|
Почтовый ящик Пандоры |
 |
| Фото: GETTY IMAGES |
Каждому по вирусу
В ночь с 26 на 27 января пользователи компьютеров по всему миру стали получать непонятные письма. К сообщению был прикреплен файл объемом всего 22 килобайта. Тема письма могла быть любой — от дружественного "Hi" до загадочного "Server report". Содержание письма могло быть тоже произвольным, например, таким: "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment". Ничего не подозревающие пользователи, получив такое письмо и не найдя в нем ничего интересного, открывали приложенные файлы.
Примерно то же самое происходило в популярнейшей файлообменной сети Kazaa, количество пользователей которой исчисляется десятками миллионов. Скачивая найденные файлы с названиями новых версий известных программ (Winamp5, ICQ2004-final), никто не подозревал, что стоит за этими названиями.
Что же происходило потом? Ничего особенного, что могло бы напугать обычного человека, сидящего за компьютером. Приложенный файл открывался редактором Notepad и оказывался непонятным набором символов. Удивленный пользователь пожимал плечами и, закрывая приложение, о письме забывал.
А в это время приложенный к письму файл без ведома хозяина компьютера запускал несколько крайне вредных процессов. Во-первых, он устанавливал специальную программу — виртуальный прокси-сервер, позволяющий использовать компьютер для дальнейшей рассылки спама и копий вируса. Во-вторых, в память записывалась программа-"троянец" (так ее называют антивирусные специалисты), с помощью которой можно управлять компьютером способом удаленного доступа, в частности, читать почту и красть информацию. В-третьих, программа организовывала распределенную атаку на сайт компании SCO (www.sco.com), давно ведущей борьбу с корпорацией IBM и Linux-сообществом: с зараженных компьютеров по 50 раз в секунду на этот сайт отправлялся некий запрос. Сайт нагрузки не выдержал и отказался работать.
Кроме того, вирус начинал рассылать себя по всем найденным в компьютерах e-mail-адресам. "Процесс распространения MyDoom начался сразу с десятков тысяч компьютеров,— говорит антивирусный аналитик 'Лаборатории Касперского' Александр Гостев.— В данном случае группа вирусописателей в течение некоторого времени создавала распределенную сеть 'зомби-компьютеров', зараженных 'троянцем', позволяющим удаленно управлять машиной. Когда количество этих компьютеров достигло нескольких десятков тысяч, им была дана команда начать рассылку вируса". Таким образом, если пользователь открывал файл, то вирус рассылался еще минимум на десяток компьютеров. В итоге за несколько часов своего существования MyDoom заразил более 500 тыс. компьютеров, а к 30 января британская антивирусная компания Mi2g заявила уже об 1,2 млн зараженных компьютеров.
Для аналогии можно представить себе 1,2 млн квартир, хозяева которых одновременно желают отправить десять срочных поздравительных телеграмм в разные концы мира. Только подумайте, сколько почтальонов, почтовых машин, поездов и самолетов для этого нужно! Даже работая сообща, все почтовые службы не сумеют справиться с такой нагрузкой вовремя, и скорость доставки корреспонденции существенно снизится. По такому же принципу заметно снизилась скорость работы интернета, когда одновременно с миллиона компьютеров отправлялись десятки зараженных MyDoom сообщений. Электронная почта не приходила часами, а сайты либо не открывались вообще, либо открывались крайне медленно. Огромное число людей часами стирали весь этот "мусор". Сотрудники гигантских корпораций теряли рабочее время, компании несли громадные убытки. По разным оценкам, ущерб от MyDoom составил от $3 млрд до $26 млрд. Для сравнения: ущерб от почтового червя Sobig, предыдущего рекордсмена нескольких последних лет,— всего около $1,6 млн. Таким образом, авторы и распространители вирусов совершили заметный скачок, что подтверждают эксперты. Так, по мнению главы представительства Panda Software в России Константина Архипова, "это самая серьезная эпидемия за всю историю интернета".
Великие потомки
Спустя несколько дней стало известно о появлении новой версии вируса MyDoom — MyDoom.B. Предполагалось, что атака новой версии будет идти по аналогичному с MyDoom.A сценарием, но уже в совершенно иных масштабах. Первая атака осуществлялась одновременно с сотен тысяч компьютеров, в которых вирус проходил инкубационный период. MyDoom.B должен был действовать с использованием более чем миллиона компьютеров, уже зараженных первой версией вируса. "В случае атаки MyDoom.B вирусная эпидемия может парализовать каналы передачи данных во всем мире и вызвать массовые отключения почтовых серверов, что приведет к серьезным перебоям в интернете в целом",— говорили специалисты из "Лаборатории Касперского".
К счастью, этого не случилось: видимо, первая волна эпидемии MyDoom настолько перепугала пользователей, что они срочно поставили себе модернизированную антивирусную защиту и стали осторожнее относиться к подозрительным письмам. Однако вирусописатели не остановились.
11 февраля антивирусные компании сообщили, что в интернете появился потомок MyDoom, получивший название DoomJuice. Новый вирус попадал на такие компьютеры, где MyDoom успел открыть виртуальные порты — некие радиочастоты, которые компьютерные приложения используют для работы с интернетом. Таким образом, для попадания в компьютер этому вирусу не нужна была почта, и заражение происходило вообще без какого-либо оповещения пользователя. А 27 февраля начала распространяться еще одна версия MyDoom — MyDoom.F, впервые наделенная деструктивной функцией в прямом смысле. Попадая на компьютер через почту, этот вирус выборочно стирал различные файлы — картинки, видеоролики, документы, таблицы. Тем самым программа оправдала свое название, восходящее к известной своей агрессивностью компьютерной игре, нанося реальный вред пользователям.
Мой компьютер — моя крепость
К счастью, все последующие версии вирусов после MyDoom.A не нанесли существенного ущерба. Большая часть пострадавших пользователей и компаний быстро поставили программы, помогающие защититься от компьютерной заразы. Это антивирусы, постоянно следящие за всеми системами на компьютере, а также специальные фаерволлы, предназначенные для того, чтобы нельзя было воспользоваться портами, как это делал DoomJuice.
Но, увы, о необходимости ставить такие программы знают далеко не все. Число людей, имеющих компьютер, по всему миру превышает миллиард (из них пользуются интернетом около 500 млн) и постоянно растет. Новички, которые только приходят в интернет, не будучи знакомы с действием вирусов, не задумываются о необходимости антивирусов. "Достаточно следовать нескольким золотым правилам компьютерной гигиены, чтобы почти полностью обезопасить свои данные от вирусов,— говорит Денис Зенкин из 'Лаборатории Касперского'.— Но быстро растущая армия интернет-пользователей за счет новых членов в целом пренебрегает простейшими правилами защиты. Вынужден признать, что это провоцирует молниеносное распространение вирусов. На мой взгляд, недалек тот день, когда каждому человеку в сети необходимо будет получить интернет-права наподобие водительских. В противном случае нас скоро ждет хаос, подобный тому, если бы сейчас на автодорогах отменили регулирование".
ИВАН БУРАНОВ