Первые случаи массового заражения
🕛 10.02.2009, 12:40
Как уже отмечалось, в 1987 г. в разных местах, независимо друг от друга были зарегистрированы три случая массового заражения клонов IBM PC компьютерными вирусами.Первым Вирусом-87 был так называемый Пакистанский вирус, разработанный братьями Амджатом и Базитом Алви (Amdjat и Basit Faroog Alvi) в 1986 г. Он был обнаружен летом 1987 г. По непроверенным (и, вероятно, завышенным) данным, приведенным Маккафи (McAfee) [McAfee89b], он заразил только в США более 18 тысяч компьютеров. Этот бутовый вирус создан в основном Амджатом - 26-летним выпускником отделения физики Пенджабского университета, который, по его заявлению, пытался наказать американцев, покупавших дешевые незаконные копии программ в Пакистане. Амджат утверждает, что по пакистанским законам свободное копирование не является преступлением, и хотя он не одобряет такое положение вещей, вынужден с ним мириться и не может наказывать других. Поэтому он не продавал зараженные вирусом незаконные копии пакистанским покупателям. Другое дело - американцы, у которых существуют законы, запрещающие пиратство. Их, по его мнению, стоило проучить. К середине 1987 г. братья признали, что уже достаточно проучили пиратов и прекратили распространение вируса. Однако вирус уже сумел распространиться по США, а оттуда попал в другие страны, в том числе и в СССР. Кроме того, начали появляться штаммы с измененными текстовыми сообщениями и свойствами.
Вторым Вирусом-87 стал Лехайский вирус, появившийся в ноябре 1987 г. в одноименном университете США. В течение нескольких дней этот вирус уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет студентов [Wyk89]. По данным Маккафи, опубликованным в журнале Datamation [McAfee89b], по состоянию на февраль 1989 г. только в США этим вирусом было заражено порядка четырех тысяч компьютеров. Следует отметить, что, учитывая склонность Маккафи искажать данные в выгодную для него сторону, к приводимым им цифрам нужно относиться критически, уменьшая их примерно в пять раз.
Перед самым Новым годом, 30 декабря 1987 г., был обнаружен вирус в Иерусалимском Университете (Израиль). Хотя существенного вреда этот вирус не принес, он быстро распространился по всему миру (по данным Маккафи, более 3 тысяч зараженных компьютеров только в США) и, по-видимому, является первым вирусом, распространение которого приобрело характер пандемии [Radai89].
В том же 1987 г. в издательстве Data-Becker вышла монография Р.Бургера "Компьютерные вирусы". Она выдержала несколько переизданий, переведена на английский язык, а в 1989 г. - на русский язык [Burger88]. Автор неосторожно включил в книгу ряд исходных текстов демонстрационных программ вирусов на разных языках и листинг так называемого венского вируса (C-648.VEN). Такой, чрезмерно расширенный, несмотря на изменившуюся ситуацию, уровень "гласности" дает основания рассматривать роль данной книги как весьма противоречивую. В частности, она сыграла роль распространителя вируса С-648.VEN, поскольку в книге был помещен его комментированный исходный текст.
Свой вклад в распространение вирусов внесли и некоторые журналы. Так, журнал "C't" в том же году опубликовал код вируса "уголек" для ПЭВМ Atary ST и фаг к этому вирусу [Krabel87]. Вскоре этот вирус проник в компьютеры издательства Data-Becker, а затем и на дистрибутивные дискеты, распространяемые этой фирмой. К счастью, он был быстро обнаружен и уничтожен.
В 1988 г. проблема защиты программного обеспечения от заражения компьютерными вирусами в странах США и Западной Европы приобрела характер приоритетной. Это прежде всего связано с тем, что в условиях значительной зависимости различных учреждений от компьютерных систем, проникновение вирусов представляет потенциальную опасность и может привести к серьезным последствиям. Например, летом 1988 г. компьютерный вирус инфицировал три компьютера в Мичиганском госпитале, которые обрабатывали информацию о пациентах. Он был обнаружен в процессе анализа причин неправильного функционирования системы, заключавшейся в том, что на дисплей неверно вызывались расширенные диагностические сведения. По данным администрации госпиталя, вирус перемешал фамилии пациентов в базе данных ПЭВМ Macintosh II. Как показало расследование, вирус был занесен при ремонте винчестера одного из компьютеров. К счастью, никому из пациентов не был поставлен неправильный диагноз или назначено неправильное лечение в результате перемешивания фамилий пациентов в базе данных. Однако, по мнению специалистов, это был вопрос времени и вполне мог стоить кому-то жизни. Данный случай является вторым случаем вторжения в медицинские компьютеры (первый был связан с проникновением кракеров, которые просматривали базу данных, но не нанесли никакого ущерба) и первым случаем, когда настоящие данные пациентов и диагностирования манипулировались вирусом [Zajac89c].
Из компьютерных Вирусов-88 отметим вирус падающих букв и "итальянский попрыгунчик", распространение которых также приняло характер эпидемии. Особое внимание общественности привлек так называемый вирус Морриса: 2.11.88 г. Роберт Моррис-младший, аспирант факультета информатики Корнеллского Университета, инфицировал с помощью написанного им вируса большое количество компьютеров (по ориентировочным оценкам порядка 6000), подключенных к американской национальной сети Internet (не путать c распространенной локальной сетью Ethernet) [Highland89b]. Хотя никакой потери или изменения данных не произошло, многие тысячи часов рабочего времени были потеряны пользователями Internet.
Это событие вызвало значительную реакцию американской и мировой прессы, включая советскую. Так, ведущие американские газеты, включая "Чикаго Трибьюн", "Нью-Йорк Таймс" и "Бостон Геральд", опубликовали репортажи с места события. Ими широко освещалась динамика распространения вируса и разработка методов борьбы с ним, а также затрагивались общие проблемы обеспечения безопасности компьютерных систем. Позднее в аналитических статьях по этому поводу обсуждались нерешенные проблемы, относящиеся к вопросам безопасности компьютерных систем, и предлагались законодательные инициативы, направленные на предотвращение подобных случаев в дальнейшем. В частности, не без влияния этой серии публикаций в палате представителей были внесены два проекта законов, предусматривающих уголовное наказание за создание и распространение компьютерных вирусов.
Помимо информации типа "как это было" и "то ли еще будет", в американской прессе широко обсуждался вопрос о том, как квалифицировать поступок Морриса: является ли Моррис героем-хакером, который без нанесения серьезного ущерба указал на слабые места в национальной компьютерной сети, или он является преступником, который должен быть сурово наказан. При этом характер обсуждения и поляризация мнений в некоторой степени напоминали дискуссии по поводу известного всем нам случая с посадкой Руста на Красную площадь. Вскоре Моррис был отчислен из Корнеллского университета.
Министерство юстиции США довольно долго изучало вопрос о возможности привлечения Морриса к суду на основе действующего законодательства, и только 18 января 1990 г. в городе Сиракьюс (штат Нью-Йорк) начался судебный процесс по делу Морриса. Нанесенный ущерб был оценен в 150 тыс. долларов. Процесс над Моррисом стал возможен в результате принятия в 1986 г. федерального закона об ответственности за преступления, связанные с компьютерами (1986 U.S. Computer Fraud and Abuse Act). Моррису грозил штраф в 250 тыс. долларов и тюремное заключение сроком до 5 лет. Адвокат Морриса утверждал, что тот якобы создал вирус для проведения эксперимента по проверке защиты компьютера. При этом он допустил ошибку, которая и привела к нежелательным результатам. Моррис, по словам адвоката, не стремился нанести какой-либо ущерб компьютерным системам США. Интересно отметить, что в интервью репортеру одной из американских газет мать Морриса упомянула тот факт, что роман "The Shockware Rider" Джона Бруннера был одной из наиболее зачитанных книг в комнате юного Морриса. 4 мая 1990 г. суд присяжных признал Морриса виновным. Он был приговорен к условному заключению сроком на два года, 400 часам "общественных работ" (американский аналог отечественных 15 суток) и штрафу размером 10 тыс. долларов. Осуждение Р.Морриса-младшего показывает, что американское общество уже осознает опасность и предпринимает меры по борьбе с ней.
В 1989 г. панику в США и западноевропейских странах вызвали вирусы DATACRIME, которые запрограммированы так, что, начиная с 12 октября, они форматируют первые треки винчестера, разрушая файловую систему, а до этой даты просто размножаются. Эта серия компьютерных вирусов, состоящая, как полагают, из трех программ ("Дейтакрайм 1, 2, 3"), начала распространяться в Нидерландах, США и Японии приблизительно в начале 1989 г. и к сентябрю поразила, по некоторым оценкам (которым, впрочем, не стоит особенно доверять), около 100 тысяч ПЭВМ только в Нидерландах (что составляет около 10% от их общего количества в стране). Даже фирма IBM отреагировала на эту угрозу, выпустив свой детектор Virscan, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файлах, хранящихся на жестком или гибком диске. Набор сигнатур может дополняться и изменяться пользователем. В нашей стране в 1989 и 1990 гг. случаев заражения данным вирусом не отмечалось; потенциальную опасность представляет 12.10.91 г.
В начале августа 1989 г. в Амстердаме состоялся международный съезд хакеров, в ходе которого были продемонстрированы "дыры" в существующих системах обеспечения безопасности и контроля от несанкционированного доступа. В качестве доказательства своих способностей представители одной из групп кракеров, подключившись к ЭВМ местного банка, получили 270 тысяч франков. Вернув на следующий день эту сумму наличными, кракеры продемонстрировали уязвимость системы защиты банковских компьютеров.
Еще одной нашумевшей историей была так называемая AIDS Information Trojan - троянская программа, распространявшаяся в декабре 1989 г. в составе пакета с базой данных о заболевании синдромом приобретенного иммунодефицита (СПИД). Как программа, так и база данных были записаны на дискете, которая была разослана 20 тысячам заказчиков, включая ряд медицинских и общественных организаций США, Франции, Великобритании, ФРГ, Дании, Норвегии, Швеции и многих других стран. Затраты на рассылку составили порядка 200 тыс. долларов. Все адресаты получили по почте посылку с упаковкой данного продукта, на которой указывалось его назначение, а на обратной стороне крайне мелким шрифтом были набраны условия распространения. Сопроводительное письмо извещало, что на дискете содержатся новые сведения по проблемам СПИДа, но в письме условия использования дискет не указывались. После записи на винчестер, они действительно начали выдавать информацию по обещанной тематике. Однако затем вся информация на винчестере была перекодирована и на экранах появилось требование перечислить сумму в 378 долларов на счет незарегистрированной фирмы в Панаме. В этом случае пользователю якобы будет выслана программа восстановления перекодированной информации. Среди пострадавших были как индивидуальные владельцы компьютеров, так и лаборатории, научные центры, больницы. В некоторых случаях заблокированным оказался итог работы целых научных коллективов. Джозеф Попп, предполагаемый распространитель этой троянской программы, был арестован в феврале 1990 г. в американском штате Огайо. Если эксперты подтвердят его психическую полноценность, ему не миновать тюремного заключения за проведение этой операции по "вирусному рэкету".