Инциденты

Шестилетие Melissa

Сегодня исполняется 6 лет с момента появления одного из наиболее известных вирусов в истории. 26 марта 1999 года на волю вырвался червь Melissa.

История этого вируса представляется мне весьма примечательной сразу по нескольким причинам.

Во-первых, это был первый макровирус с функцией почтового червя. Первые макровирусы появились еще в 1995 году, однако совместить в себе функцию заражения документов MS Word и саморазмножения при помощи электронной почты впервые удалось именно автору Melissы. Подобный «трюк» оказался действительно эффективным. В течении нескольких часов сотни тысяч зараженных писем распространились по всему миру.

Заражению подверглись даже гиганты IT-индустрии — компании Microsoft и Intel. Microsoft пришлось на время отключить свою систему электронной почты, чтобы остановить распространение вируса.

Да, это была одна из крупнейших эпидемий за всю историю интернета.

Оригинальность и простота кода вируса привлекла внимание других авторов вирусов и исходный код Melissы затем был использован в нескольких десятках других червей.

Во-вторых, это был один из немногих тогда случаев, когда автора вируса удалось установить, арестовать и осудить.

David Lee Smith, программист из США (Нью-Джерси), был арестован спустя всего 4 дня после обнаружения червя. Суд над ним, состоявшийся в мае 2002 года, приговорил его к 10 годам тюремного заключения и штрафу в 5000 долларов. Столь суровое наказание является самым большим сроком тюремного заключения за компьютерные преступления. Впрочем, в действительности Д.Смиту за активную помощь следствию в раскрытии преступления уменьшили тюремный срок до 20 месяцев.

Какую именно помощь следствию оказал Д.Смит — конечно же, тайна. Хотя есть сведения что не без его помощи удалось арестовать Simon Vallor и Jan de Wit. Кроме того, по странному совпадению — именно в период 2000-2002 гг. прекратили свое существование несколько весьма известных до того вирусописательских групп.

Д. Смита удалось обнаружить и арестовать из-за интересной особенности в формате документов MS Word. Тогда она была известна весьма небольшому числу специалистов. Речь идет о том, что MS Word сохраняет в документе данные пользователя, на компьютере которого он был создан.

Д. Смит разместил первые копии червя в группе новостей alt.sex и во всех этих копиях были его данные. ФБР не составило никакого труда найти его.

В-третьих, я очень хорошо помню те дни. Я тогда еще не работал в «Лаборатории Касперского», однако интересовался антивирусными технологиями и вел собственный интернет-проект посвященный защите от вирусов. В те дни мне пришлось дать несколько телевизионных и газетных интервью, в которых я рассказывал пользователям о данной эпидемии. А также мне пришлось лечить несколько зараженных компьютеров моих друзей, что случалось крайне редко.

Шестилетие Melissa

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике