого диска, однак розшифровує їх, коли з ними працюють, тому користувач нічого не помічає. Кодування здійснюється через порозрядне XORування випадково згенерованим ключем, а розкодування виконується повторним XORуванням із тим самим ключем, проте недбала дезінфекція призводитиме до втрати даних. Якщо користувач не бере це кодування до уваги, то він знищує тільки вірус, який слугує також для розшифрування і доступу до даних. Після кодування однієї половини HDD за особливих умов вірус пише повідомлення «Dis is OneHalf. Press any kay to continue…»

2000 року сталася широкомасштабна епідемія черв'яка ILOVEYOU. Черв'як використовував одразу цілу низку вразливостей популярних поштових клієнтів від Microsoft, зокрема, увімкнення за замовчуванням обробника скриптів і приховування розширень приєднаних файлів, які клієнт бачив як просгі ТХТ-файли, а насправді вони були програмою мовою VBScript. Упродовж доби черв'як поширився по всьому світу, змусив великі корпорації, зокрема й Пентагон, ЦРУ, вимкнути свої поштові сервери і завдав збитків приблизно на 5,5 млрд доларів США.

2003 рік ознаменувався однією з наймасштабніших атак на мережу за всю її історію - епідемією черв'яка Slammer [1О], унаслідок якої швидкість роботи мережі значно сповільнилася, а деякі регіони, наприклад Південна Корея, виявилися майже без Інтернету.

За лічені хвилини черв'як, що використовував уразливість у СУБД Microsoft SQL Server 2000, заповнив Інтернет і, незважаючи на свій малий розмір (всього 376 байт), зміг створити в каналах передачі даних справжні затори, оскільки після зараження комп'ютера він починав розсилати свій код за випадковими ІР-адресами у нескінченному циклі. Якщо за якоюсь з адрес виявлявся вразливий комп'ютер, він заражався і також починав розсилати копії вірусу. Все це призвело до великомасштабного зростання трафіку. На піку активності черв'яка на один сервер могли надходити сотні запитів у хвилину. Не витримавши збільшеного навантаження, деякі сервери просто падали. Тільки у США втрачалося до 20% ІР-пакетів, що вдесятеро перевищувало нормальний рівень. Найбільше від атаки Slammer потерпіла Південна Корея, де Інтернетом на той час вже користувалися семеро з десяти. Під натиском Slammer «впала» мережа найбільшого південнокорейського провайдера KT Corp. Серйозних збитків зазнали також провайдери Hanaro Telecom Inc. і Thrunet, що займали відповідно друге і третє місця на південнокорейському ринку мережних послуг.

Однією із причин катастрофічних наслідків атаки Slammer стала неуважність системних адміністраторів до постійного оновлення програмного забезпечення. Про дірку в MS SQL Server 2000 стало відомо ще улітку 2002 року, а відповідний патч містився у випущеному Microsoft пакеті оновлень Service Pack 3. Проте, за відомою приказкою про мужика і грім, за встановлення патчів адміністратори взялися лише після атаки Slammer, і сайт Microsoft звідки можна було узяти патч, виявився перевантаженим.

Станом на 2006 рік модель функціонування комплексів шкідливих програм змінилася настільки, що стала потребувати окремого терміну. Такий термін - MalWare 2.0 - запропонувала «Лабораторія Касперського». Першими і найяскравішими представниками такого класу шкідливих програм стали черв'яки Bagle, Warezov і Zhelatin.

Основні характеристики цієї моделі:

· немає єдиного центру керування мережею заражених комп'ютерів;

· активна протидія спробам вивчити шкідливий код та перехопити керування ботнетом;

· короткочасні масові розсилки шкідливого коду;

· грамотне використання засобів соціальної інженерії;

· використання різних способів поширення шкідливих программ та поступова відмова від найпомітніших із них (наприклад, електронної пошти);

· використання різних (а не одного універсального) модулей для виконання різних шкідливих функцій.

Розвиток MalWare 2.0 породив низку проблем для антивірусної індустрії. Найважливіша - нездатність традиційних антивірусних рішень, побудованих винятково на сигнатурному чи евристичному методах аналізу файлів, надійно протидіяти атакам MalWare 2.0, не кажучи вже про лікування уражених систем.

Постійний моніторинг вірусної активності, який здійснює «Лабораторія Касперського», дає змогу виявляти основні тенденції у цій сфері. Так, скажімо, серед основних тенденцій 2008 року [4] були вказані:

· лавиноподібне зростання кількості шкідливих програм типу Trojan-SMS;

· значне поширення шкідливих програм, націлених на викрадення паролів до ігор он-лайн;

· стрімке збільшення кількості черв'яків призвело до того, що вони переважали у класі VirWare. Net-Worm'и все частіше стали використовувати для поширення зламані сайти і соціальні мережі.

2009 року основні тенденції розвитку загроз були такими [1]:

· епідемія трояна Trojan-Downloader.JS. Gumblar.x;

· епідемія черв'яка Net-Worm. Win32. Kido.ih (Conficker);

· лідер атак DoS. Generic.SYNFlood (71,192% усіх атак, відбитих intrusion detection system програмного комплексу KIS 2010); третю позицію утримує Intrusion. Win.MSSQL.worm. Helkern (це вже згадуваний Slammer).

Деякі тенденції 2010 року [6]:

· збільшення кількості атак із використанням файлообмінних мереж;

· ускладнення та зростання потужності шкідливих програм;

· вірусні й троянські атаки на платформи iPhone та Android;

· поширення троянських програм через Twitter і Facebook.

Важливим етапом розвитку комп'ютерних вірусів стала поява так званих бот-мереж. Їхня історія почалася у 1998-1999 роках, коли з'явились перші Backdoor-програми, найвідоміші з яких NetBus: і BackOrifice2000 [22]. Це були концепти, тобто програми, які реалізували принципово нові технологічні рішення. NetBus: і BackOrifice2000 вперше мали повний набір функцій віддаленого керування зараженим комп'ютером, що давало можливість зловмисникам працювати з файлами на віддаленому комп'ютері, запускати нові програми, отримувати знімки екрану тощо.

Створені як троянські програми бекдори працювали без відома користувача. Для керування комп'ютером зловмисник мав сам встановлювати з'єднання з кожною зараженою машиною. Перші бекдори працювали улокальних мережах на основі протоколу ТСР/ІР і, по суті, були демонстраційним варіантом використання Windows АРІ для віддаленого керування комп'ютером.

Клієнтські програми для віддаленого керування комп'ютером уже на початку 2000-х могли одночасно керувати кількома машинами. Однак, на відміну від теперішніх бекдорів, програми NetBus: і BackOrifice2000 виступали у ролі мережного сервера, саме вони відкривали певний порт і пасивно чекали підключення зараженої машини (бекдори, які використовують сьогодні, виконують з'єднання самостійно).

Наступним кроком у розвитку було те, що заражені бекдорами комп'ютери самі виходили на зв'язок і їх завжди можна було бачити он-лайн (за умови, що вони увімкнені й під'єднані до мережі). Тобто найчастіше для цього використовувався канал IRC. Розробку нових ботів дуже спростило те, що у самій системі IRC із самого початку функціонували боти з відкритим кодом, достатньо було просто переробити їх на керування віддаленою машиною. Комп'ютери, заражені такими ботами, з'єднувалися з IRC-серверами і як відвідувачі заходили на певний канал, де й отримували подальші команди. Власник бот-мережі міг у будь який момент увійти в мережу побачити список ботів і відправиги команди всім зараженим машинам або відправити окреме повідомлення одній машині. Це був перший механізм реалізації бот-мережі з централізованим керуванням, пізніше названий C&C (Command and Control Centre). Прикладом може стати Sdbot - досить відомий бот, який був популярним 2004 року. Він написаний на С++ і реалізує можливості під'єднання до IRC-каналу й виконання великої кількості запрограмованих команд, як-от здійснення DDoS-атаки, завантаження нових версій, можливість виходу з каналу на якийсь час. Однак найцікавішою видається система самознищенняі Ця операція недоречна, оскільки, якщо викрасти бот-мережу, її можна знищити, що невигідно для власника, бо потім мережу не відновиш. Аналогічна ситуація відбулася з мережею Zeus, коли після взяття під контроль 100 тис. машин усій мережі дали команду знищити операційну систему, що призвело до втрати мережі [9].

Наступним у розвитку було переміщення центрів керування у мережу Інтернет. Спочатку хакери розробили засоби віддаленого керування сервером. Потім було створено з'єднання комп'ютера в локальній мережі з сервером в Інтернеті, що давало змогу зручно керувати комп'ютером. З'явилася схема віддаленого керування комп'ютером у локальній мережі в обхід таких засобів захисту, як проксі-сервер і NAT. Віддалене керування базувалася на встановленні НТТР-з'єднання з керувальним сервером, використовуючи локальні налаштування комп'ютера. Якщо користувач встановлював у налаштуваннях системи адресу, порт, логін і пароль для проксі-сервера, автоматично спрацьовував механізм авторизації бібліотек функції для підтримки протоколу НТТР (Wininet.dll).

Напівлетальні розробки засобів віддаленого керування, спрямовані на утримання в обхід систем захисту віддаленого доступу до машин у локальних мережах, дали поштовх до створення веб-орієнтованих бот-мереж. Веб-орієнтовані бот-мережі були зручним рішенням, яке популярне і сьогодні. Можна керувати великою кількістю комп'ютерів за допомогою будь-якого пристрою, що має доступ до мережі Інтернет, зокрема і мобільного телефону з підтримкою WAP/GPRS.

Були спроби створення бот-мереж, що керувалися б через ІМ-канали, тобто за допомогою програм обміну повідомленнями типу ICQ. Однак вони не набули значного поширення через потребу реєстрації номерів ІМ, а коли системи захисту від автоматичної реєстрації номерів постійно змінюються, то автоматично зареєструвати велику кількість номерів досить складно.

На цьому еволюція бот-мереж не закінчилася. Перебравши варіанти використання протоколів, розробники бот-мереж переключилися на архітектури мереж, адже бот-мережа класичної архітектури, тобто з одним центром керування, дуже вразлива, адже вона залежить від одного вузла і стає недієздатною, якщо втрачає його.

Досить ефективними і небезпечними, на думку експертів, можуть стати бот-мережі з архітектурою Р2Р, які не мають центру керування. власникові потрібно мати доступ лише до однієї машини, щоб керувати всією бот-мережею. Експерименти над створенням таких бот-мереж здійснювалися давно, але перша великомасштабна бот-мережа на основі Р2Р архітектури з'явилась лише 2007 року. Наразі саме Р2Р бот-мережі привертають найбільшу увагу дослідників інформаційної безпеки.

Розглядаючи розвиток комп'ютерних загроз, не можна оминути порівняно новий (із червня 2004 року), але вже поширений і, на жаль, вельми перспективний їх різновид: шкідливі програми, що вражають мобільні пристрої. Виникли вони майже щойно після того, як на зміну простим сотовим «трубкам», за допомогою яких можна було лише дзвонити один одному та обмінюватися тексговими повідомленнями, з'явилися смартфони з повноцінними операційними системами, виходом в Інтернет та підтримкою технології Bluetooth, що максимально спростила обмін файлами між пристроями, а отже, і поширення саморозплідних програм. Окрім цього, на руку зловмисникам грає тісна взаємодія смартфонів зі стаціонарними комп'ютерами та, особливо на перших етапах розвитку мобільних загроз, неувага власників смартфонів до їх антивірусного захисту Детальніше про історію шкідливих програм, що вражають мобільні пристрої, можна довідатися, зокрема, у статті А. Шевченко [25].

Наразі існують шкідливі програми для всіх популярних мобільних платформ: Android (наприклад, трояни DroidDream, який надсилає дані з файлів на віддалений сервер, та GGTracker, що підписує ваш номер на платну SMS-розсилку), Windows Mobile (наприклад, черв'як Duts, бекдор Brador, SMS-трoян Sejweek), iOS (зокрема, черв'як Ike; утиліта для зламу SMS-Hack, яка дає можливість керувати телефоном за допомогою командних SMS), Symbian (віруси Ozicom, Icons, Sculls; черв'яки Lasco, Cabir, Commwarrior; трояни Metal Gear, SEXXY, Gavno, Doomboot, Pbstealer) і Palm (наприклад, троян Liberty Crack і вірус Phage). Станом на кінець жовтня 2011 року загальна кількість мобільних загроз, виявлених за весь час їх існування, склала 4053 модифікації у 289 сімействах [5], тож власникам смартфонів незалежно від платформи та виробника варто неодмінно піклуватись про безпеку та використовувати мобільний антивірус (про це див. у розділі IV).

Размещено на Allbest.ru