Компьютерные преступления

"Подарок к Рождеству" и другие вирусы


В середине декабря 1989 года тысячи пользователей компьютеров получили неожиданный подарок к Рождеству - посылку, содержавшую гибкий диск с пометкой "Информация о СПИДе". Многие, не подозревая подвоха, загрузили диск в компьютеры, после чего программа, записанная на этом диске, испортила всю информацию на винчестере и запросила 378 долларов за ее восстановление. Деньги предлагалось направить в абонентский ящик 87-17-44 почтового ведомства Панамы. Конкретные мотивы данного акта вандализма не объявлялись. Когда поползли слухи, что абонентского ящика с указанным номером не существует вовсе, были высказаны предположения, что отправителем посылок является лицо, действительно заразившееся СПИДом и пожелавшее утешиться таким экстравагантным способом. Согласно другой версии, это была месть служащих в ответ на какую-то несправедливость со стороны начальства.

Наконец выяснили, что указанный адрес реально существует, и сейчас, если нельзя сказать, почему было совершено преступление, то можно с достаточной степенью определенности восстановить, как это было сделано. 11 декабря тысячи конвертов с зараженными дисками были отправлены из Лондона по адресам фирм, расположенных на четырех континентах. Среди британских получателей значились Министерство здравоохранения, Фондовая биржа и такие фирмы, как Rolls Royce, Barclays Bank, ICL, Sainsburys и другие. Для рассылки был использован главным образом список адресов, приобретенный в редакции периодического издания PC Business World гражданином Кении Ф. Кетемой, который заявил, что собирается поставлять программное обеспечение из Кении в Великобританию.

В ряде случаев программа срабатывала не сразу, а лишь после неоднократного выключения и повторной загрузки зараженного компьютера (как правило, это нужно было сделать 90 раз). Обычный способ распространения вируса — обмен дискетами между пользователями. Дискета с вирусом AIDC сама активно способствовала дальнейшему заражению, коварно предлагая пользователям, обнаружившим потерю данных, “выход” из создавшегося положения: советовала установить дискету на другой компьютер и переписать ее на жесткий диск.
Доверчивый пользователь следовал совету и обнаруживал, что вторично попался на удочку — и себя не исцелил, и ближнего заразил.

Дэвид Фрост, один из авторов книги “Учебное пособие по компьютерным вирусам”, изданной фирмой Price Waterhouse, считает, что, несмотря на все предосторожности, всегда будет оставаться вероятность заражения. Книга содержит подробные советы по борьбе с вирусными атаками как с точки зрения организации производства, так и с точки зрения программирования. Среди предлагаемых основных мер безопасности — регулярное резервное копирование программ и данных, проверка нового программного обеспечения на содержание вирусов, осторожное обращение с программным обеспечением, полученным из неофициальных источников, таких, как электронные бюллетени, либо полное запрещение использования таких программ. Но главное — это достижение информированности всех пользователей о мерах безопасности и о потенциальных угрозах, учитывая тот факт, что в большинстве случаев вирусы внедрялись и распространялись по вине неграмотных, ни о чем не подозревавших пользователей. Особенно необходимо помнить о том, что авторы вирусов, побуждая пользователей заражать себя и других, проявляют крайнюю изобретательность, пытаются порой даже пробудить в человеке низменные чувства (в случае с дискетой “Информация о СПИДе” использовался шантаж: зарази другого и сам будешь исцелен).

В качестве поучительного примера в книге рассказывается о вирусе SEX.EXE, который развлекает пользователя, выводя на экран порнографические картинки, а заодно и разрушает таблицу размещения файлов его компьютера. Некоторым людям бывает чрезвычайно сложно устоять перед искушением запустить неизвестную программу с таким интригующим именем, как SEX.EXE. Так что в будущем не исключено появление новых вирусов, использующих знание о человеческих слабостях для достижения неблаговидных целей.

К несчастью, мы, возможно, являемся свидетелями эволюции вирусов-шалостей в злонамеренные вирусы. Программы типа вируса “Пятница 13-го”, который разрушил данные многих персональных компьютеров, могут получить более широкое распространение.


Стивен Росс, старший администратор фирмы бухгалтерских услуг и консультаций Delloitte, Haskins & Sells, считает, что до сих пор мы увидели лишь вершину айсберга. “Эпоха вирусов-шутих, не имеющих каких-либо определенных задач или целей, кончается, перед нами — эпоха ориентированных вирусов, — говорит он, — проблема вирусов в перспективе неисчерпаема”.

При создании ориентированных вирусов имеются в виду совершенно конкретные мишени. Такие вирусы встречаются все чаще. Один изготовитель антивирусных программ сообщает о двух недавних угрозах "взрыва" вирусных "мин", которым подверглись крупные фирмы. В обоих случаях звонивший шантажист утверждал, что имеется вирус, который полностью разрушит сеть фирмы. В одном случае угроза была ложной, в другом вирус был обнаружен. В обоих случаях, пока персонал искал эти вирусы, фирмы потеряли много часов работы.

В начале 1989 года дело по ориентированному вирусу дошло до суда, и суд признал Дональда Гина Бурлесона виновным во внедрении компьютерного вируса, который уничтожил примерно на 200 тысяч долларов комиссионных записей, принадлежавших его бывшему работодателю, фирме USPA&IRA. Эта фирма специализируется на торговле средствами безопасности. Он был осужден по законодательству штата Техас (оно вступило в силу за два дня до внедрения вируса), которое говорит о незаконности вмешательства в пользование компьютером, незаконности уничтожения и разрушения компьютерных программ. Прокурор по этому делу сообщил, что общий характер законодательства критическим образом сказался на аргументации обвинения против Бурлесона. Бурлесон, которому угрожало до 10 лет тюрьмы, был приговорен к семи годам условно и штрафу 11 800 долларов - в такую сумму был оценен причиненный ущерб.

Программа Бурлесона относилась к типу вирусов, которые называют "минами замедленного действия" (вирус "Пятница 13-го" еще один пример такой программы). Некоторые эксперты считают, что "мина замедленного действия" и "троянский конь", который внедряется в систему, будучи спрятанным в другой программе, - не настоящие вирусы.




Эти пуристы считают, что вирус это несанкционированная саморепродуцирующаяся программа. Другие предпочитают более широкое определение, по которому вирус - это любая программа, созданная для проникновения в систему пользователя вопреки последнему и незаметно для него с целью помешать нормальной работе системы, вызвать потерю данных или просто вывести на экран сообщение.

Вирус - только последний в серии разрушающих программ, начало которым положили программы типа "троянский конь" и "часовая мина".

В конце 1987 года из Лехайского университета в штате Пенсильвания пришло сообщение о нападении на местные компьютеры программы-вируса. Лехайский вирус распространялся от компьютера к компьютеру, используя в качестве средства передачи зараженную дискету. Заражение вирусом происходило при загрузке компьютера с инфицированного гибкого диска. За короткое время заразились сотни компьютеров. Сначала размножившись, вирус затем проявил свою "троянскую" сущность - уничтожил данные с винчестеров зараженных машин. Программа "троянский конь", названная так по аналогии с древнегреческой легендой, производит одноразовое действие, повреждающее или уничтожающее информацию либо диски при каждом запуске.

Программа "троянский конь" выглядит так, как будто она просто выполняет какую-то одну полезную функцию, но на самом деле программа делает кое-что еще, например, разрушает директорию на диске или портит таблицы размещения файлов. Существенным свойством программы "троянский конь" является то, что она производит разрушения при каждом очередном запуске. Подобно Троянскому коню из древнегреческой мифологии, она маскируется под вполне безобидную программу и может выглядеть как файл с расширением. СОМ или ЕХЕ, предназначенный для графического вывода на экран дисплея, распечатки директории или чего-либо подобного. Такая маскировка обычно продолжается недолго.

Промышленная ассоциация по компьютерным вирусам только за 1988 год зафиксировала почти 90 тысяч вирусных атак на персональные компьютеры.


На самом деле количество инцидентов, связанных с вирусами, вероятно, превосходит опубликованные цифры, поскольку большинство фирм умалчивает о вирусных атаках, опасаясь, что подобная реклама повредит их репутации. Другие фирмы молчат, чтобы не привлекать внимания хакеров. Как заметил администратор фирмы Amway, "лучший способ избежать проблем с вирусами - не болтать о том, что вы предпринимаете во избежание этих проблем".

Это хороший совет, ибо вирусные хакеры уже зашли так далеко, что обмениваются информацией и даже создают подпольные бюллетени, которые позволяют программистам вирусов обмениваться информацией и приемами программирования. По словам Джона Максфилда, специалиста по компьютерной безопасности из Кливленда, некоторые из этих бюллетеней содержат исходные коды вирусов, и программисту-любителю ничего не стоит создать свои собственные мощные токсичные средства.

Пиратские, а также имеющие широкое хождение программы - еще одна благодатная почва для вирусов. Эти программы свободно передаются из рук в руки, как правило, без каких-либо мер предосторожности. Один из наиболее распространенных современных вирусов был запущен через пиратское программное обеспечение из компьютерного магазина в Лахоре (Пакистан), где два брата-пакистанца внедряли вирус в пиратские копии пакетов Lotus 1-2-3, WordStar и других популярных прикладных пакетов. Это делалось для того, чтобы наказать покупателей за приобретение пиратского программного обеспечения. Прежде чем стало известно об этом вирусе, через этот магазин прошли тысячи туристов и бизнесменов, посещавших Лахор.

Джон Максфилд, консультант по вопросам компьютерной безопасности из Кливленда, рассказывает еще более жуткие вещи об опасностях, связанных с пиратским программным обеспечением. По словам Максфилда, пираты-программисты внедряют вирусные программы в бюллетени пиратов-конкурентов, рассчитывая на то, что вирус будет подхвачен и так или иначе попадет в коллекцию программ конкурента, а это в результате подорвет репутацию последнего.



Вероятность получить вирусную программу гораздо меньше, если вы - изолированный пользователь, если вы имеете дело с надежным набором коммерческих прикладных пакетов. Случаи заражения коммерческого программного обеспечения очень редки. Один из первых известных коммерческих пакетов с вирусом - пакет Freehand фирмы Aldus, программа для компьютеров Macintosh. Вирус просто выводил на экран сообщение с пожеланием мира всем пользователям компьютеров Macintosh, после чего сообщение исчезало. Компьютерный вирус был также обнаружен в пакете MegaROM для CD-ROM-дисков компьютеров Macintosh. Оба вируса были быстро обнаружены и не успели повредить систем пользователей. Вирус, заразивший пакет MegaROM, мог бы уничтожить данные, если бы не был пойман. Вирус из пакета Freehand, известный как вирус Мира, - классический пример того, как легко может вирус распространяться. Это началось с того, что Дрю Дэвидсон, программист из Таксона, написал вирус и передал его Ричарду Брэндоу, который поместил вирус на игровые диски, распространявшиеся на собраниях группы пользователей компьютеров Macintosh в Монреале. Марк Кантер взял один из этих инфицированных дисков на собрании и вернулся с ним в свой офис в Чикаго, где он занимался анализом предварительной версии пакета Freehand для фирмы Aldus. Вирус перешел с игрового диска на диск с пакетом Freehand. Кантер отправил диск в фирму Aldus, где он попал на несколько тысяч копий пакета Freehand, предназначенных к поставке.

Резервные копии - это одна из мер защиты против вируса, но она тоже не дает стопроцентную гарантию. Некоторые из данных могут быть поражены вирусом и резервная копия этих данных также может оказаться зараженной. Необходимо проводить проверки на наличие вирусов после восстановления данных с резервной копии.

По сообщениям прессы, недавно австралийские фирмы подверглись нападению вируса "Пинг-понг" ("итальянский" или "туринский" вирус) и новозеландского вируса, который также известен как вирус "marijuana" или "Stoned".


Согласно газете "Курьер мэйл", одна коммерческая фирма в г. Таунсвиль в результате вирусной атаки понесла убытки в миллион долларов. Фирме пришлось закрыться на шесть недель, необходимых сотрудникам для того, чтобы вручную заново ввести в компьютеры всю информацию. Первое, что приходит в голову при прочтении такого сообщения: это очередная "утка". Разве не могла фирма использовать для восстановления информации резервные копии? Однако существует надежное подтверждение того, что данный случай действительно имел место. Здесь мы видим яркий пример, во-первых, неподготовленности персонала к вирусной атаке, во-вторых, плохой организации резервного копирования информации. В один прекрасный день сотрудница агентства по недвижимости, специализирующегося на сдаче в аренду, выполняла резервное копирование информации фирмы на дискеты. Когда она вставила в компьютер первую дискету резервной копии, на экране появилось сообщение "Your PC is now stoned" ("Ваш компьютер тащится"). Не зная, как реагировать на это сообщение, она вынула первую дискету и вставила следующую. Увидев, что сообщение с экрана не исчезло, она по очереди вставила все остальные дискеты резервной копии. В результате все дискеты оказались зараженными.


Содержание раздела