Zдаров, перец! Ты наверняка иногда просиживаешь часы перед ящиком и смотришь всякие там Пепси-чарты, горячие десятки, двадцатки, тридцатки и прочие "дцатки" по MTV. Не забывая, конечно, про всемирные фестивали чукотской музыки в Гренландии и рейтинги участников чемпионата по литрболу Васипупкинского района. У меня есть кое-что поинтереснее твоей Кайли Миноуг. Это "кое-что" заставляет дрожать админов и пользователей по всему миру. Их новые модификации появляются на Земле каждые 18 секунд. Имя этим ужасным созданиям - вири. Так вот оторви свою…свои…свой взгляд от тупого телека и слушай сюда - есть одно важное дело.

Твой Выньдовс наверняка не раз пал смертью храбрых на пути этих маленьких созданий, а AVPишнику настолько изгадили жизнь, что он уже проклинает Касперского, который родил его на свет божий. Твоя мамка перегорала столько раз, сколько лапок у сороконожки на правой половинке, а BIOS от частых перенастроек съехал с ума и теперь требует "инсертить гамбургер в диск драйв "А", говоря при этом, что он "из вери хангри". И с таким компом ты умудрился похакать NASA, ООН и МВФ, переведя все их три миллиарда баксов на счёт благотворительного хора намибийских мальчиков в Новороссийске. Хотя радостный вирмейкер продолжает слать тебе самые новые версии своих вирусов, и в конце концов Нетскейп выдаёт: "Найдено обновление к Melissa. Скачать?".

С другой стороны всегда приятно запустить парочку зверушек на комп к соседу дяде Ване, чтобы потом тот рвал последние волосы под мышками и бился головой о монитор, наблюдая, как какая-нибудь Анна Курникова, признаваясь в любви, стирает все файлы не винчестере. Или напустить троянчиков в МВД и поставить в графе "Их разыскивает милиция" фотку своей любимой училки, а так же её ненаглядного котика и ещё кого угодно.
В общем, вири - братья наши меньшие. Конечно, "вирь мой - враг мой", но при грамотном обращении научить подавать лапу и приносить к постели тапочки можно кого угодно.

И вот сегодня, дорогой дружок, мы с тобой откроем завесу тайны над теми, кто больше всех досаждал нашим врагам за последний год. Иначе говоря, рассмотрим рейтинг самых страшных и разрушительных вирей планеты. Итак, набери в лёгкие побольше воздуха, зажми нос и заткни уши, возьми руки в ноги, закинь на плечи, и вперёд.

2001 год - год Червя…
к дождю, наверное…

Итак, прошёл ещё один год. С ним канули в Лету атаки Мелиссы, I Love You, Aliz`а и прочих разношёрстных вирей. Чтобы бедные голодные юзвери всё-таки помнили, чего они так боялись весь этот год, крупнейшая антивирусная компания Central Command выложила на своём сайте www.centralcommand.com Топ 12 самых разрушительных вирусов прошедшего года. Этот рейтинг получил название Dirty Dozen - "Грязная Дюжина". По этим данным получилось, что больше всего вреда человечеству нанесли интернетовские черви, на втором месте по количеству представителей в Топе файлово-загрузочные вири. Стоит ещё добавить, что расположение вирей по местам довольно субъективно, потому что рейтинг считался по количеству обращений юзеров в СС с тем или иным вирем в процентах. Общее число обращений принималось за 100%. Пояснения к вирусам будут небольшими - тут, я думаю, не нужно показывать схемы поражения файлов, достаточно просто сказать в общих чертах, что они из себя представляют.

Итак, Dirty Dozen за 2001 год.

12. На первом месте с конца ворм Badtrans-A (1% от всех обращений). После заражения разбегается по всем найденным адресам, как любой уважающий себя червь. Прописывается в Выньдосе, в win.ini, изменяет регистры. Потом кладёт файлик с трояном, ворующим пароли - вот и всё действие. Похож на многих таких же вормов по принципу действия и способу заражения. Место в Dirty Dozen получил только из-за очень быстрого распространения по сети.

11. Чуть-чуть покруче оказался W32/Magistr-B (1,1%). Этот файлово-загрузочный вирь известен в основном благодаря своему старшему собрату, но о нём чуть ниже. Используя свой собственный STMP-клиент рассылается по адресам мыл-бокса, Аутлука и Нетскейп Мэссэнджера. Прилетает с ё-мылом в качестве приаттаченного exe, com или bat файла. Потом прописывается в system.ini или win.ini, либо лезет в регистры, поражая в основном exe-файлы. По прошествии некоторого времени, может подтереть win.com или master boot sector, но самая интересная гадость заключается в следующем. Magistr-B заставляет иконки убегать от мыши! То есть ни выделить, ни запустить программу с рабочего стола не представляется возможным, потому что ярлыки начинают панически бояться курсора.

10. Место нумер десять занимает малоизвестный червь VBS/Kakworm или I-worm.Kak (1,3%). Даже не просто червь, а целая небольшая семейка, куда входят и джава-скриптовые вормы. С одной стороны, эти "какающие вормы" охватывают и Ехплорер, и Аутлук, да и сетки забивают будь здоров, но всё же для отдельно взятого компа они не очень опасны. Потому как, заразиться можно, только если ты пользуешь Ехплорер, с тем же Нетскейпом ничего не будет! Это как со СПИДом - используешь презерватив с некоторым количеством дырок - получи вирь, а если нет, то и суда нет. "Триггерная пакость" ворма проявляется 1-го числа каждого месяца, когда после 17 часов вирь выдаёт непонятную мессагу и шатдавнит Выньдовс к чёртовой бабушке.

9. Местом выше расположился известный ворм VBS/SST-A, более часто упоминающийся, как Anna Kournikova (1,5%). Про него уже много говорилось, но всё же повторюсь. Прилетает на мыло с приаттаченным файлом с знакомым многим двойным расширением jpg.vbs. Сам по себе только рассылается по всей адресной книге да прописывается в Выньдосе и лезет в регистры. Но скорость распространения и способность забивать сетки крупных компаний просто поражает. Законное девятое место, но в принципе могло быть и выше.

8. Далее у нас на повестке дня W32/MTX, так же известный, как Apology -B (2,0%). Вирь мощный, довольно старый, но всё ещё опасный. Всем срочно бояться! Смесь трояна и червя, с акцентом на последнего. Эдакий два в одном - шампунь плюс бальзам, а тут ворм плюс троян. Как и известный вирь PrettyPark, использует программу Backdoor для затроянивания и рассылается с мылом по всем адресам. Это ещё что! MTX блокирует все письма, адресованные антивирусным компаниям с заражённого мыл-бокса. Плюс к этому не даёт браузеру соединиться с сайтами этих самых компаний. Расходится по сети не очень быстрыми темпами, но может в считанные часы вывести из строя приличную по размерам сетку. Зверь, что ещё сказать.

7. Намбер севен ещё один червь VBS/Hompages-A (2,6%). Лезет в Выньдос, копируясь в папку Temp, потом, как всегда, рассылается по всей адресной книге. Может ещё поменять стартовую страничку (поэтому и называется Homepages). Сложности возникают только при обнаружении и уничтожении червя, а в остальном - ничего особо оригинального из себя не представляет.

6. В золотой серединке примостился один из самых страшных и один из самых моих любимых вирей W32/Goner (4,1%). Появившись буквально месяц назад, этот червь наделал столько шуму, сколько не снилось ни Мелиссе, ни Aliz`у вместе взятым. Написан он в Израиле в городе Nahariya тремя пацанами (им всего по 16 лет) Suid, ThE_SkuLL и |satan|. Способ проникновения очень хорош - вирь представляет собой е-мыло с приаттаченным файлом с расширением .scr, то есть что-то типа скринсейвера. Такие файлы пропускают многие файерволы. Попав в систему, Goner уничтожает все exe-файлы так или иначе относящиеся к AVP вместе с директориями. Поражает mIRC и распространяется ещё и по Аське (первоначально). Несмотря на то, что трое ребят уже были арестованы израильской полицией, их вирь продолжает бегать по сети, и представляет собой реальную угрозу, особенно по ICQ. В актив Goner`а можно записать ущерб на 6 лимонов баксов, а так же инфицирование рассылки новостей компании Cisco в конце декабря.

5. Пятёрку застолбил за собой старший в семейке Magistr`ов W32/Magistr-A (6,4%). Этот мощный файлово-загрузочный вирь написан в Швеции в местечке Malmo добрым хакером дядей Judges Disemboweler (о чём сам вирь и сообщает). Будучи активированным, рассылается по всем найденным адресам, как и Magistr-B. Однако в отличие от своего младшего братика может стереть все файлы с драйверов компа - вот в этом-то и весь злобный прикол. Лезет почти всегда только в win.ini, ещё может поразить нетовские шары. По своему действию отдалённо напоминает знаменитый вирус CIH (Чернобыль), потому что точно так же долго сидит в компе и только потом начинает веселиться вовсю. Помимо огромного количества поражённых компов по всему миру, себе в актив Магистр записал ещё и инфицирование рассылки новостей с
www.siliconvalley.com, которое имело место в прошлом году (все клиенты получили на комп по вирю).

4. Мы потихоньку подбираемся к тройке лидеров. А пока четвёртое место за очередным вормом Hybris-B (7%). Известность он получил главным образом из-за того, что его творцом был известный бразильский вирмейкер Vecna. Этому вирю уже исполнился год, и он не утратил своих способностей к разрушению. Вообще методы проникновения и заражения похожи на аналогичные у MTX, но действие разнится. Червь заражает библиотеку сетевых функций, перехватывает функции работы с инетом. Ищет адреса мыла и рассылается по ним - всё стандартно. Может ещё покопаться в zip`ах и rar`ах в поисках exe-файлов, при этом прописываясь в них. Одна из модификаций Hybris 24-го сентября каждого года выводит на экран окошко со спиралью, которое практически невозможно закрыть или убрать. Ничего опасного, но работать невозможно.

3. Бронзовой медалью CC наградила файлово-загрузочный вирь W32/Nimda-A (17,6%). Опасная вещь.
Распространяется через мыло, шары и вебсайты. Поражает любой Выньдос от NT до 2000. Вирь написан около полугода назад в Китае - там тоже есть свои профи. Вирус изменяет странички IIS (Internet Information Server) серверов (index.html, main.html и многие другие), применяя джаву. Каждый раз, когда юзверь открывает заражённую страницу в браузере, он тут же получает вирь на комп, сколько раз он бы это ни делал. Nimda умеет ещё и троянить, используя технологию виря Code Red, давая созданному юзеру "guest" права админа. Стоит ещё добавить, что ущерб от всей семейки Nimda наверное скоро перевалит за 2 миллиарда баксов! Среди особо громких заражений присутствует атака Nimda-E на New York Times в начале ноября прошлого года.

2. На второй ступеньке пьедестала с серебряной медалью ещё один ворм Badtrans-B (17.9%). Этот вирь тесно связан со своим собратом, победоносно прошедшим по компам всей планеты в прошлом году, BadtransII. Снова комбинация "червь+троян". Первый рассылается по всей адресной книге - это и ежу ясно, даже тому, который в танке. Второй опять же по сложившейся многовековой традиции ворует пароли, RAS-данные и всё остальное, прописываясь в реестре и давая возможность хацкеру спокойно проникнуть в компутер. Интерес троянца в том, что он содержит так называемого DLL-шпиона - программу, которая следит за текстом, набираемым на клавиатуре. Соответственно, троян отсылает данные хозяину, так что с конфиденциальными признаниями в любви к Биллу Гейтсу поосторожнее. Вирь прописывается в Выньдосе, что, в общем-то, тоже понятно. Своему второму месту Badtrans главным образом обязан DLL-шпиону и той неимоверной скорости, с которой он распространяется по сети и ворует пароли. Не было бы ничего этого, на втором месте в топе была бы
Nimda.

1. И, наконец, первое место. Самым крутым и страшным вирем 2001 года CC признала всё-таки ещё одного червя SirCam-A (22,7%). Этот вирь был создан в Мексике в местечке Hecho en Cuitzeo неизвестным, но умным хацкером чуть более полугода назад. Отличается оригинальным методом маскировки. Недавно по сети блуждали версии SirCam, которые прибегали на мыло в качестве формы для подготовки перехода на единую европейскую валюту евро. При открытии этой формы юзверь автоматически сажал себе вирь на комп. Червь уже успел погулять по таким странам как Россия, США, Великобритания, Германия, Франция, Канада, Испания, Индия, Италия, Турция, Аргентина и продолжает гулять до сих пор. Имея свой собственный STMP-клиент, вирь успешно рассылается по адресной книге Выньдоса. Найдя открытые интернетовские шары, ворм копируется в то место Выньдоса, где он собственно эти шары нашёл, а потом изменяет (не в лучшую сторону) autoexec.bat. Лезет ещё и в Recycled. Короче говоря, использует технологии очень сильно напоминающие LoveLetter и Melissa. Отличается от них тем, что при загрузке компа может стереть ВСЕ файлы из директории Выньдос. Либо же, что менее опасно, может создавать при загрузке компа файл sircam.sys, который с каждым разом будет занимать всё больше места на компе, пока не сожрёт всю память. К широко известным победам СирКама стоит отнести заражение почтового сервиса Hotmail в июле прошлого года, когда майкрософтовская защита подвела, и инфицированными оказались кучи компов.

Вот такой вот победитель.

Оставшиеся 14,8% - это остальные вири, которых, понятное дело, много, и перечислять их всех Central Command не стала.

Злоключение

По Сети сейчас бегает огромадное количество вирей, которые так и жаждут попасть к тебе на комп и проделать операцию, типа "хочешь я угадаю, какой у тебя пароль?". Не меньше и разнообразных Топов, в которых ты можешь лицезреть самых опасных вирей месяца, года или тысячелетия. Глядишь, и когда-нибудь твой вирус VasyaPupkinPipetZ доберётся до вершин хит-парадов, разнеся в пух и прах буржуйские системы. А пока нам остаётся только следить за тем, как папы вирусологии стараются поднять свой вирь как можно выше в Топ 12.
В общем, перчик, кушай кашу, читай "Х" и постарайся всё-таки не открывать письма, в которых какая-нибудь сногсшибательная тёлка пишет тебе: "I Love
You".

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии