Последние эпидемии компьютерных вирусов, охватившие интернет во второй половине этого лета, были отмечены рядом интересных особенностей и увлекательных сопутствующих событий. Некоторые из них вышли за рамки сетевой жизни и с энтузиазмом освещались общегражданскими СМИ. С подробностями — обозреватель Ъ СТАНИСЛАВ АНСИМОВ.
LoveSan зомбирует сеть
В середине июля этого года хакеры-исследователи из Китая обнаружили очередную "дыру" в операционной системе Windows (2000/XP). Как ни странно, Microsoft выпустила "заплатку" почти сразу. Но, как всегда, ни автоматические обновления, ни специальные предупреждения особого эффекта не имели. Практика еще раз подтвердила, что люди боятся не "дыр", а непосредственно вирусов, которые через эти "дыры" проникают.
В начале августа вирус, а точнее, сетевой червь LoveSan, он же Blaster, появился на просторах сети. Он обладал довольно хитрым механизмом распространения, действующим без какого-либо участия пользователя. "Червь" сам сканирует окружающие машины, находит уязвимые (с той самой китайской "дырой") и пробирается на них, производя так называемое зомбирование. Деструктивная задача LoveSan заключалась в том, чтобы проникнуть на максимальное количество компьютеров, подчинить их себе и нанести с них сокрушительный удар на один из серверов Microsoft в заданное время, а именно 16 августа 2003 года. Выбран был как раз тот сервер, где содержатся обновления Windows, в том числе и упомянутая "заплатка".
Самый публичный вирус
До этого момента все было как обычно, однако далее сценарий развития событий стал отклоняться от стандартного шаблона. Во-первых, вокруг нового вируса почти сразу поднялся невероятный шум. Это было обусловлено тем, что LoveSan как бы даже и не думал прятаться. На пораженном компьютере он обнаруживал себя явным образом, перезагружая систему. Маскировкой от специалистов по антивирусам он тоже себя не утруждал. Более того, в теле "червя" автор продекларировал свое кредо — любовь к альтернативной Windows платформе San (откуда и пошло название вируса) плюс укоры в адрес создателя "окон" Билла Гейтса и его "дырявых" программ. Непосредственно на зараженном компьютере LoveSan сам по себе ничего не стирал и не портил. По этой причине эксперты присвоили вирусу среднюю степень опасности, а среди населения паники не возникло. Наоборот, наблюдалось даже смутное ощущение солидарности, возникающее в народе каждый раз, когда кто-то пытается прищучить Microsoft. Поскольку Билла Гейтса и его сервер особенно никому не жалко, физиономии дикторов в теленовостях о вирусе были несколько ироничны.
Серьезен оставался лишь мудрый Касперский, который начал предостерегать мир от опасности перегрузки каналов интернета из-за лавинообразной эпидемии "червя". Вирусолог уже долгое время не устает подчеркивать, что главная опасность сетевых "червей" кроется в самом их распространении и что они вместе со спамом, возможно, когда-нибудь совсем похоронят интернет. К сожалению, предпосылки к этому каждый раз становятся все очевиднее.
Антивирусные компании упомянули вскользь еще одну опасность. LoveSan, в принципе, позволяет его автору удаленно управлять пораженной машиной, то есть делать на ней что угодно. В том числе использовать компьютер как зомби для любых распределенных атак.
Из всех очевидных и потенциальных деструктивных последствий основное внимание пресса уделяла лишь атаке на Microsoft. Так или иначе, необычно открытое поведение LoveSan-Blaster спровоцировало волну шума вокруг него. Антивирусные компании разобрали червя по винтикам, выпустили обновления своих продуктов, отдельные программы и просто инструкции для ручного изничтожения LoveSan на компьютере. Интернет-СМИ подробно сообщали, какие компьютерные порты следует защитить и где скачать "заплатку". День и час атаки на сервер Microsoft Windows Update был известен. Пожалуй, не было еще такого вируса, к защите от которого все были бы настолько готовы. Однако специалисты все равно говорили о неминуемости эпидемии и грядущей атаке на Microsoft. Они были абсолютно уверены, что огромная масса пользователей, не отягощенных техническими тонкостями работы со своими компьютерами, проигнорируют все предупреждения.
Эпидемия среди лентяев
Так все и случилось. Через несколько дней после обнаружения вируса в сети объявилась его новая версия с мелкими косметическими изменениями. В частности, она более активно сквернословила в адрес Microsoft. За считанные дни "червь" поразил сотни тысяч компьютеров, побив многие рекорды и возглавив текущий список самых вредоносных программ. 14 августа, когда США и Канада погрузились во тьму, одной из главных версий о причинах крупнейшего в истории сбоя в электроснабжении был назван пресловутый "червь".
Тем не менее атака на Microsoft 16 августа была отбита, если это можно так назвать. Корпорация просто вырубила сервер на время нападения. Компьютеры-зомби отбомбились мимо цели. Однако такой хитрый маневр все равно привел к дополнительным усилиям и заметным убыткам. Большой Билл в очередной раз "с блеском" отбился. Однако червь никуда не делся, и эпидемия готова была продолжиться, несмотря на завершение основной миссии. При этом осталась угроза лавинообразного заражения с гипертрафиком, способным забить каналы интернета. Сохранились и многие тысячи уже зараженных зомби, готовых к новым сигналам хозяина. Надежд на то, что спасение своих компьютеров станет делом рук самих пользователей, не осталось совсем.
Червь-санитар
Вот тут на сцену вышел второй сюрприз — "червь"-санитар Welchia. Используя тот же механизм распространения, что и LoveSan, Welchia отыскивал в сети зомбированные компьютеры, уничтожал на них LoveSan и вакцинировал от последующих заражений посредством установки "заплатки". Добровольно-принудительная помощь санитара в несколько дней сбила эпидемию и почти изничтожила LoveSan.
Это было уже второе масштабное явление сетевого "червя" с гуманитарной функцией. В сентябре 2001 года червь CodeBlue искал в интернете компьютеры, зараженные другим "червем", CodeRed, и лечил их. Таким образом, перспектива сетевой войны роботов-"червей" становится все реальнее. Футурологи-киберпанки могут радоваться. Напомним, что сам термин "червь" пришел в компьютеры из научной фантастики аж 1975 года. В новелле Джона Бруннера Shockwave Rider программа-червь, созданная программистом-революционером, выполняла благородную задачу разрушения компьютерной сети злого антинародного правительства.
Врач-вредитель
Восторги общественности по поводу освободительной миссии Welchia длились недолго. Сходство с киберпанком усилилось дальнейшим развитием событий по законам Мерфи — от плохого к худшему. Еще во время всеобщего ликования все тот же мудрый Касперский опять напомнил о перегрузке каналов. В этом смысле Welchia ничем не отличается от своего врага — LoveSan. Сопровождающий распространение санитара лавинообразный гипертрафик точно так же способен вызвать замедление всего интернета и локальных корпоративных сетей.
Пророчество антивирусного мудреца сбылось. "Добрых вирусов не бывает" — эта фраза господина Касперского стала крылатой. Первой жертвой Welchia пала крупнейшая авиакомпания Канады — Air Canada. Лавинообразное распространение Welchia парализовало систему заказа и регистрации билетов. Только в течение одних суток пришлось отменить более 700 рейсов. Второй жертвой стала также канадская авиакомпания Air Transat. Количество жертв наверняка было достаточно большим, но, как известно, фирмы и учреждения свою беспечность предпочитают не афишировать.
Поймали мальчика
Последним сюрпризом вируса LoveSan стала поимка его автора. Такое бывает нечасто. При огромном количестве гулявших и гуляющих по сети вредоносных программ случаи успешного отлова авторов можно пересчитать по пальцам. Создателем второй версии LoveSan оказался 18-летний школьник из Миннесоты Джеффри Парсон. То, что автором вируса является малолетний шутник, можно было догадаться сразу — по туповатым ругательствам в теле червя и незатейливой модификации оригинала. Так что поимку Джеффри Парсона вряд ли можно считать проявлением гениальности сыска ФБР.
Парень не сделал ничего, чтобы хоть как-то замести следы. По имени исполняемого файла легко был вычислен адрес личного сайта Парсона. Туда "червь" посылал подтверждающие сигналы при каждом новом заражении. Сайт был зарегистрирован непосредственно на Парсона и даже содержал его домашний адрес! При обыске ФБР изъяло семь компьютеров. Сам мальчик оказался весьма заметным и чисто физически — вес 145 кг, рост 193 см. По обвинению в компьютерном вредительстве ему светит до десяти лет тюрьмы и штраф $250. Пока мальчик сидит под домашним арестом. Хотя компьютеры у него изъяли, суд все равно наложил на него запрет выхода в интернет.
Из столь легкой добычи власти США скорее всего захотят сделать поучительный прецедент публичной и жестокой казни вирусописателя. Пока, к сожалению, довольно многие "шутники" не имели возможности убедиться, что за свои шутки можно навсегда искалечить себе жизнь.
Эпидемия среди дураков
Не успели схлынуть LoveSan и его убийца Welchia, как в конце августа глобальная сеть подверглась нашествию "червя" Sobig.f. Это была шестая и самая заразная мутация Sobig, гулявшего в интернете с января этого года. На зараженном компьютере "червь" способен скачивать из сети свои обновленные версии и внедрять в систему программы-шпионы для удаленного управления компьютером. Буквально за сутки с момента первых обнаружений Sobig.f обставил по масштабам распространения LoveSan и подобрался к рекорду печально известного Klez.
Самым удивительным в этой эпидемии было то, что по своей сути Sobig.f крайне примитивен. Он не пробирается через "дыры" в операционных системах и протоколах. Это старомодный почтовый червь, использующий для распространения простейшие методы социального инжиниринга. Вредоносная программа рассылается в виде файлов, прикрепленных к зараженным письмам. Чтобы ее активизировать, пользователь сам должен запустить файл, а побуждают его к этому наивно интригующие заголовки писем вроде "Thank you!" или "That movie". В качестве обратного адреса "червь" для маскировки подставляет случайные e-mail из адресной книги зараженного компьютера. Эксперты были по-настоящему шокированы: как такая старая и уже считавшаяся абсолютно бесхитростной технология смогла столь эффективно сработать?! К сожалению, Sobig.f подтвердил, что одним и тем же незатейливым трюком можно дурачить пользователей бесконечно.
Черви такого типа несколько лет назад вызывали глобальные эпидемии. С тех пор почтовые программы Microsoft научились не запускать вложенные файлы автоматически, а пользователи стали осторожнее относиться к письмам с незнакомых адресов. Во всяком случае, так думали специалисты. Оказалось, что за пару лет бдительность пользователей заметно притупилась.
Заставьте роботов молчать!
Sobig.f, заразив кучу компьютеров по всему миру, прекратил распространение 10 сентября. Так было заложено в его программе. Не устающим наступать на одни и те же грабли пользовательским массам остается спокойно лечить остатки заразы антивирусами. Но помимо "грабельного" эффекта почтовый червь указал на еще одну, пожалуй, самую серьезную опасность, которая всплывала и ранее, но стала очевидной только сейчас.
Опасность эта... в антивирусах (!), а точнее, в их излишней активности. Речь идет об автоматических защитных программах, фильтрующих трафик на уровне провайдеров. Это межсетевые экраны, брандмауэры, и прочие фильтры-антивирусы, которые легко засекают и убивают "червивые" письма. По традиции, каждое такое убийство сопровождается похоронкой аж по трем адресам: отправителю (а точнее, тому, чей адрес вирус подставил в строку отправителя) — предупреждение, что в его письме был вирус; получателю — извещение, что он не получил письмо с вирусом, и, наконец, сообщение для отчетности — администратору провайдера, который всех этих антивирусных роботов-оповещателей установил. От потоков предупреждений почтовых "демонов" пользователи приходят в ужас, а каналы действительно перегружаются. Перегружаются также ящики, что вызывает соответствующие ответные предупреждения других почтовых роботов. В результате мы наблюдаем картину нарастающей ругани роботов на пользователей и друг на друга.
По поводу этой "антропогенной" опасности группа отечественных специалистов по безопасности и известных сетевых деятелей выступила с открытым обращением "ко всем людям доброй воли". В первую очередь они хотели, чтобы их услышали администраторы почтовых серверов и антивирусов. Обращение называлось "Интернет загубят антивирусы?". Кроме гиперактивных роботов врагами были объявлены почтовые автоответчики и прочие механические генераторы бессмысленной информации.
Кто спасет мир?
Человечество опять столкнулся с негативными последствиями перехода персонального компьютера из разряда сложного инструмента в класс бытовых приборов. Возрастающую сложность и функциональные возможности компьютеров и телекоммуникаций пытаются компенсировать "интуитивно-понятные интерфейсы" и развитые системы поддержки. В процессе эволюции компьютер и сеть из среды специалистов все больше ориентировались в сторону пользователей с минимальными знаниями. Сейчас тенденция такова, что от пользователей уже не требуется почти никаких компьютерных знаний. Повсеместное внедрение компьютеров и сетевых технологий вплоть до домашних хозяек и детских садов приводит к тому, что средняя квалификация пользователей падает.
В то же время современный хакерский софт позволяет создавать вредоносные программы кому угодно без излишних умственных усилий. Защита широких масс непродвинутого мирного населения планеты становится крайне актуальной. Сейчас уже всем понятно, что само это население защитить себя не сможет. Смогут ли это сделать антивирусные компании и "черви"-санитары, пока неясно.