Искусство цифровой самозащиты
Шрифт:
Итак, троянская программа – это такая вредоносная программа, которая проникает на ваш компьютер под видом абсолютно легитимного программного обеспечения, но при этом дает злоумышленнику возможность использовать ресурсы вашего компьютера без вашего ведома (прокси, DDoS-атаки, рассылка спам-сообщений), красть ваши пароли или платежные данные (кейлоггер), вымогать у вас деньги (шифровальщики) или обманом заставлять купить антивирус-пустышку.
Вирусы
В 2000 году широкой общественности представили новую операционную систему Windows 2000. И мы с братом решили ее попробовать на своем домашнем компьютере скромной конфигурации Intel Celeron 266, 64 Mб памяти, 4 гигабайта hdd. Достали пиратский компакт-диск и запустили инсталлятор прямо из-под Windows 98; система что-то скопировала и ушла в перезагрузку. Windows 2000
Уже на новую Win2000 мы тут же установили свеженький AVP [20] . AVP при старте запустил сканирование и весело захрюкал (при обнаружение вируса антивирус издавал хрюкающий звук), когда нашел множество файлов, зараженных вирусом Virus.Win9x.CIH.
26 апреля 1999 года, в годовщину Чернобыльской аварии, вирус активизировался и уничтожал данные на жестких дисках инфицированных компьютеров. На некоторых компьютерах было испорчено содержимое микросхем BIOS [21] . Именно совпадение даты активации вируса и даты аварии на ЧАЭС дало вирусу второе название – «Чернобыль», которое в народе даже более известно, чем CIH.
20
AVP (аббревиатура, образованная из букв названия AntiViral Toolkit Pro) – антивирус Евгения Касперского. В 2000 году был переименован в Антивирус Касперского.
21
BIOS (от англ. Basic Input/Output System) – это набор микропрограмм, которые позволяют произвести настройку отдельных комплектующих системного блока, а также загрузку операционной системы и прочую настройку важных параметров. Дословно BIOS можно назвать базовой системой ввода-вывода. Сами микропрограммы находятся в энергонезависимой памяти на материнской плате компьютера.
По различным оценкам, от вируса пострадало около полумиллиона персональных компьютеров по всему миру. На этих компьютерах сработала «логическая бомба» – была уничтожена информация на жестких дисках и повреждены данные на микросхемах BIOS. По данным The Register, 20 сентября 2000 года власти Тайваня арестовали создателя этого знаменитого компьютерного вируса.
При запуске зараженного файла CIH помещает свой код в память Windows, перехватывая запуск EXE-файлов и записывая в них свою копию. В зависимости от текущей даты вирус способен повреждать данные на Flash BIOS и жестких дисках компьютера.
Компьютерные вирусы – это вредоносное программное обеспечение, часто исполняемые файлы, которые могут копироваться и передаваться с одного компьютера на другой с помощью устройств передачи файлов. Они могут присоединяться к другому исполняемому файлу и передаваться через него. Вирусы подразделяются на два типа: резидентные и нерезидентные.
Нерезидентные вирусы предназначены для распространения путем прикрепления к исполняемому файлу. В нерезидентных вирусах есть два компонента, которые работают следующим образом:
• Модуль поиска, который ищет исполняемые файлы в системе.
• Модуль репликатора, который копирует и прикрепляет копии к найденным исполняемым файлам.
Резидентный вирус работает иначе: у него отсутствует модуль поиска, но он постоянно находится в системной памяти. Каждый раз, когда исполняемый файл запускается на компьютере, он становится целью для модуля репликатора, и копия вируса прикрепляется к исполняемому файлу.
Так и мы с братом подцепили вирус Win9x.CIH, как и многие другие пользователи ПК, которым посчастливилось купить тот самый злополучный диск с новой операционной системой Microsoft Windows 2000. Спасло нас, видимо, то, что CIH работал на старом семействе операционных систем Win9x [22] , а мы обнаружили и удалили его уже под системой семейства WinNT [23] . У вируса попросту не было возможности активироваться.
22
Windows 9x – часто используемое общее название для операционных систем Windows
23
Windows NT (в просторечии просто NT) – линейка операционных систем (ОС) производства корпорации Microsoft и название первых версий ОС. Windows NT была разработана после прекращения сотрудничества Microsoft и IBM над OS/2, развивалась отдельно от других ОС семейства Windows (Windows 3.x и Windows 9x). В отличие от Windows 3.x и Windows 9x, Windows NT позиционировалась как надёжное решение для рабочих станций (Windows NT Workstation) и серверов (Windows NT Server). Windows NT дала начало семейству операционных систем, в которое входят: собственно Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8, Windows 10.
Если уйти в историю, то первым компьютерным вирусом для персонального компьютера под управлением операционной системы MS-DOS и первым вирусом, вызвавшим глобальную эпидемию в 1986 году, был Brain (с англ. – мозг). Brain написали два брата из Пакистана, Базит и Амжад Фарук Альви, в целях отслеживания пиратских копий их медицинского программного обеспечения, и он не был нацелен на причинение вреда. Братьям тогда было 17 и 24 года.
Заражение компьютера происходило путем записи копии вируса в загрузочный сектор дискеты [24] . Старая информация переносилась в другой сектор и помечалась как «поврежденная». Метка тома изменялась на ©Brain.
24
Дискета, гибкий магнитный диск (ГМД; англ. floppy disk, англ. diskette) – сменный носитель информации, используемый для многократной записи и хранения данных. Представляет собой гибкий пластиковый диск, покрытый ферромагнитным слоем и помещённый в защитный корпус из пластика. Считывание или запись данных с дискет производится посредством специального устройства – дисковода; в отечественной индустрии также использовался термин «накопитель (на) гибких магнитных дисках» (НГМД).
Дискеты имели массовое распространение с 1970-х и до начала 2000-х годов, придя на смену магнитным лентам и перфокартам. В конце XX века дискеты начали уступать более ёмким оптическим дискам CD-R и CD-RW, а в XXI веке – и более удобным флеш-накопителям.
У братьев была компьютерная фирма Brain Computer Services, и вирус они написали, чтобы отслеживать пиратские копии их медицинского софта. Пиратская программа отжирала оперативку, замедляла работу диска и иногда мешала сохранить данные. По заверениям братьев, она не уничтожала данные.
Brain «не умел» работать с разделами жестких дисков, поэтому в него была встроена проверка, не позволявшая ему заражать жесткий диск. Это отличает его от многих вирусов того времени, которые не обращали внимания на разделы, что приводило к уничтожению данных. Благодаря относительной «миролюбивости» вирус часто оставался незамеченным, особенно когда пользователь не обращал внимания на замедление работы дискет.
Программа содержала следующее сообщение:
Welcome to the Dungeon 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS… Contact us for vaccination… $#@%$@!!
«Добро пожаловать в подземелье… Берегитесь этого вируса… Свяжитесь с нами для лечения…»
В заголовке были указаны реальные контакты. Когда кто-либо звонил им за помощью, они могли идентифицировать пиратскую копию. Также вирус подсчитывал количество сделанных копий.
Братья обнаружили, что пиратство было широко распространено, и копии их программ распространялись очень далеко. Амжад говорит, что первый звонок к ним поступил из США, Майами.
Это был первый из множества звонков из США. Проблема оказалась в том, что Brain распространялся и по другим дискетам, а не только по копиям их программы. В Университете Делавера в 1986 году даже случилась эпидемия этого вируса, а затем он появлялся и во многих других местах. Исков подано не было, но в газетах про это писали много. Создателей даже упоминали в журнале Time Magazine в 1988 году.