Читаем Цифровой журнал «Компьютерра» № 203 полностью

Встроенный в Melissa макровирус немедленно проникал в адресную книгу Outlook и всем рассылал свои копии, и на этом деструктивная функция оригинальной версии заканчивалась. Разве что когда дата совпадала со временем в минутах в системных часах, он начинал вставлять в любой редактируемый документ цитату из мультсериала «Симпсоны»: 

«Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here».

Однако, как вы догадались, модифицированные версии Melissa были уже не столь безобидны и занимались традиционными для вирусов делами, в том числе модифицировали и удаляли системные файлы.

Известный вирус, «признававшийся в любви», был написан в 2000 году филиппинцами Рамонесом и Гузманом и нанёс мировой экономике ущерб в размере около $10–15 млрд, за что и попал в Книгу рекордов Гиннесса как самый разрушительный вирус на тот момент. При этом его создатели, которые впоследствии предстали перед судом, не понесли никакого наказания, поскольку тогдашнее законодательство Филиппин вообще не предусматривало ответственности за написание вредоносного программного обеспечения.

ILOVEYOU использовал ту же схему почтового распространения, что и Melissa, а сообщение гласило: «Пожалуйста, посмотри приложенное ПИСЬМО ЛЮБВИ от меня». Однако во вложении находился уже не документ Word, а замаскированный под текстовый файл скрипт с двойным расширением LOVE-LETTER-FOR-YOU.TXT.vbs. И если пользователь видел расширение TXT, то VBS по умолчанию скрывалось, как расширение скрытых системных файлов. В свою очередь, сценарии VBS исполнялись с помощью компонента Windows Scripting Host, который имел практически полный доступ к системе и был включён по умолчанию.

В отличие от предшественников, ILOVEYOU не только рассылался по всем контактам Outlook, но и вёл себя как настоящий троянец, пытаясь похитить все найденные пароли и отослать их на некий почтовый ящик. Кроме того, он удалял случайные файлы изображений и MP3, заменяя их фальшивыми файлами с копией вирусного кода, подменял системные файлы, прописывался в реестре и размножался с каждой перезагрузкой Windows.

Вирус Anna Kournikova, появившийся годом позже, использовал ту же технику маскировки расширения вложения: вместо фотографии известной теннисистки жертва получала очередной зловредный сценарий.

В 2001 году родилось новое поколение компьютерных вирусов, которые пользовались уязвимостями в разных операционных системах и программах Microsoft. Самым известным из них стал Code Red, который поражал веб-серверы, работающие на основе Microsoft Internet Information Server (IIS). Этот зловред непосредственно не воздействовал на клиентские машины, но настолько замедлял интернет-трафик, что фактически блокировал доступ ко многим веб-сайтам.

«Красный код» действовал предельно просто: подключаясь к машине с запущенным IIS, он вызывал переполнение буфера и делал её неработоспособной. Кроме того, если в качестве языка такого сервера был установлен американский английский, то на главную страницу сайта выводилось сообщение, что он якобы взломан китайцами — которые на самом деле вряд ли имели отношение к Code Red.

Если системный администратор не принимал мер по удалению вируса в течение 10 часов, то это сообщение исчезало, но за истёкшее время вирус в поисках потенциальных жертв успевал отправить море запросов по случайным IP-адресам, замусоривая каналы бессмысленным трафиком и блокируя сетевую активность. Более того, если системная дата была больше 20-го числа месяца, то Code Red начинал «стучаться» в серверы, расположенные по адресу www.whitehouse.gov, организуя массированную DDoS-атаку на сайт президента США. 

Однако, как и во многих вирусах, в самом Code Red скрывалась ошибка: на самом деле сканируемые IP-адреса не были случайными, и в результате некоторые машины, только что очищенные от вируса, в следующую же секунду могли быть вновь заражены.

Достойный преемник Code Red — вирус Slammer, который также вошёл в число самых быстрораспространяемых в мире. Этому зловреду удалось заразить 75 тысяч компьютеров всего за десять минут, при этом он использовал аналогичную технологию переполнения буфера, но уже в среде Microsoft SQL Server 2000. Самое примечательное заключается в том, что Microsoft чуть ли не за шесть месяцев до появления Slammer выпустила патч, устраняющий уязвимость, которую эксплуатировал этот вирус. Тем не менее его не установило не только большинство сторонних компаний, но и даже и целые подразделения самой Microsoft!

Одна из крупнейших сетевых атак в результате деятельности Slammer произошла в начале 2003 года, когда вирус за считанные минуты так перегрузил каналы, что почти полностью заблокировал доступ в интернет в Южной Корее и некоторых других азиатских странах. В США и Европе ситуация была не столь катастрофической, хотя замедление скорости передачи данных ощущалось почти в любой точке света.