2004

18 января: обнаружен почтовый червь Bagle, положивший начало целому семейству червей с явной криминальной направленностью — он устанавливал троянский прокси-сервер для дальнейшей рассылки спама.

В ночь с 26 на 27 января (по европейскому времени) разразилась эпидемия первой версии почтового червя Mydoom. Эпидемия практически моментально достигла своего пика — очевидно, что изначальное распространение червя велось при помощи спам-технологий посредством массовой рассылки зараженных писем через «зомби-сети». Количество писем было настолько велико, что почтовые сервера многих компаний не выдержали нагрузки и прекратили работу или резко снизили свою производительность. К особенностям этого червя следует отнести то, что он также имел криминальную сущность — так же как и Bagle он устанавливал троянский прокси-сервер для рассылки спама. Плюс к тому на компьютеры устанавливался бэкдор-троянец, позволявший полностью контролировать заражённые машины. И в завершении — начиная с 1-го февраля, червь организовал DDoS-атаку на веб-сайт производителя UNIX-систем SCO (www.sco.com). В результате атаки сайт был «отключён», и компания была вынуждена временно использовать альтернативный сайт (www.thescogroup.com).

9 февраля: эпидемия сетевого червя Doomjuice. Для своего распространения этот червь использовал компьютеры, уже заражённые червём Mydoom. Проникновение в компьютер производилось через сетевой порт, открываемый троянским компонентом Mydoom для приема удаленных команд. Если зараженный компьютер отвечал на запрос червя, то Doomjuice создавал соединение и пересылал свою копию. В свою очередь, установленная Mydoom троянская программа принимала данный файл и запускала его на исполнение. Таким образом, этот червь паразитировал на сети компьютеров, заражённых червём Mydoom.

15 февраля: эпидемия первого червя из серии NetSky. Одной из основных функций этого червя было удаление из системы известных версий червя Mydoom. В последующие варианты NetSky были также добавлены процедуры удаления червя Bagle. В результате в марте 2003 г. в интернете развернулась настоящая война между авторами червей NetSky с одной стороны и Mydoom и Bagle с другой. Всего за 3 часа 3 марта 2004 г. было зафиксировано сразу 5 новых модификаций этих червей. В марте и апреле 2004 г. наиболее «популярные» представители этих семейств составляли 80-90% всего вредоносного трафика в сети. Они удаляли из системы «противника», а в коде червя можно было обнаружить «послания» к противостоящей группировке:

NetSky.c:

we are the skynet — you can’t hide yourself! — we kill malware writers (they have no chance!) — [LaMeRz->]MyDoom.F is a thief of our idea! — -< SkyNet AV vs. Malware >- ->->

NetSky.f:

Skynet AntiVirus — Bagle — you are a looser!!!!

С другой линии фронта поступают ответные «реверансы»:

Mydoom.f:

to netsky’s creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app.

Bagle.i

Hey, NetSky, fuck off you bitch, don’t ruine our bussiness, wanna start a war ?

30 апреля 2004 разразилась сильнейшая эпидемия сетевого червя Sasser. Проникновение в систему шло через дыру в службе LSASS Microsoft Windows, при этом в некоторых случаях компьютеры перезагружались. В результате своего распространения Sasser парализовал работу миллионов компьютеров по всему миру, от него пострадали тысячи крупных и мелких компаний, университеты, государственные учреждения. Некоторые авиакомпании отложили или даже отменили рейсы (British Airways, Delta Air Lines), прекратили работу несколько банков (Goldman Sachs и Westpac Bank), а финский банк Samp закрыл все 130 своих отделений в качестве профилактической меры. На Тайване червь парализовал работу технической выставки Computex и трети почтовых отделений, в Гонконге оставил без компьютеров государственные больницы, остановил железную дорогу Австралии.

Компания Microsoft объявила о готовности заплатить по 250 тысяч долларов за информацию, которая поможет привести к поимке авторов червей Mydoom и Sasser. В результате за создание и распространение червей NetSky и Sasser в мае 2004 г. в Германии был арестован 18-летний студент Свен Яшан (Sven Jaschan). Кто стоял за Mydoom — до сих пор неизвестно.

В 2004 г. появляется сразу несколько «концептуальных» вирусов, которые никакой «полезной нагрузки» не несут (авторы таких вирусов не извлекают из них никакой пользы), а только демонстрируют новые методы заражения. Практически все они были написаны членами международной группы вирусописателей 29A и были разосланы непосредственно в антивирусные компании.

27 мая: Rugrat — первый вирус, заражающий исполняемые файлы 64-битной версии операционной системы Windows.

14 июня: Cabir — первый вирус-червь для смартфонов под управлением операционной системы Symbian. Для своего распространения использовал Bluetooth-соединение: сканировал доступные смартфоны и пересылал на них свой код. Через некоторое время сообщения о заражении вирусом стали поступать из разных стран мира. Таким образом, вирусы «переселились» в совершенно новую для себя «зону обитания».

17 июля: Duts — первый компьютерный вирус для Windows Mobile — одной из наиболее популярных платформ среди мобильных устройств (карманных компьютеров, смартфонов).

5 августа: Brador — первый троянец-бэкдор для карманных персональных компьютеров PocketPC на базе Windows CE или более новых версий Windows Mobile. Первый пример вредоносной программы для мобильных устройств, разработанной в злоумышленных целях.

В конце года появляется первая версия троянской программы Gpcode. Троянец шифровал пользовательские данные и требовал выкуп за утилиту расшифровки.

В целом, начиная с 2004 года, в тех же злоумышленных целях создаётся подавляющее количество червей и троянских программ. «Классические вирусы» практически незаметны на фоне постоянно появляющихся новых версий разнообразных криминальных программ, созданных для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и для распространения спама. Особый размах приобретают банковские атаки — троянские программы, ворующие коды доступа к банковским счетам, и фишинг-атаки, преследующие ту же цель — получить доступ к персональным банковским счетам.

Год 2004 также отмечен активизацией полицейских расследований, которые нередко заканчивались арестами. Всего за разнообразные компьютерные преступления, основываясь на информации из открытых источников, в разных странах было арестовано около ста человек.

С точки зрения «эпидемиологической ситуации» год 2004 можно разделить на две половины. Первая половина года характеризуется многочисленными эпидемиями почтовых червей, но, начиная с лета, их количество и размах заметно спадает. Что привело к таким резким изменениям — можно только догадываться. Скорее всего, сказалось сразу несколько факторов:

  • антивирусные компании научились оперативно реагировать и выпускать защитные обновления, а интернет-провайдеры — не только устанавливать антивирус в обязательном порядке, но и дополнять антивирусную проверку различными фильтрами, и в результате эпидемии почтовых червей не достигали своего возможного пика;
  • многочисленные случаи ареста вирусописателей и объявление денежных премий за поимку наиболее «зарвавшихся» из них были широко освещены прессой — в результате у компьютерного андеграунда заметно уменьшился интерес к «громким делам»;
  • низкая эффективность массовых эпидемий с точки зрения интересов компьютерного криминала — постоянное и контролируемое заражение относительно небольшого числа компьютеров (тысячи, десятки тысяч машин) большим числом разных троянских программ эффективнее, чем заражение миллионов компьютеров одной или несколькими программами.