2000 Год – поворотная точка.
В 2000 году происходят очень важные изменения на мировом “вирусном поле”. Можно сказать, что вирусмейкеры угадали с заменой. На свет появляются новый тип вредных кодов – сетевые черви. В это же время появляется супервирус – “Чернобыль”. Идеи, воплощенные в нем, вызывают восхищение антивирусных экспертов и по сей день.
“Чернобыль” это не просто исполняемый вирус под Windows. В нем заложены действительно красивые приемы и решения. Во-первых, зараженный файл не меняет своего размера по сравнению с первоначальным вариантом. Такой эффект достигается благодаря структуре исполняемых файлов Windows: каждый exe-файл разбит на секции, выровненные по строго определенным границам. В результате между секциями почти всегда образуется небольшой зазор. Хотя такая структура приводит к увеличению места, занимаемого файлом на диске, она же позволяет существенно повысить скорость работы операционной системы с таким файлом. “Чернобыль” либо записывает свое тело в один такой зазор (если тело туда помещается), либо дробит свой код на кусочки и копирует каждый из них в пустое место между границами. Результатом этой идеи являются: антивирусу сложнее определить, заражен ли файл или нет, и еще сложнее вылечить инфицированный объект (сложнее, имеется в виду, по сравнению с другими способами заражения файлов). Во-вторых, “Чернобыль” стал первопроходцем среди программ, умеющих портить “железо”. Некоторые микросхемы позволяют перезаписывать данные, хранящиеся в их мини ПЗУ. Этим и занимается “Чернобыль”. Результатом такого вандализма является испорченный компьютер, ремонт которого выливается в круглую копеечку. Надо отметить, что “Чернобыль” делает еще и “контрольный выстрел” в зараженный компьютер – на всякий случай он стирает абсолютно все данные с жесткого диска. После того, как широкой общественности стала известна первая “сверх” деструктивная функция данного вируса, какой-то умелец додумался дизассемблировать код “Чернобыля” и выложить его в Интернете. Сегодня имеются сотни модификаций старого “Чернобыля”, каждая из которых только и ждет момента познакомиться с “железом” пользователя. Эти клоны отличаются от “праотца” тем, что портят железо и уничтожают данные не раз в год, а сразу после заражения компьютера. Этот один факт уже достаточен для того, чтобы обзавестись антивирусом.
Интересным фактом является “черная популярность Чернобыля” и сегодня. В феврале 2003 года 0,71% всех обращений в службу технической поддержки Лаборатории Касперского был вызван именно активностью Win95.CIH (это – научное название обсуждаемого вредного кода). То есть данный экземпляр оказался на 11 месте в вирусном хит-параде (20-тка февральских вирусов). Согласитесь, что для вируса созданного три года назад это поразительный результат. В чем же причина? Конечно, новые клоны нашумевшего вредителя появляются довольно часто – вирусмейкеры все лелеют мечту стать знаменитыми. Но ведь и антивирусные компании не дремлют! Любой современный антивирус детектирует любую версию старого “Чернобыля”. Есть только одно объяснение: как и в случае с макровирусами пользователи надеются на “лучшее” и не обновляют базы вовремя. А ведь, чтобы их обновить надо всего лишь выйти в Интернет и нажать одну (достаточно большую) кнопку в меню своего антивируса! Стоит один раз недооценить опасность заражения, как придется платить деньги за ремонт ПК. В корпоративной же среде потеря информации с жестких дисков может вызвать куда более ощутимый ущерб, чем повреждение одной микросхемы.
Но вернемся к 2000 году. С этого года сетевые черви могут смело отсчитывать свою “большую” историю. Произошли существенные изменения в технологиях создания и распространения вирусов. В первую очередь, это касается тенденции приобретения вирусами функции распространения по электронной почте. Согласно статистике службы технической поддержки Лаборатории Касперского, около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно из этого источника. К примеру, по сравнению с 1999 годом рост числа подобных инцидентов составил около 70%. Это связано с тем, что Интернет и электронная почта твердо стали на ноги: сетевая почта превратилась в стандарт бизнес общения. Это привлекло внимание не только пользователей, но и вирусмейкеров. К тому же скорость распространения вирусов через Интернет неизмеримо выше скорости обмена данными на любых носителях.
2000 год еще можно назвать годом “Любовных Писем”. Вирус “LoveLetter”, обнаруженный 5 мая, мгновенно разлетелся по всему миру, поразив десятки миллионов компьютеров практически во всех уголках планеты. Причины этой глобальной эпидемии кроются в чрезвычайно высокой скорости распространения, оригинальных (а кое-где и гениальных) идеях автора. Вирус рассылал свои копии немедленно после заражения системы по всем адресам электронной почты, найденным в адресной книге почтовой программы Microsoft Outlook. Подобно обнаруженному весной 1999 года вирусу Melissa, LoveLetter это делал, якобы, от имени владельца зараженного компьютера, о чем тот, естественно, даже не догадывался. Рассылаемые зараженные вложенные файлы дезориентировали пользователей своим расширением: 'TXT.vbs'. Большинство до сих пор считает, что текстовые файлы не могут содержать вредоносных программ. Это действительно так, однако под фальсифицированным расширением TXT может скрываться все что угодно, в данном случае - программа, написанная на Visual Basic Script (VBS). Дополнительным фактором является гениальность автора: простой ход с точки зрения психологии. Мало кто сможет удержаться, чтобы не прочитать любовное письмо от своего знакомого. Именно на это была сделана основная ставка в процессе разработки вируса.