Искусство цифровой самозащиты - Артимович Дмитрий. Страница 4
Итак, троянская программа – это такая вредоносная программа, которая проникает на ваш компьютер под видом абсолютно легитимного программного обеспечения, но при этом дает злоумышленнику возможность использовать ресурсы вашего компьютера без вашего ведома (прокси, DDoS-атаки, рассылка спам-сообщений), красть ваши пароли или платежные данные (кейлоггер), вымогать у вас деньги (шифровальщики) или обманом заставлять купить антивирус-пустышку.
Вирусы
В 2000 году широкой общественности представили новую операционную систему Windows 2000. И мы с братом решили ее попробовать на своем домашнем компьютере скромной конфигурации Intel Celeron 266, 64 Mб памяти, 4 гигабайта hdd. Достали пиратский компакт-диск и запустили инсталлятор прямо из-под Windows 98; система что-то скопировала и ушла в перезагрузку. Windows 2000 установила свой загрузчик, который позволял выбрать либо старую ОС Win98, либо новую Win2000.
Уже на новую Win2000 мы тут же установили свеженький AVP [20]. AVP при старте запустил сканирование и весело захрюкал (при обнаружение вируса антивирус издавал хрюкающий звук), когда нашел множество файлов, зараженных вирусом Virus.Win9x.CIH.
26 апреля 1999 года, в годовщину Чернобыльской аварии, вирус активизировался и уничтожал данные на жестких дисках инфицированных компьютеров. На некоторых компьютерах было испорчено содержимое микросхем BIOS [21]. Именно совпадение даты активации вируса и даты аварии на ЧАЭС дало вирусу второе название – «Чернобыль», которое в народе даже более известно, чем CIH.
По различным оценкам, от вируса пострадало около полумиллиона персональных компьютеров по всему миру. На этих компьютерах сработала «логическая бомба» – была уничтожена информация на жестких дисках и повреждены данные на микросхемах BIOS. По данным The Register, 20 сентября 2000 года власти Тайваня арестовали создателя этого знаменитого компьютерного вируса.
При запуске зараженного файла CIH помещает свой код в память Windows, перехватывая запуск EXE-файлов и записывая в них свою копию. В зависимости от текущей даты вирус способен повреждать данные на Flash BIOS и жестких дисках компьютера.
Компьютерные вирусы – это вредоносное программное обеспечение, часто исполняемые файлы, которые могут копироваться и передаваться с одного компьютера на другой с помощью устройств передачи файлов. Они могут присоединяться к другому исполняемому файлу и передаваться через него. Вирусы подразделяются на два типа: резидентные и нерезидентные.
Нерезидентные вирусы предназначены для распространения путем прикрепления к исполняемому файлу. В нерезидентных вирусах есть два компонента, которые работают следующим образом:
• Модуль поиска, который ищет исполняемые файлы в системе.
• Модуль репликатора, который копирует и прикрепляет копии к найденным исполняемым файлам.
Резидентный вирус работает иначе: у него отсутствует модуль поиска, но он постоянно находится в системной памяти. Каждый раз, когда исполняемый файл запускается на компьютере, он становится целью для модуля репликатора, и копия вируса прикрепляется к исполняемому файлу.
Так и мы с братом подцепили вирус Win9x.CIH, как и многие другие пользователи ПК, которым посчастливилось купить тот самый злополучный диск с новой операционной системой Microsoft Windows 2000. Спасло нас, видимо, то, что CIH работал на старом семействе операционных систем Win9x [22], а мы обнаружили и удалили его уже под системой семейства WinNT [23]. У вируса попросту не было возможности активироваться.
Если уйти в историю, то первым компьютерным вирусом для персонального компьютера под управлением операционной системы MS-DOS и первым вирусом, вызвавшим глобальную эпидемию в 1986 году, был Brain (с англ. – мозг). Brain написали два брата из Пакистана, Базит и Амжад Фарук Альви, в целях отслеживания пиратских копий их медицинского программного обеспечения, и он не был нацелен на причинение вреда. Братьям тогда было 17 и 24 года.
Заражение компьютера происходило путем записи копии вируса в загрузочный сектор дискеты [24]. Старая информация переносилась в другой сектор и помечалась как «поврежденная». Метка тома изменялась на ©Brain.
У братьев была компьютерная фирма Brain Computer Services, и вирус они написали, чтобы отслеживать пиратские копии их медицинского софта. Пиратская программа отжирала оперативку, замедляла работу диска и иногда мешала сохранить данные. По заверениям братьев, она не уничтожала данные.
Brain «не умел» работать с разделами жестких дисков, поэтому в него была встроена проверка, не позволявшая ему заражать жесткий диск. Это отличает его от многих вирусов того времени, которые не обращали внимания на разделы, что приводило к уничтожению данных. Благодаря относительной «миролюбивости» вирус часто оставался незамеченным, особенно когда пользователь не обращал внимания на замедление работы дискет.
Программа содержала следующее сообщение:
Welcome to the Dungeon 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS… Contact us for vaccination… $#@%$@!!
«Добро пожаловать в подземелье… Берегитесь этого вируса… Свяжитесь с нами для лечения…»
В заголовке были указаны реальные контакты. Когда кто-либо звонил им за помощью, они могли идентифицировать пиратскую копию. Также вирус подсчитывал количество сделанных копий.
Братья обнаружили, что пиратство было широко распространено, и копии их программ распространялись очень далеко. Амжад говорит, что первый звонок к ним поступил из США, Майами.
Это был первый из множества звонков из США. Проблема оказалась в том, что Brain распространялся и по другим дискетам, а не только по копиям их программы. В Университете Делавера в 1986 году даже случилась эпидемия этого вируса, а затем он появлялся и во многих других местах. Исков подано не было, но в газетах про это писали много. Создателей даже упоминали в журнале Time Magazine в 1988 году.
New York Times писала в мае 1988-гo: «Дерзкая компьютерная программа, которая в этом месяце появилась на компьютерах “Бюллетеня Провиденса”, уничтожила файлы одного корреспондента и распространилась через дискеты по всей сети газеты. Компьютерщики считают, что это первый случай заражения компьютерной системы американской газеты такой дерзкой программой, которую называют компьютерным вирусом».
Братьям Альви пришлось сменить телефоны и убрать контакты из поздних версий вируса. Продажи программы они прекратили в 1987 году. Их компания выросла в телекоммуникационного провайдера, и сейчас это крупнейший провайдер в Пакистане. Расположена она всё по тому же адресу.
Итак, компьютерный вирус – это такая вредоносная программа, которая может распространять сама себя путем внедрения своего кода в другие программы, загрузочные сектора дисков, системные области памяти. Главное отличие вируса от троянской программы – в его способности к самораспространению через заражение. Кроме того, часто его сопутствующей функцией является нарушение работы программно-аппаратных комплексов – удаление файлов, удаление операционной системы, приведение в негодность структур размещения данных, нарушение работоспособности сетевых структур, кража личных данных, вымогательство, блокирование работы пользователей и т. п. Т. е. вирус может распространяться через заражение файлов, но нести в себе функционал троянской программы. А вот троянская программа представляет из себя отдельный исполняемый файл, который сам по себе распространяться не может.