18 января: обнаружен почтовый червь Bagle, положивший начало целому семейству червей с явной криминальной направленностью — он устанавливал троянский прокси-сервер для дальнейшей рассылки спама.
В ночь с 26 на 27 января (по европейскому времени) разразилась эпидемия первой версии почтового червя Mydoom. Эпидемия практически моментально достигла своего пика — очевидно, что изначальное распространение червя велось при помощи спам-технологий посредством массовой рассылки зараженных писем через «зомби-сети». Количество писем было настолько велико, что почтовые сервера многих компаний не выдержали нагрузки и прекратили работу или резко снизили свою производительность. К особенностям этого червя следует отнести то, что он также имел криминальную сущность — так же как и Bagle он устанавливал троянский прокси-сервер для рассылки спама. Плюс к тому на компьютеры устанавливался бэкдор-троянец, позволявший полностью контролировать заражённые машины. И в завершении — начиная с 1-го февраля, червь организовал DDoS-атаку на веб-сайт производителя UNIX-систем SCO (www.sco.com). В результате атаки сайт был «отключён», и компания была вынуждена временно использовать альтернативный сайт (www.thescogroup.com).
9 февраля: эпидемия сетевого червя Doomjuice. Для своего распространения этот червь использовал компьютеры, уже заражённые червём Mydoom. Проникновение в компьютер производилось через сетевой порт, открываемый троянским компонентом Mydoom для приема удаленных команд. Если зараженный компьютер отвечал на запрос червя, то Doomjuice создавал соединение и пересылал свою копию. В свою очередь, установленная Mydoom троянская программа принимала данный файл и запускала его на исполнение. Таким образом, этот червь паразитировал на сети компьютеров, заражённых червём Mydoom.
15 февраля: эпидемия первого червя из серии NetSky. Одной из основных функций этого червя было удаление из системы известных версий червя Mydoom. В последующие варианты NetSky были также добавлены процедуры удаления червя Bagle. В результате в марте 2003 г. в интернете развернулась настоящая война между авторами червей NetSky с одной стороны и Mydoom и Bagle с другой. Всего за 3 часа 3 марта 2004 г. было зафиксировано сразу 5 новых модификаций этих червей. В марте и апреле 2004 г. наиболее «популярные» представители этих семейств составляли 80-90% всего вредоносного трафика в сети. Они удаляли из системы «противника», а в коде червя можно было обнаружить «послания» к противостоящей группировке:
NetSky.c:
NetSky.f:
С другой линии фронта поступают ответные «реверансы»:
Mydoom.f:
Bagle.i
30 апреля 2004 разразилась сильнейшая эпидемия сетевого червя Sasser. Проникновение в систему шло через дыру в службе LSASS Microsoft Windows, при этом в некоторых случаях компьютеры перезагружались. В результате своего распространения Sasser парализовал работу миллионов компьютеров по всему миру, от него пострадали тысячи крупных и мелких компаний, университеты, государственные учреждения. Некоторые авиакомпании отложили или даже отменили рейсы (British Airways, Delta Air Lines), прекратили работу несколько банков (Goldman Sachs и Westpac Bank), а финский банк Samp закрыл все 130 своих отделений в качестве профилактической меры. На Тайване червь парализовал работу технической выставки Computex и трети почтовых отделений, в Гонконге оставил без компьютеров государственные больницы, остановил железную дорогу Австралии.
Компания Microsoft объявила о готовности заплатить по 250 тысяч долларов за информацию, которая поможет привести к поимке авторов червей Mydoom и Sasser. В результате за создание и распространение червей NetSky и Sasser в мае 2004 г. в Германии был арестован 18-летний студент Свен Яшан (Sven Jaschan). Кто стоял за Mydoom — до сих пор неизвестно.
В 2004 г. появляется сразу несколько «концептуальных» вирусов, которые никакой «полезной нагрузки» не несут (авторы таких вирусов не извлекают из них никакой пользы), а только демонстрируют новые методы заражения. Практически все они были написаны членами международной группы вирусописателей 29A и были разосланы непосредственно в антивирусные компании.
27 мая: Rugrat — первый вирус, заражающий исполняемые файлы 64-битной версии операционной системы Windows.
14 июня: Cabir — первый вирус-червь для смартфонов под управлением операционной системы Symbian. Для своего распространения использовал Bluetooth-соединение: сканировал доступные смартфоны и пересылал на них свой код. Через некоторое время сообщения о заражении вирусом стали поступать из разных стран мира. Таким образом, вирусы «переселились» в совершенно новую для себя «зону обитания».
17 июля: Duts — первый компьютерный вирус для Windows Mobile — одной из наиболее популярных платформ среди мобильных устройств (карманных компьютеров, смартфонов).
5 августа: Brador — первый троянец-бэкдор для карманных персональных компьютеров PocketPC на базе Windows CE или более новых версий Windows Mobile. Первый пример вредоносной программы для мобильных устройств, разработанной в злоумышленных целях.
В конце года появляется первая версия троянской программы Gpcode. Троянец шифровал пользовательские данные и требовал выкуп за утилиту расшифровки.
В целом, начиная с 2004 года, в тех же злоумышленных целях создаётся подавляющее количество червей и троянских программ. «Классические вирусы» практически незаметны на фоне постоянно появляющихся новых версий разнообразных криминальных программ, созданных для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и для распространения спама. Особый размах приобретают банковские атаки — троянские программы, ворующие коды доступа к банковским счетам, и фишинг-атаки, преследующие ту же цель — получить доступ к персональным банковским счетам.
Год 2004 также отмечен активизацией полицейских расследований, которые нередко заканчивались арестами. Всего за разнообразные компьютерные преступления, основываясь на информации из открытых источников, в разных странах было арестовано около ста человек.
С точки зрения «эпидемиологической ситуации» год 2004 можно разделить на две половины. Первая половина года характеризуется многочисленными эпидемиями почтовых червей, но, начиная с лета, их количество и размах заметно спадает. Что привело к таким резким изменениям — можно только догадываться. Скорее всего, сказалось сразу несколько факторов:
- антивирусные компании научились оперативно реагировать и выпускать защитные обновления, а интернет-провайдеры — не только устанавливать антивирус в обязательном порядке, но и дополнять антивирусную проверку различными фильтрами, и в результате эпидемии почтовых червей не достигали своего возможного пика;
- многочисленные случаи ареста вирусописателей и объявление денежных премий за поимку наиболее «зарвавшихся» из них были широко освещены прессой — в результате у компьютерного андеграунда заметно уменьшился интерес к «громким делам»;
- низкая эффективность массовых эпидемий с точки зрения интересов компьютерного криминала — постоянное и контролируемое заражение относительно небольшого числа компьютеров (тысячи, десятки тысяч машин) большим числом разных троянских программ эффективнее, чем заражение миллионов компьютеров одной или несколькими программами.