В двух наших предыдущих материалах мы затронули тему компьютерных вирусов. В первом мы затронули тему появления вирусов как таковых, рассказали, что из себя представляли самые первые образцы ПО подобного толка и с какой целью они вообще были созданы. Во втором материале речь пошла о Petya - вирусе, который за последние десять лет стал самой большой угрозой безопасности для постоянных пользователей сети Интернет. И хоть в статье про Petya мы и упомянули, что предполагаемый ущерб от данного вируса составил примерно 10-12 МИЛЛИАРДОВ ДОЛЛАРОВ (согласитесь, сумма немаленькая), есть еще два вируса, которые смогли нанести больше ущерба. И имя этим двум гигантам ILOVEYOU и Mydoom.
Готовы поспорить, что об этих двух слышали единицы, и это неудивительно - если тот же Petya появился в эпоху повсеместной доступности Интернета, когда чуть ли не каждый первый человек является активным пользователем Интернета, то ILOVEYOU и Mydoom поразили Интернет в начале нулевых, когда Интернет был у единиц, да и эти счастливчики не могли проводить в нем слишком много времени - до наступления эры безлимитных тарифов еще, как минимум, пять-шесть лет, Интернет почасовой по карточкам, и тратить время на чтение каких-то там статей про какие-то вирусы - у всех были дела и поважнее!
Начнем с ILOVEYOU, который в Интернете так же знают под именем LoveLetter (англ. Любовная Записка) - вирус, поразивший Интернет в мае 2000 года, представлял из себя почтового червя, который распространялся через различные почтовые клиенты. Зараженные письма имели тему «ILOVEYOU», а в содержимом имелось вложение под названием «LOVE-LETTER-FOR-YOU.TXT.vbs» В те времена люди не обладали таким высоким уровнем киберграмотности, что такое фишинг многие даже и не подозревали, и в большинстве случаев адресаты открывали файл во вложении.
Попав в систему, ILOVEYOU первым делом открывал доступ к адресной книге Microsoft Outlook и рассылал самого себя всем имеющимся контактам, обеспечивая дальнейшее самокопирование. Это позволило ему распространиться настолько быстро, что буквально через пару дней вирус поразил около 3.4 миллионов компьютеров по всему миру.
Но в чем же именно было вредоносное воздействие червя?
Так как расширение файла в системе Windows тех времен по умолчанию было скрыто, и пользователи видели не полное название файла «LOVE-LETTER-FOR-YOU.TXT.vbs», а только «LOVE-LETTER-FOR-YOU.TXT», они воспринимали его как обычный текстовый файл, в то время как система распознавала его как скрипт, написанный на языке VBScript. При открытии вложения вирус тут же получал доступ к системному реестру и начинал наводить хаос в системе - удалять файлы, дублировать их пустыми ярлыками, заменять их на другие. В некоторых случаях могли быть поражены важные системные файлы, что приводило к повреждению целостности системы, после которого требовалась переустановка всей системы. Естественно, подобный механизм позволил ILOVEYOU застопорить работу не только домашних компьютеров, но и устройств, расположенные в офисах крупных компаний. Пострадали многие СМИ, радиостанции, рекламные агентства, а даже оборонные системы США.
Естественно, после того, как стало ясно, что появился новый вирус, который активно использует имеющиеся в Windows уязвимости, компании, производящие антивирусное ПО, начали совершенствовать свои продукты, но увы - это заняло некоторое время, что позволило вирусу распространиться еще больше. В конечном итоге пандемия ILOVEYOU была остановлена примерно к концу мая 2000 года. Но письма, зараженные ILOVEYOU, до сих пор летают по Интернету - о последнем случае получения подобного письма стало известно в августе 2019 года. Прошло слишком много времени, антивирусные программы и операционные системы стали во много раз более совершенными, поэтому данные письма больше не представляют никакой угрозы - они словно чума, которая в Средние Века убивала людей миллионами, но теперь не представляет никакой серьезной угрозы.
Создателя ILOVEYOU не удалось идентифицировать - известно лишь, что вирус был загружен в Интернет с компьютера, находящегося в одном из университетов в Филиппинах. Именно по этой причине основной очаг цифровой пандемии располагался в Азии, но вирусу удалось выбраться далеко за ее пределы. Именно по этой причине он находится на вирусом номер ДВА в топе самых разрушительных вирусов - ущерб от ILOVEYOU по разным источникам оценивается в сумму от 14 ДО 19 МИЛЛИАРДОВ ДОЛЛАРОВ.
Но даже такая огромная сумма не стала историческим максимумом - меньше чем через четыре года появился тот, кому удалось "побить рекорд" нанесенного ущерба.
MyDoom (англ. Моя Гибель) также известный как Novarg, появился в Интернете 27 января 2004 года и имел некоторые общие черты с ILOVEYOU - он также являлся почтовым червем и во многом его распространение обеспечивал человеческий фактор. Но в отличии от ILOVEYOU MyDoom использовал так называемые Bounce Messages. Их почтовый сервис отсылает отправителю при отсутствии возможности отправить письмо адресату по той или иной причине. MyDoom имитировал данный тип писем, и стоило человеку открыть письмо - его компьютер оказывался заражен.
Стоило вирусу оказаться в системе, он тут же влезал в самые дальние ее углы и начинал переписывать код под свои собственные цели. Во-первых, он перекрывал доступ к большинству сайтов антивирусных компаний и новостных сервисов, а также снижал скорость прогрузки всех страниц в Интернете на 50 процентов. То есть пользователю было весьма затруднительно понять, что же происходит с его устройством и почему оно без причины стало безбожно подвисать. Кроме того при наличии подключения к Интернету зараженное устройство без ведома своего владельца становилось участником DoS-атак на сайты компаний SCO (тогдашнего гиганта на рынке производства программного обеспечения) и Microsoft (в представлении не нуждается). Ну и, конечно же, червь получал доступ к любым имеющимся в системе почтовым адресам и рассылал себя, обеспечивая дальнейшее заражение.
Стоит отметить, что размер вируса составлял всего 30 килобайт, но, несмотря на это, ему удалось в самые кротчайшие сроки заразить не только компьютеры рядовых пользователей, но и сервера крупнейших Интернет-провайдеров по всему миру. Это обеспечивало не локальное, а практически массовое снижение скорости соединения, а в некоторых местах его полное отсутствие. Буквально на следующий день каждое десятое электронное письмо было заражено MyDoom, через два дня - каждое пятое.
Можно сказать, что в какой-то момент MyDoom практически поставил Интернет на колени, так как общее ухудшение качества соединения застопорило работу не только онлайн-структур, но и многих компаний, работающих преимущественно в оффлайне.
Компания SCO, которая понесла наибольшие потери во время цифровой пандемии (ее сайт "сломался" под многочисленными DoS-атаками и не работал почти неделю, что снизило ГОДОВОЙ ДОХОД компании примерно на 7 процентов) , в экстренном порядке начала свое собственное расследование, стремясь обнаружить источник вируса и его слабые места. Дошло до того, что руководство SCO даже объявило денежное вознаграждение за любую информацию о личности создателя вируса в размере 250 ТЫСЯЧ ДОЛЛАРОВ США ( 7 МИЛЛИОНОВ 120 ТЫСЯЧ РУБЛЕЙ по актуальному тогда курсу валюты). Несмотря на все приложенные усилия удалось выяснить только следующее - код вредоносного ПО был скорее всего написан на системе Linux и одно из самых первых писем имело российское "гражданство", что дало возможность предположить, что вирус был родом из России.
Тем временем на третий день пандемии было установлено, что MyDoom оставляет после себя огромную брешь в безопасности устройств, и практически любой человек, обладающий некоторыми навыками, способен получить доступ к информации, расположенной на жестком диске зараженного устройства. По этой причине хакеры всего мира начали массовую охоту за ценными данными зараженных пользователей. Сотни тысяч людей, хранящие данные о своих счетах и платежных операциях, потеряли все до последнего цента. Также становится известно, что в коде вируса установлен таймер, который делает вирус неактивным 12 февраля 2004 года. Это дало людям некоторую надежду - даже если лекарство не будет найдено, вирус должен деактивироваться сам по себе.
Но уже на четвертый день большинство антивирусных программ предоставили обновление, в котором предоставлялась эффективная защита от MyDoom, что перевело заражение сначала в стационарную, а затем и в нисходящую фазу. Сетевой апокалипсис был отменен!
Несмотря на это, вирус жив до сих пор - исследователи из Palo Alto Networks заявили, что в период с 2015 по 2019 год примерно 1,1 процента всех электронных писем, содержащих вредоносное ПО, содержали в себе разные версии MyDoom. Вирус оказался вполне себе самодостаточен и автономен, плюс нашлось огромное количество людей, которые рассмотрели в вирусе недюжий потенциал и начали его всячески апгрейдить.
Активная стадия заражения компьютеров MyDoom длилась меньше недели, но даже за такое короткое время вирусу удалось нанести ущерб в размере 38-40 МИЛЛИАРДОВ ДОЛЛАРОВ, что в 2 раза больше ущерба, нанесенного ILOVEYOU.
