От переводчика: я нашел на Quora вопрос: Какую программу или код можно назвать самыми сложными из когда-либо написанных? Ответ одного из учасников был настолько хорош, что вполне тянет на статью.

Пристегни ремни.

Самая сложная программа в истории была написана командой людей, имена которых нам неизвестны.

Это программа – компьютерный червь. Червь был написан, судя по всему, между 2005 и 2010 годами. Поскольку этот червь является таким сложным, я могу дать лишь общее описание того, что он делает.

Мне кажется, компьютерные вирусы стоит рассматривать, как форму жизни. Это многое говорит о природе человека: единственная форма жизни, которую мы создали к настоящему моменту, несет только разрушения. Мы создаем жизнь по образу и подобию своему.

Стивен Хокинг

Если есть правила, то обязательно найдется и тот, кто захочет их нарушить. То же самое касается и создателей вредоносных программ. Некоторые из них хотят поживиться, другие просто продемонстрировать миру свой талант. Как ни крути, вредоносные программы стали неотъемлемой частью ИТ сферы. Их видовое разнообразие поражает. Некоторые практически безвредны, другие же несут миллиардные убытки для государственных учреждений и частных компаний. В данной статье мы познакомимся с самыми выдающимися и знаменитыми вредоносными программами в истории человечества, начиная с самой первой, в хронологическом порядке.

Спустя 20 лет после того, как в мире произошла первая крупная атака компьютерного вируса, журналисты нашли его создателя и пообщались с ним. Речь идет о филиппинце Онеле де Гузмане, который создал червя ILOVEYOU (Love Bug) для кражи паролей.

Мы уже привыкли к роботам, способным летать, плавать и бегать, а вот теперь исследователи из Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии разработали робота нового типа, способного зарываться в песок. У них получился быстро перемещающийся, мягкий и хорошо управляемый робот, умеющий не только спрятаться в песке но и передвигаться в нём.

Аспирант из лаборатории машиностроения при университете и ведущий автор работы Николас Наклерио пояснил, что самой большой проблемой, с которой они столкнулись при разработке робота – это силы, препятствующие ему передвигаться под поверхностью. Воздух и даже вода сопротивляются не так сильно, как песок и почва – при передвижении под землёй приходится отпихивать среду в стороны.

Однако природа предлагает множество примеров живых существ, способных передвигаться под землёй – от растений и грибов, создающих разветвлённые подземные сети, до животных, научившихся передвигаться в гранулированных средах. Понимание того, как это происходит в природе – ключ ко множеству интересных возможностей, как считает профессор физики Дэниел Голдман из Технологического института Джорджии.

Учитывая недавний спор и требования показать вирус не под Windows, позволю себе небольшой перевод интересного блога Джерома Сегуры, специалиста по безопасности компании ParetoLogic.

Как бы ни был опытен и параноидален человек, всё-равно вырабатывается определённое доверие к сервисам, от которых никогда не было проблем, спама и прочих неприятностей. Сегодня мне пришло уведомление о новом сообщении в Facebook:



Безобидное вроде, от человека опытного и, так сказать, надёжного. Подвоха я не заметил (ссылка на apps.facebook.com, подозрений вообще никаких не возникло), в сообщение особо не вчитывался, ну и открыл ссылку. Видимо он тоже так думал, когда такое получил. В общем как выяснилось это новый интернет-червь, причем действует он изнутри (!) в виде приложения. Понятно, что надо быть бдительным, видимо те, кто минусует пост хотят до меня донести именно это, но тут случай вроде как уникальный, так как приложение не требует никакого дополнительного действия со стороны пользователя, и, как выяснилось, очень даже массовый.

Если вам пришло такое письмо — не заходите на страницу приложения!
Откроете ссылку и мгновенно станете разносчиком заразы.

UPD Черво-приложение удалено из apps.
Интересно как это прокомментируют в Facebook, и прокомментируют ли вообще

UPD2 Детальный анализ червя (eng): blog.kotowicz.net/2010/08/makemelaughnow-analysis-of-new.html
Довольно любопытно, рекомендую ознакомиться. Если кто-то сделает перевод то будет вообще шикарно.
А вот и перевод подоспел от miguello.

Если коротко, то приложение использовало лазейки мобильной версии touch.facebook.com, избегая защиты «песочницы». Цитирую: «Урок, который следует извлечь — не забывайте о мобильных версиях ваших сайтов».

История, стоящая за спиной Stuxnet — червя ориентированного на Иранские атомные электростанции, была описана уже не раз (в том числе и на Хабре) с того момента, как прошедшей весной группа разработчиков из Symantec выпустила этот документ — досье, посвященное этому беспрецедентно сложному творению чьих-то рук. Но видеть — значит верить. И у меня был шанс присутствовать на специальном брифинге в штаб-квартире Symantec, расположенной в Mountain View — California, где Патрик Гарднер, директор их группы безопасности, показывал как все происходило на самом деле. Это был великолепно.

Stuxnet был очень сложной программой, содержащей около 10 000 строк кода, написание которых заняло человеко-годы. Symantec обнаружила первые версии червя примерно за год до настоящей атаки, имевшей место год назад в июне и у них не был ни малейшего понятия о том, что же это такое, до тех пора пока события не начали развиваться на атомном объекте. Они раскололи код командой из трех человек, работавших на полный рабочий день, за несколько месяцев.

Этот софт очень специфичен, и затрагивал отдельный программируемый логический контроллер от компании Siemens, проводящий серию из 9 000 различных центрифуг, используемых для разделения урана. Червь начисто уничтожал около 1000 из них, наносив серьезный ущерб и отбрасывая всю атомную программу Ирана на год, или даже более, назад.

Компьютерная сеть атомной электростанции имеет т.н. «воздушную дыру» между компьютерами используемыми для работы с контроллерами Siemens и обычными компьютерами бизнес-отделения, подключенными к Интернету. Это значит, что компьютеры подключенные к технике от Siemens не имели доступа к внешней сети, что является стандартной и хорошей практикой в сетевой безопасности такого уровня. Как же тогда они оказались заражены червем? Оказалось, в результате человеческого фактора.

Сэми Камка, главный герой истории, не хотел быть «героем» для каждого, он даже не собирался заводить новых друзей. Но благодаря нескольким строчкам умного кода он за сутки стал «героем» и «другом» для более чем миллиона людей.



Все произошло около полуночи 4 октября 2005 года в солнечном городе Лос-Анджелес. Тогда 19-летний хакер Сэми Камка выпустил в сеть нечто, более известное теперь как “червь Samy”. Это был первый самый быстрый и самораспространяющийся вирус, который навсегда изменил мир веб-безопасности.

Несколько месяцев назад исследователь Траммел Хадсон (Trammel Hudson) создал эксплойт под названием Thunderstrike, который мог инфицировать компьютеры Mac через устройства, подключенные через разъем Thunderbolt. При подключении к зараженному компьютеру новых устройств червь записывался на них, таким образом под угрозой оказывались и другие машины.

Apple исправила уязвимость в OS X версии 10.10.2, однако, как сообщает издание Wired, Хадсон и еще один ИБ-исследователь Ксено Кова (Xeno Kovah) разработали новую версию эксплойта и опубликовали буткит и червя, заражающего компьютеры Mac.

Издание Bleeping Computer сообщает о том, что создатели знаменитого трояна TeslaCrypt, который зашифровывал файлы на атакованных машинах, опубликовали мастер-ключ для разблокировки и закрыли проект.

В прошлую пятницу, аккурат под конец дня, когда все администраторы и специалисты по безопасности засобирались по домам и дачам, мир облетела новость о начале беспрецедентной атаке WannaCry. По истечении пары дней уже можно сказать, что не зря название этой атаки ассоциируется с песней Кита Урбана «Tonight I Wanna Cry» («Сегодня я хочу плакать»). Ее масштабы оказались достаточно зловещими — на момент написания число жертв превысило 230 тысяч и это число может вырасти, когда многие вернутся с выходных и отпусков и включат свои домашние и рабочие компьютеры. Мы, в нашем подразделении Cisco Talos, еще в пятницу опубликовали свое исследование данной вредоносной программы и сейчас хотели бы поделиться отдельными ключевыми моментами с пользователям Хабра.

Порой кажется, что ребята из Голливуда считают компьютеры чем-то магическим, изображая хакеров настоящими волшебниками, творящими чудеса. В кино компьютеры с легкостью взрывают небоскребы, отключают электричество в мегаполисах, блокируют работу транспорта и превращают Мэттью Лилларда (фильм «Хакеры») в предмет женского обожания. Но порой показанное на экране действительно соответствует реальности. Мир информационных технологий полон сюрпризов.

Червь и ботнет Mirai (яп. «будущее») в камерах, цифровых приставках (DVR) и других устройствах интернета вещей наделали немало шуму в сентябре-октябре прошлого года. Червь автоматически перебирал стандартные комбинации логин-пароль и сумел распространиться на сотни тысяч устройств (камеры безопасности, маршрутизаторы, цифровые телеприставки и DVR), с которых организовал несколько DDoS-атак. Мощность этих атак намного превышала возможности стандартных ботнетов из ПК, потому что обычные компьютеры гораздо сложнее инфицировать в таком количестве.

Как уже говорилось в предыдущей части — вирусы это неотъемлемая часть мира компьютерных технологий и Интернета. Они бывают разные: забавные и безвредные, большие и сложные, быстрые и разрушительные, шпионские и даже диверсионные. Создатели этих программ явно обладают светлым умом, но не всегда чистой совестью. Сегодня мы познакомимся с вирусами, которые не вошли в подборку предыдущей части. Поехали.

Ошибка в обработке изображений, обнаруженная в кроссплатформенном пакете OpenOffice, опасна даже пользователям систем, традиционно считающихся защищенными — Linux и Mac. Windows, разумеется, тоже.

Согласно сообщению нескольких антивирусных контор, а также официальному заявлению Виллу Арака (Villu Arak), пресс-секретаря Skype Inc., вчера, 10 сентября, пользователи в очередной раз столкнулись с вирусной атакой, организованной неизвестными злоумышленниками.

Вирус распространяется одним из наиболее простых (и, увы, наиболее действенных) способов: пользователю Skype в текстовом чате приходит сообщение со ссылкой на jpeg-изображение и призыв поскорее его посмотреть. Как только юзер переходит по ссылке, на ПК проникает вредоносная программа (Worm.Win32.Skipi.a), блокирует работу антивирусного ПО, переключает Skype в режим «Не беспокоить» и начинает рассылать по контакт-листу сообщение с ссылкой. Таким образом, пользователь может получить вредоносное сообщение даже от друзей. Важно отметить, что никакого серьёзного вреда системе червь не наносит.

Антивирусы производства F-Secure, Symantec и Kaspersky Lab, по словам представителей этих компаний, уже способны выявлять данный вирус и нейтрализовать его. Тем не менее, Skype Inc. приводит официальный документ с инструкцией по избавлению от червя.

Итак, решение проблемы состоит из следующих шагов:
— перезагрузить ПК в режиме Safe Mode
— запустить редактор реестра (regedit)
— найти ветку HKLM/software/microsoft/windows/currentversion/runonce
— найти в ней запись, содержащую mshtmldat32.exe, и удалить эту запись
— зайти в директорию Windows\System32 и удалить файлы wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe и sdrivew32.exe
— зайти в директорию Windows\System32\drivers\etc
— найти файл hosts, открыть его Блокнотом и удалить всё содержимое, затем сохранить файл и закрыть.
— перезапустить ПК.

via Skype

Наткнулся на днях на новость о конкурсе, в котором предлагают создать минимальный JavaScript-код, который будет сам себя копировать дальше. Автор конкурса — Robert Hansen aka RSnake, достаточно крупный специалист по информационной безопасности.

Условия

По условиям конкурса от кода требовалось следующее:

Как вы уже давно заметили, в сети активно шастает новый вид трояна. Разновидностей уже несколько, а задача стара как мир — воровать доступы и менять информацию.

Сегодня ко мне в слезах прибежала жена — говорит, все MP3 испортились.

Пошёл смотреть. В Windows Media Player файлы проигрываются нормально, а в Winamp, iTunes и на айподе квакают, хрюкают и ведут себя крайне неподобающе.

Натравил на файлы NOD32. Антивирус опознал червя GetCodec, о котором несколько месяцев назад уже писали на Хабре. NOD32 пошуршал, сказал, что всё получилось, но файлы не вылечил.

Я открыл Гугл и стал разбираться. Выяснилось, что червь не пережимает файлы в WMA, а засовывает MP3-поток в контейнер ASF, а потом переименовывает обратно.

В интернете советовали похимичить с тегами, но это, само собой, не помогло. Пережимать файл в MP3 — тоже не вариант. Только через полчаса понял, что поток-то никуда не делся.

Выручил FFmpeg. Лёгким движением руки достаём звук и сохраняем в новый файл:
ffmpeg -i ill.mp3 -vn -acodec copy healthy.mp3

С начала года наблюдается глобальная эпидемия сетевого червя Net-Worm.Win32.Kido
Данный зверёк распространяется через локальную сеть и при помощи съемных носителей информации.
При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Червь для атаки использует уязвимость операционных систем семейства Windows, обнаруженную в конце октября 2008 года MS08-067 в сервисе «Сервер». Для того, чтобы воспользоваться уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора, последовательно перебирая пароли, заложенные создателем в теле вируса.
После запуска, на компьютере-жертве блокируется доступ к сайтам антивирусных компаний. Также блокируется доступ пользователей к доменным именам, содержащим слова «virus, rootkit, spyware» и прочим, с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям.
Известны десятки модификаций данного червя.
Рекомендации по удалению выпущены всеми ведущими производителями АВ. ЛК выпустила специальную утилиту — KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.
Алгоритм лечения с помощью данной утилиты описан в данной статье www.kaspersky.ru/support/wks6mp3/error?qid=208636215

По материалам virusinfo.info, av-school.ru

Подкатом — алгоритм лечения, скопирован с сайта ЛК, для не имеющих туда доступ в результате действий червя.