Доклад Самые яркие компьютерные вирусы от невидимки до

Доклад: Самые яркие компьютерные вирусы: от невидимки до монстра Докладчики студенты Моторикин Д. В. Васильченко С. С. Горохов А.

План 1. Предисловие 2. Brain 3. Jerusalem 4. Червь Морриса 5. CIH, «Win 95. CIH» или «Чернобыль» 6. Melissa 7. I Love You, Loveletter, The Love Bug 8. Win 32/Stuxnet 9. SQL Slammer 10. Первая масштабная атака на i. OS 1

11 ноября 1983 года американский студент из Университета Южной Калифорнии Фред Коэн составил программу, демонстрирующую возможность заражения компьютера. Скорость размножения вируса внутри компьютера VAX составила от пяти минут до часа, и дальнейшие опыты в этом направлении были запрещены как исключительно опасные. Через год Коен написал об этом научную работу, в которой не только дал определение вирусу, но и предвосхитил распространение вирусов по компьютерным сетям и появление антивирусных программ. 2

3

1. Brain, 1986 год: первый вирус, вызвавший эпидемию По сравнению с последователями, Brain практически безопасен, но он стоит нашего внимания в первую очередь потому, что первым вызвал настоящую вирусную эпидемию. Передавался Brain по загрузочным секторам дискет. Разработка вируса лежит на совести братьев Амджата и Базита Алви (Amdjat и Basit Faroog Alvi), которые запустили его в 1986 году. Обнаружен Brain был летом 1987 года. Только в США вирус заразил более 18 тысяч компьютеров. В основе разработки Brain лежали благие намерения: программа должна была наказать местных пиратов, ворующих программное обеспечение у фирмы братьев. Вирус Brain ко всему прочему еще и первый стелс-вирус (вирус, полностью или частично скрывающий свое присутствие в системе). Так, при попытке чтения заражeнного сектора, он «подставлял» его незаражeнный оригинал. 4

2. Jerusalem, 1988 год: в пятницу 13 -ого удалял все данные с жесткого диска Вирус «Jerusalem» появился 13 мая 1988 года, он уничтожал зараженные файлы при попытке их запуска. Проявил себя в Европе, США, на Ближнем Востоке. Первые сообщения о заражении приходили из высших учебных заведений и от крупных компаний в самых различных странах. Этот вирус был создан в Израиле — отсюда и основное имя. Второе его название — «Пятница 13 -е» . Это был первый вирус для MS-DOS, вызвавший грандиозную панику: скачанный с дискеты, он активировался при наступлении злополучного числа — пятницы 13 -е — и удалял абсолютно все данные с жесткого диска. Так же через 30 мин после загрузки в память вирус замедлял скорость работы компьютеров XT в 5 раз и демонстрировал маленький черный прямоугольник в текстовом режиме экрана. В те времена еще мало кто верил в существование компьютерных вирусов. Антивирусных программ почти не существовало, а потому пользователи были беззащитны перед ними. Таким образом, именно с данного вируса начались первые компьютерные пандемии (от греч. pandemía — весь народ) — эпидемии, характеризующиеся распространением на территорию многих стран мира. 5

6

3. Червь Морриса, 1988 год: вывел из строя весь интернет 2 ноября 1988 года зафиксирован первый случай появления и «победоносного» шествия сетевого червя, парализовавшего работу шести тысяч интернет-узлов в США. Позднее в СМИ этот червь был наречён червём Морриса по имени его автора (аспиранта факультета Вычислительной техники Корнелльского университета Роберта Т. Морриса). Хакеры же прозвали его «великим червём» . Эпидемия поразила около шести тысяч узлов ARPANET. В институт Беркли со всей страны были приглашены лучшие специалисты по компьютерной безопасности того времени для нейтрализации последствий вредоносного действия вируса. Червь, вопреки расчётам создателя, буквально наводнил собой весь сетевой трафик ARPANET При сканировании компьютера червь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённой системными администраторами. С определённой периодичностью программа, так или иначе, перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя. 7

4. CIH, «Win 95. CIH» или «Чернобыль» , 1998 год: заразил до полумиллиона ПК Один из самых знаменитых вирусов мира. Зараженный компьютер не «заводился» , поскольку вирус уничтожал BIOS подчистую. CIH создан в 1998 году тайваньским студентом, по инициалам которого и назван. Вирус попадал в компьютер через интернет, электронную почту и диски, прятался внутри других программ, а в определенный момент (26 апреля, совпадает с датой аварии на Чернобыльской АЭС) вирус активировался, стирая содержимое жесткого диска и нанося вред аппаратной части компьютера. Эпидемия «Чернобыля» пришлась на апрель 1999 года. Тогда из строя было выведено более 300 тысяч компьютеров, в основном, в Восточной Азии. В течение нескольких последующих лет 26 апреля вирус продолжал свое черное дело, что, по разным экспертным оценкам, нанесло урон до полумиллиона компьютеров во всем мире. 8

5. Melissa, 1999 год: массово засорил корпоративную почту Пришествие «Мелиссы» пришлось на 26 марта 1999 год. Вирус после заражения системы находил адресную книгу программы MS Outlook и рассылал свои копии первым 50 адресам в этой книге. Пользователь об этом не подозревал, хотя рассылка производилась от его имени. Из-за «Мелиссы» крупные IT-компании, в том числе Microsoft и Intel, в массовом порядке отключали корпоративные сервисы электронной почты. Вирус распространялся с бешеной скоростью, сумма нанесенного им ущерба оценивается экспертами более чем в 100 миллионов долларов. Существовало четыре модификации вируса. Все они различаются по выполняемым функциям, но являются одинаково опасными, поскольку удаляют или модифицируют критические для системы служебные файлы. Кроме того, Melissa стала первым вирусом, который имел множество способов действия (всего 108 различных путей распространения и размножения) и существовал в огромном количестве копий – всего только сам Смит распространил более 1000 экземпляров кода, каждый из которых породил 9 - 12 поколений. 9

Еще один рекорд, установленный этой вредоносной программой, заключается в его долгожительстве. Melissa продолжает свое существование даже сейчас, десятилетие спустя. Каждый месяц в мире обнаруживается не менее 10 ее копий, несмотря на то, что существует множество инструментов обнаружения вирусов, а операционные системы получили обновления, закрывающие «дыры» в безопасности 10

6. I Love You, Loveletter, The Love Bug, 2000 год: «романтик» , нанесший ущерб на 5, 5 миллиарда долларов Список самых опасных компьютерных вирусов продолжает вирус с романтическим названием «I Love You» , он же «Loveletter» , он же «The Love Bug» . Данный вирус распространялся с сообщениями электронной почты и по каналам IRC. Письмо с вирусом легко выделить. Тема письма — ILOVEYOU. В самом письме содержатся текст kindly check the attached LOVELETTER coming from me и присоединенный файл с именем LOVELETTER-FOR-YOU. TXT. vbs. Вирус срабатывал только тогда, когда пользователь открывал этот присоединенный файл. 11

Распространялся «романтик» по электронной почте, в теме письма при этом были слова: «я тебя люблю» . К такому письму прилагалось вложение, в котором и сидел зловред, крадущий с зараженной машины пароли. Механизм распространения Loveletter — как у «Мелиссы» : вирус искал адреса в Outlook и отправлял собственные копии, а также записывал свои копии в файлы на жестком диске. Вируса повреждал: картинки в формате JPEG, программы Java Script и Visual Basic Script, а также много других файлов. Кроме этого, вирус совершал несколько действий по инсталляции себя в систему и по установке отдельных дополнительных вирусных модулей, которые сам перекачивал из Интернета. Loveletter заразил миллионы компьютеров по всему миру, 10% всех существовавших на тот момент компьютеров были инфицированы, что нанесло ущерб в размере 5, 5 миллиарда долларов 12

Win 32/Stuxnet 13

7. Win 32/Stuxnet, 2010 год: первый, заразивший промышленные системы Это первый известный компьютерный червь, перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами марки Simatic S 7 и рабочими станциями SCADA-системы Simatic Win. CC фирмы Siemens. Таким образом, червь может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в автоматизированных системах управления технологическим процессом (АСУ ТП) промышленных предприятий, электростанций, аэропортов и т. п. Stuxnet был совместным американо-израильским (по New York Times ) кибер-оружием, предназначенным для нанесения вреда атомной электростанции Ирана и уничтожения или замедления какого-либо прогресса, связанного с разработкой ядерного оружия иранцами. Антивирусный эксперт Сергей Уласень обнаружили червя Stuxnet в их системе управления ядерного завода в 2010 году. 14

Stuxnet работал постепенно и незаметно, увеличивая скорость вращения ядерных центрифуг, которые поддерживали завод, медленно разрушая их. Вирус уничтожил около 1/5 центрифуг на ядерном объекте в Натанзе. Исходный код Stuxnet может быть загружен и изменен своими создателями и может быть использован для атак на практически любую систему, которая работает с использованием промышленных программируемых логических контроллеров — например, водохранилищ, электрических установок, и других атомных электростанций. 15

16

8. SQL Slammer или червь, который съел интернет. SQL Slammer был червем, который распространился так быстро и эффективно, что он эффективно замедлил скорость Интернета во всем мире. Были заражены 75000 хостов в течение 10 минут после запуска вируса в январе 2003 года в Южной Корее, но к концу дня он был во всем мире. Вирус оставил без интернета Южную Корею, нарушил работу банкоматов в США и серьёзно замедлил работу всей Мировой Сети. Вирус вызвал задержки в работе банкоматов и других необходимых услуг. Крошечный размер программы (всего 376 байт) позволил вирусу быть отправленным в одном пакете, что позволяло ему быстро передаваться от одного компьютера на другой в течении миллисекунд. Естественно, ничего подобного бы не произошло, когда бы не серьёзная уязвимость в СУБД Microsoft SQL Server 2000. Поскольку эту уязвимость бросились латать по всему миру, эпидемия спала буквально за день. Но вот что интересно, что все восемь лет, прошедшие с момента первой эпидемии, Slammer «продолжал жить в интернете и постоянно занимал первые строчки в отчётах по сетевым атакам. Миллионы и миллиарды вредоносных пакетов продолжали рассылаться каждый день, ища жертв и генерируя значительный объём мусорного трафика» . Вирус нанес ущерб в размере от 950 млн. до 1, 2 млрд. долларов. 17

Первая масштабная атака на i. OS 18

Первая масштабная атака на i. OS Xcode. Ghost - это новая вредоносная программа для i. OS, которая берёт начало от модифицированной версии Xcode - официального инструмента от Apple для разработок приложений на i. OS и OS X. Заражённая утилита была загружена на облачное хранилище Baidu, откуда и была скачана множеством разработчиков. В результате были созданы инфицированные приложения и добавлены в App Store, успешно пройдя проверку на наличие вредоносного кода. Компания Palo Alto Networks опубликовала список из 50 заражённых i. OSприложений, среди которых есть и популярные программы и игры. Заражённые приложения собирают и в зашифрованном виде отправляют информацию с устройства на серверы злоумышленников. Украдена может быть следующая информация : текущее время: имя заражённого приложения; идентификатор пакета приложения ; имя текущего устройства и модель; язык системы и страны; UUID девайса; тип сети; чтение и запись данных в буфер обмена пользователя. 19

Спасибо за внимание