Дни минувшего железнорудного админа. Часть 3.

О вирусах.

Сколько гуляет в народе баек и реальных случаев заражении их питомцев компьютерными вирусами, просто не счесть. Еще 10 лет назад, чтоб подхватить "вирус", "троян" или "червь" надо было притащить домой или на работу внешний носитель с предварительно записанной вредоносной программой. То сейчас, ввиду распространения глобальной паутины, они спошь и рядом. Вирусы бывают разные (черные, белые, красные), есть несколько классификаций вредоносных программ:

1. По особенности алгоритмов: паразитические, репликаторы, паразитические, мутанты, невидимки, троянские.
2. По способу заражения: резидентные и нерезидентные.
3. По степени воздействия: неопасные, опасные, чрезвычайно опасные.
4. По среде обитания: сетевые, загрузочные, файловые, файлово-загрузочные. 

Как правило, вирусы не наносят ущерб на уровне железа (хотя случаи бывали, в 1999году Чернобыльский вирус сжег БИОС на 300тыс. компьютеров), разработчикам данных программ нет смысла обогащать  производителей компьютерных комплектующих, а вот с антивирусными лабораториями у них тесный симбиоз. Всё как в жизни, вспомните Эболу :( 

Байки про то, как вирус сконцентрировал пучок в электронно-лучевой трубке в один пиксель и сжег несчастному юзеру сетчатку или взрывает мониторы, мы рассматривать не будем. Остановимся на нескольких действительно опасных случаях вирусной эпидемии.

Melissa

26 марта 1999 года был выпущен первый всемирно известный почтовый червь. Червь заражал файлы MS Word и рассылал свои копии в сообщениях MS Outlook. Вирус распространялся с огромной скоростью. Сумма нанесенного ущерба оценивается более чем в $100 млн.

Sasser

В 2004 году этот червь наделал много шуму. Больше всего от вируса пострадали домашние компьютеры и небольшие фирмы, хотя серьезные проблемы испытали и некоторые крупные компании. Только в почтовой службе Германии зараженными оказались до 300 тыс. терминалов, из-за чего сотрудники не могли выдавать наличные деньги клиентам. Жертвами червя стали также компьютеры инвестиционного банка Goldman Sachs, Еврокомиссии, 19 региональных офисов управления береговой охраны Британии. В одном из терминалов лондонского аэропорта Hithrow у авиакомпании British Airways отказала половина всех компьютеров на стойках регистрации пассажиров, а в американском городе Новый Орлеан до 500 больниц были закрыты в течение нескольких часов. Пострадали также социальные и здравоохранительные учреждения в Вашингтоне.

My Doom

Этот червь был запущен в январе 2004 года. На тот момент он становится самым быстрым червем, который распространяется по электронной почте. Каждый последующий зараженный компьютер отправлял спама больше чем предыдущий. Кроме этого, он изменял операционную систему, блокируя доступ к сайтам антивирусных компаний, сайту Microsoft, новостным лентам. Этим вирусом была даже предпринята попытка DDOS-атаки на сайт Microsoft. Одновременно все множество зараженных компьютеров обрушило огромное количество запросов с разных концов света на сайт Microsoft. Сервер направляет все свои ресурсы на обработку этих запросов и становится практически недоступным для обычных пользователей. Пользователи компьютеров, с которых идет атака, играют дальше в косынку, а в это время их комп штурмует Пентагон :)

И мой любимый, с которым пришлось столкнуться лично -

Conficker (NOD32) или Win32.Sality.aa (Касперский)

Впервые появился в сети в 2008 году. Один из опаснейших на сегодняшний день компьютерных червей. Этот вирус атакует операционные системы семейства Microsoft Windows. Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. На январь 2009 года вирус поразил 12 миллионов компьютеров во всем мире. Вирус нанес такой вред, что компания Microsoft обещала 250 000 долларов за информацию о создателях вируса. 

В конце 2008, в начале 2009 года эта нечисть добралась и до нашего скромного управления шахтой. Как он к нам попал, разбираться не было времени, нам оставалось только бороться с последствиями. Первый бой мы проиграли, но не всю войну :) По классификации Sality - файловый вирус, через открытые папки общего доступа он проник в десятки компьютеров по всему управлению. Источник, выявили и устранили, но эта жопа с ручкой успела сделать свое черное дело, обрубил сетевой доступ, отключала безопасный режим, отключала диспетчер задач и редактор реестра, заражала все исполняемые файлы (например, копируешь на такую машину инсталл касперыча, запускаешь, а он уже битый) и создавала туеву хучу своих копий, рекорд 43тыс копий на одной машине. На вооружении стоял NOD32 4.0 и Касперский 7.0. По началу они его вообще не видели, через несколько часов были выпущены экстренные обновления, которые обнаруживали вредителя. Касперский отправлял на карантин, а NOD очищал удалением, вообще красавчик. После такого лечения винда (Windows XP 3SP) вообще не загружалась. Мы продолжали стойко держать оборону. Через 3 дня были выпущены базы, которые позволяли таки лечить зараженные файлы. Огнем и мечом прошлись по всем зараженным машинам. Все зараженные жесткие диски проходили проверку и лечение на моей рабочей тачке, отключенной от сети, с последними вирусными базами. На конец этого марафона, статистика антивируса насчитывала несколько сот тысяч вылеченных объектов. Это была самая напряженная рабочая неделя в моей жизни.