Цифровой журнал «Компьютерра» 2013 № 50 (203) - [22]
Фокус заключался в том, чтобы внедрить код в шаблон документа, который загружается всякий раз при запуске, например, редактора Word. Оказавшись в памяти, зловредный код записывает себя в любой документ, открываемый или создаваемый в программе. И если затем этот документ открыть на другом компьютере, то он тоже немедленно заразится. На тот момент у VBA был доступ ко всей файловой системе диска, поэтому вирусы могли с лёгкостью изменять или даже удалять любые пользовательские файлы, что нередко и происходило.
Первым макровирусом считается появившийся в 1995 году Concept, а поскольку антивирусные программы были не готовы к такой угрозе, он быстро получил широчайшее распространение. Сам вирус не причинял никакого вреда, но выводил простое замечание, призванное показать огромный потенциал подобного ПО:
«Sub MAIN REM That’s enough to prove my point End Sub».
Несмотря, однако, на благие намерения автора оригинального Concept, очень скоро появились его неприятные модификации; некоторые из них, например, запароливали доступ к случайным документам. К концу девяностых годов макровирусы стали самым популярным типом компьютерных вирусов. Но потом появился общедоступный массовый интернет, и история приобрела иное направление.
Первый настоящий вирус времён интернета — это, конечно же, Melissa, хитроумный коктейль из макровируса, почтового спама и социальной инженерии. Melissa был написан Дэвидом Смитом, известном в Сети под ником Kwyjibo, и получил название в честь его любимой стриптизёрши.
Технически новый вирус был прост до безобразия: он приходил на компьютер в качестве электронного письма с простым сообщением: «Вот документ, который ты просил… никому не показывай :-)». Во вложении находился документ Word, заражённый макровирусом. Поскольку письма рассылали другие заражённые машины, многим казалось, что они действительно приходят от коллег, старых знакомых или друзей. В результате Melissa стал одним из самых быстрораспространяющихся вирусов за всю историю.
Встроенный в Melissa макровирус немедленно проникал в адресную книгу Outlook и всем рассылал свои копии, и на этом деструктивная функция оригинальной версии заканчивалась. Разве что когда дата совпадала со временем в минутах в системных часах, он начинал вставлять в любой редактируемый документ цитату из мультсериала «Симпсоны»:
«Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here».
Однако, как вы догадались, модифицированные версии Melissa были уже не столь безобидны и занимались традиционными для вирусов делами, в том числе модифицировали и удаляли системные файлы.
Известный вирус, «признававшийся в любви», был написан в 2000 году филиппинцами Рамонесом и Гузманом и нанёс мировой экономике ущерб в размере около $10–15 млрд, за что и попал в Книгу рекордов Гиннесса как самый разрушительный вирус на тот момент. При этом его создатели, которые впоследствии предстали перед судом, не понесли никакого наказания, поскольку тогдашнее законодательство Филиппин вообще не предусматривало ответственности за написание вредоносного программного обеспечения.
ILOVEYOU использовал ту же схему почтового распространения, что и Melissa, а сообщение гласило: «Пожалуйста, посмотри приложенное ПИСЬМО ЛЮБВИ от меня». Однако во вложении находился уже не документ Word, а замаскированный под текстовый файл скрипт с двойным расширением LOVE-LETTER-FOR-YOU.TXT.vbs. И если пользователь видел расширение TXT, то VBS по умолчанию скрывалось, как расширение скрытых системных файлов. В свою очередь, сценарии VBS исполнялись с помощью компонента Windows Scripting Host, который имел практически полный доступ к системе и был включён по умолчанию.
В отличие от предшественников, ILOVEYOU не только рассылался по всем контактам Outlook, но и вёл себя как настоящий троянец, пытаясь похитить все найденные пароли и отослать их на некий почтовый ящик. Кроме того, он удалял случайные файлы изображений и MP3, заменяя их фальшивыми файлами с копией вирусного кода, подменял системные файлы, прописывался в реестре и размножался с каждой перезагрузкой Windows.
Вирус Anna Kournikova, появившийся годом позже, использовал ту же технику маскировки расширения вложения: вместо фотографии известной теннисистки жертва получала очередной зловредный сценарий.
В 2001 году родилось новое поколение компьютерных вирусов, которые пользовались уязвимостями в разных операционных системах и программах Microsoft. Самым известным из них стал Code Red, который поражал веб-серверы, работающие на основе Microsoft Internet Information Server (IIS). Этот зловред непосредственно не воздействовал на клиентские машины, но настолько замедлял интернет-трафик, что фактически блокировал доступ ко многим веб-сайтам.
«Красный код» действовал предельно просто: подключаясь к машине с запущенным IIS, он вызывал переполнение буфера и делал её неработоспособной. Кроме того, если в качестве языка такого сервера был установлен американский английский, то на главную страницу сайта выводилось сообщение, что он якобы взломан китайцами — которые на самом деле вряд ли имели отношение к Code Red.
