Parszywa Dziesiątka – najgroźniejsze wirusy komputerowe w historii
Na użytkowników globalnej sieci czyha wiele zagrożeń, ale najgroźniejszymi z nich są bez wątpienia wirusy. Te sprytne, niekiedy całkiem „inteligentne” twory cyfrowej ewolucji mogą być potencjalnie wszędzie, czając się na moment naszej nieostrożności, gotowe do ataku.
Przeglądając historię związaną z atakami wirusów (w samym 2008 roku spowodowały ponad 8,5 miliarda dolarów strat), można by z nostalgią westchnąć: „Dziś prawdziwych wirusów już nie ma…”. I nie byłoby to stwierdzenie przesadzone, bo i sam przemysł informatyczny o wiele lepiej radzi sobie z zagrożeniami. W tej chwili najgroźniejszymi aspektami sieci są luki w kodach, dzięki którym cyber-przestępcy mogą dostać się do nieprzeznaczonych dla nich danych. Ale wirusy…kiedyś to były wirusy! Oto 10 najgorszych sieciowych potworów w dziejach.
10. Melissa
Imię odziedziczyła ponoć po egzotycznej tancerce z Florydy, tak przynajmniej twierdzi jej ojciec, David L. Smith. Bazujący na jednym z makr Microsoft Wordu robak rozprzestrzeniał się za pomocą e-maili, które tytułował „Oto dokument, o który prosiłeś, nie pokazuj go nikomu innego”. Raz aktywowany, replikował się do i automatycznie rozsyłał do pierwszych 50-ciu odbiorców z listy adresowej. Puszczony w świat, momentalnie stał się globalnym zagrożeniem, a Smith znalazł się na liście poszukiwanych przez FBI. Po długim procesie, twórca Melissy musiał spędzić 20 miesięcy w więzieniu, zapłacić karę w wysokości 5 tysięcy dolarów oraz otrzymał sądowy zakaz zbliżania się do komputerów. Melissa co prawda nie sparaliżowała Internetu, ale zyskała sławę, jako pierwszy wirus, którym zainteresowała się opinia publiczna.
9. ILOVEYOU
Zaledwie rok po Melissie, kolejne zagrożenie nadciągnęło z malowniczych Filipin. Tym razem robak potrafił replikować się samodzielnie bez udziału osób trzecich, a więc nie trzeba było go uruchamiać, by działał. To już poważne zagrożenie. Podobnie, jak poprzedniczka, podróżował w e-mailach, imitując…list miłosny od tajemniczego adoratora! Wiadomość zawierała załącznik o wdzięcznej nazwie LOVE-LETTER-FOR-YOU.TXT.vbs. Ostatnie trzy litery były kluczowe – to skrót od Visual Basic Scripting – a w tym właśnie języku napisany został wirus. Był znacznie groźniejszy od Melissy: po zainfekowaniu replikował się kilkukrotnie, ukrywając w kilkunastu folderach na dysku; dodawał nowe pliki do kluczy rejestru; podmieniał kilkanaście plików na kopie samego siebie; obok e-maili, korzystał z komunikatora Internet Relay Chat (IRC); automatycznie pobierał z sieci i uruchamiał plik WIN-BUGSFIX.EXE, który był aplikacją wykradającą hasła i przesyłającą je mailem do swojego autora. Wirusa stworzył prawdopodobnie niejaki Onel de Guzman, osądzony za kradzież – Filipiny nie miały wtedy zapisów prawnych dotyczących kwestii cyfrowych. Szacuje się, że ILOVEYOU spowodował łącznie 10 miliardów dolarów strat.
8. Klez
Klez pojawił się pod koniec 2001 roku, stawiając poprzeczkę dla swoich następców bardzo wysoko. Działał klasycznie – infekował przez e-mail, replikował się i rozsyłał do wszystkich kontaktów. Ale jako pierwszy posiadał mutacje. Niektóre z nich potrafiły doprowadzić komputer do stanu całkowitej bezużyteczności, a w zależności od wariacji, Klez działał niczym klasyczny wirus, koń trojański lub robak, powodując zróżnicowane straty i zachowując się inaczej. W najgroźniejszych formach był nawet w stanie wyłączyć oprogramowanie antywirusowe, samemu się pod nie podszywając. Po „podkręceniu” wirusa przez hackerów, Klez potrafił nie tylko rozesłać samego siebie do kontaktów z książki adresowej, ale również podszywać się pod te kontakty, przez co jego możliwości migracji wzrastały do rangi matematycznej X!, gdzie X to liczba kontaktów. Dzięki takiemu zabiegowi był niemożliwy do powstrzymania za pomocą prostego zablokowania konkretnego nadawcy – potencjalnym źródłem mógł być każdy.
7. Code Red / Code Red II
Bliźniaki zawojowały sieć latem 2001 roku, wykorzystując luki w działaniu Windowsa 2000 oraz Windowsa NT. Chodziło o tzw. buffer overflow problem, czyli sytuację, jaka miała miejsce w przypadku przyjęcia przez system ilości danych większych, niż mógł wytrzymać jego bufor, co skutkowało nadpisywaniem pamięci będącej „w sąsiedztwie”. Pierwszy Code Red atakował z wykorzystaniem DDoS (denial of service – atak mający na celu zajęcie wszelkich wolnych zasobów atakowanego komputera, najczęściej prowadzony z wielu źródeł jednocześnie) i zasłynął włamaniem do systemów Białego Domu. Aby tego dokonać, potrzebny był Code Red II, który po zainfekowaniu systemu przejmował kontrolę nad komputerem. Dzięki temu hackerzy tworzyli armię tzw. komputerów-zombie, pozwalających na przeprowadzanie ataków DDoS. Bardziej odporne na działanie bliźniaczych wirusów był Windows NT, który co najwyżej zawieszał się częściej, niż zazwyczaj, ale nic poza tym.
6. Nimda
Kolejny twór szalonego 2001 roku. Peter Tippett z zajmującej się bezpieczeństwem firmy TruSecure twierdzi, że odstęp czasowy pomiędzy wpuszczeniem Nimda do sieci, a osiągnięciem przez niego pierwszego miejsca w ilości przeprowadzonych ataków wynosił…22 minuty! Jego głównym celem były serwery. Infekował, co prawda, również komputery osobiste, ale prawdziwym celem było maksymalne spowolnienie globalnego ruchu sieciowego. Rozprzestrzeniał się różnymi drogami, ale to oczywiście e-maile pozwoliły mu na błyskawiczną migrację w Internecie. Na zainfekowanych maszynach tworzył tzw. backdoory, czyli dosłownie „tylne drzwi”, którymi hacker mógł wejść do systemu i uzyskać takie same przywileje, jak właściciel. Co ciekawe, jeśli osoba korzystająca akurat z komputera miała np. ograniczony dostęp, hacker również miał ograniczony dostęp. Jeśli jednak trafiło na administratora, zyskiwał całkowitą kontrolę. Docelowo, Nimda był używany oczywiście do ataków typu DDoS.
5. SQL Slammer/Sapphire
Uderzył w styczniu 2003 roku, paraliżując wiele z najważniejszych podmiotów amerykańskiej gospodarki – Bank of America, Continetnal Airlines, a nawet alarmowy umer 911 w Seattle. Zanim producenci oprogramowania antywirusowego stworzyli odpowiednie łatki, Sapphire zdążył spowodować ponad miliard dolarów strat. Kiedy tylko zainfekował pierwszy serwer, każdej sekundy podwajał liczbę ataków, co zakończyło się infekcją połowy kluczowych dla działania Internetu serwerów w mniej niż kwadrans. Dzięki wirusowi, użytkownicy oraz producenci oprogramowania nauczyli się jednej cennej lekcji – ważne jest nie tylko regularne aktualizowanie narzędzi ochronnych, ale również gotowość na natychmiastową reakcję w przypadku krytycznego zagrożenia. A takim był właśnie Sapphire.
4. MyDoom (Novarg)
Ten wirus był o tyle niebezpieczny, że uśpiony. Pierwotna wersja MyDoom miała zaimplementowane dwa „spusty” - pierwszy odpalił 1 lutego 2004 roku, przeprowadzając zmasowane ataki DDoS. Drugie odpalenie nakazało wirusowi zaprzestanie rozprzestrzeniania się w dniu 12 lutego 2004 roku. Działał zatem tylko 11 dni, ale to wystarczyło, by przygotować ogromną armię komputerów-zombie. Kolejny atak, nowego już MyDoom, miał miejsce kilka miesięcy później i opierał się na e-mailowej autoreplikacji, przy czym kolejnych adresów wirus szukał nie tylko w książce kontaktów, ale również w wyszukiwarkach internetowych. Zarówno serwery Google, jak i innych dostawców tego typu usług, padły w kilkadziesiąt minut na skutek drastycznie zwiększonego ruchu. W szczytowym momencie, 1 na 12 wiadomości e-mail zawierała MyDoom. Podobnie, jak wspominany już Klez, potrafił on operować z wykorzystaniem algorytmu X! w kwestii podszywania się pod kontakty.
3. Sasser & Netsky
Podium otwiera jeden z najgroźniejszych i najbardziej szkodliwych programów, jakie krążyły po sieci. Autorem duetu Sasser & Netsky był 17-letni Niemiec Sven Jaschan, który wpadł w ręce policji m.in. dlatego, że oba robaki napisane były w podobny sposób, chociaż działały inaczej. Sasser wykorzystywał słabość Windowsa, ale w przeciwieństwie do innych wirusów, nie rozprzestrzeniał się za pomocą e-maili – zamiast tego szukał innych podatnych na atak systemów, kontaktował się z nimi i „instruował”, jak ściągnąć samego siebie. Potencjalne ofiary znajdywał poprzez losowe wybieranie adresów IP z całego świata. Naruszał również struktury systemowe, by nie dało się wyłączyć komputera bez całkowitego odcięcia zasilania. Jego brat bliźniak – Netsky – preferował infekcję z wykorzystaniem mailingu i windowsowych sieci. Podszywał się pod adresy z książek kontaktów, wysyłając wiadomości z załącznikiem ważącym dokładnie 22,016 bajtów. Wykorzystywał model DoS (wspominany już denial of service), by przeciążać systemy. Eksperci ds. zabezpieczeń z firmy Sophos oszacowali, że w pewnym momencie 25% wszystkich wirusów w sieci było mutacjami Netsky'ego. Sven Janschen nie odbył żadnej kary za stworzenie cyfrowych bliźniaków – w chwili procesu był nieletni, więc niemiecki sąd nie mógł skazać go jak dorosłego. Otrzymał jedynie dozór kuratorski na 21 miesięcy.
2. Leap-A/Oompa-A
Zaszczytne drugie miejsce zajmuje wirus, który za cel obrał sobie użytkowników sprzętu Apple, tym samym już dawno obalając mit, że komputery z Cupertino są absolutnie bezpieczne, bo „nikt nie tworzy na nie wirusów”. Trzeba wspomnieć tutaj słynne reklamy, w których Justin „Jestem Makiem” Long punktował Johna „Jestem PC” Hodgmana, przytaczając informacje o ponad 100 tysiącach wirusów mogących zaatakować PC, podkreślając jednocześnie, że Maki są bezpieczne. Generalnie jest w tym wiele prawdy, ponieważ stosowana przez Apple polityka tzw. rezerwatu – zarówno podzespoły, jak i system są zamkniętym środowiskiem – gwarantuje faktycznie wysoki poziom bezpieczeństwa. Co więcej, na rynku od zawsze królowały PC, więc potencjalny atak na użytkowników Maków byłby o wiele mniej skuteczny, bo ograniczony ilościowo. Ale w 2006 roku pojawił się Leap-A, znany również pod nazwą Oompa-A. Korzystał z szybkich wiadomości w iChat, by rozprzestrzeniać się wśród podatnych na atak Maków, by następnie rozesłać siebie do wszystkich kontaktów z listy iChat. Oszukiwał użytkowników podszywając się pod plik obrazu w JPEG. Co lepsze, Leap-A nie powodował właściwie żadnych strat – został stworzony wyłącznie po to, by pokazać, że Maki również są podatne na wirusy, jeśli te są odpowiednio „skrojone”.
1. Storm Worm
Nie mogło być innego zwycięzcy. Wirus pojawił się w 2006 roku, rozsyłając siebie w e-mailach zatytuowanych „230 ofiar śmiertelnych burzy nad Europą” – stąd jego ogólnie przyjęta nazwa. Znany był jeszcze, jako Peacomm i Nuwar. Warto przypomnieć, że w 2001 roku po sieci grasował W32.Storm.Worm, ale był to zupełnie inny, inaczej działający twór. Wracając do Storm Worm z 2006 roku, był on trojanem podszywającym się pod różne programy, nie zawsze te same. Zainfekowany komputer zmieniał w zombie albo w bota, przekazując kontrolę swojemu właścicielowi. Część korzystających ze Storm Worm hackerów wykorzystywało go do tworzenia wielkich sieci botnet, z których rozsyłali całe tony spamu. Wiele wersji wirusa potrafiło dostosować się do bieżących wydarzeń na świecie, np. przed Igrzyskami Olimpijskimi w Pekinie w 2008 roku, rozsyłał siebie w wiadomościach zatytuowanych „nowa śmiercionośna katastrofa w Chinach” oraz „najbardziej śmiertelne trzęsienie ziemi w Chinach”. Maile zawierały link do rzekomego wideo lub artykułu, ale po kliknięciu oczywiście ściągał się Storm Worm. Z perspektywy czasu, to zdecydowanie najbardziej agresywny i rozpowszechniony wirus – w lipcu 2007 roku firma Postini przyznała, że wykryła ponad 200 milionów e-maili noszących w sobie Storm Worm, a były to dane z ataku monitorowanego jedynie kilka dni. Szczęśliwie, nie każda wiadomość zakończyła się ściągnięciem wirusa. Nie jest również trudno wykryć obecnego w systemie robaka – wystarczy regularnie aktualizować oporgramowanie antywirusowe i nie otwierać maili z niewiadomych źródeł.
Ta dziesiątka to jedynie czubek góry lodowej, ale kryterium były największe wyrządzone szkody oraz szybkość, masowość i skuteczność infekcji. W tych dziedzinach nasi bohaterowie są faworytami, chociaż zapewne można by odnaleźć wirusy o mniejszym, niemalże lokalnym działaniu, które wyrządziły o wiele większe szkody, ale jak to w przypadku drobnoustrojów bywa – liczy się ilość zainfekowanych i zasięg.
Źródło: Technologie.ngo.pl