Вирус китайских пингвинов что это

Обновлено: 15.04.2024

Китайские пингвины — вирус, который дал по яйцам всем известным антивирусам. В особенности от него пострадали службы поддержки провайдеров, так как цепочка была примерно такая: абоненты звонили в техподдержку, потом звонили начальству, далее вместе с начальством звонили в техподдержку (ТП), ТП тщетно пытались разобраться, в чём дело, и нашли единственно верное решение: отключить телефоны.

О пингвинах

Вирус выглядел как очень надоедливый баннер с изображением пингвинов и китайских иероглифов.

При запуске setup.exe (а он иногда и самозапускался, как уверяют пользователи), винда отказывалась работать — совсем как в старые добрые девяностые. NOD32, Symantec, BitDefender, Dr.Web, Ad-Aware, Аваст, McAfee, Avira — деликатно отказывались работать и даже инсталлироваться. Касперского, как оказалось (на то время была версия KIS 7.0.125), можно было полностью отключить, просто установив дату 2001 год, чем и пользовался китаец. (В версии 325 Касперский добавил защиту от таких шуток, и теперь при смене даты Касперского отключить не получится.)

Вирус постоянно модифицировался, и базы обновлений просто не успевали угнаться за темпами китайских хакеров. Отчаявшись бороться, большинство людей предпочли отформатировать диск и жить спокойно. (Несмотря на то, что троян снова грузился из локалки сразу же после втыка кабеля.)

Вообще, изображение пингвина является символом общекитайской программы для чатов (и прочей хуйни) — QQ, которая есть у каждого китайца, имеющего компьютер. Сама же QQ впрочем недалеко от вируса и ушла. Контора, ее сбыдлокодившая, сильно выросла и в тех интернетах имеет аналог яндекс-мани, называемый Q-деньги, за которые для этого чата можно приобрести всякую одежду интернет-персонажу, менять аватарки и делать прочую хуиту, выдуманную хитрожопым китайским умом.

Вирус мимикрировал под всплывающее окно QQ и предлагал 100500 Q-денег. Собственно на спаме с видом пингвинов (и посулами получения от этого интернет-бабла на халяву) построено дохуя китайских вирусов.

Конец истории

В итоге, самыми действенными способами по борьбе с китайцами стали:

Kaspersky LiveCD, который грузился в оперативку и выжигал пингвинов (отлавливал до 10 000 троянов)
Spyware Doctor, единственный из всех антивирусов, который смог установиться и прочистить компьютеры — был малопопулярен, и в Китае про него просто не знали.
Убийство масдайной винды и переход на Linux (xBSD). Не исключено, что пингвины именно на это и намекали.

Сайты китайцев были заблокированы, и где-то в апреле 2008 вирус резко прекратил своё существование. Каким образом это было сделано и были ли найдены и расстреляны китайской компартией создатели, история умалчивает. Вполне возможно, что китайцы выводили своих пингвинов исключительно ради лулзов, так как кроме показа китайского порносайта ничего не происходило.

Вирус выглядел как очень надоедливый баннер с изображением пингвинов и китайских иероглифов.

В итоге, самыми действенными способами по борьбе с китайцами стали:

Kaspersky LiveCD, который грузился в оперативку и выжигал пингвинов (отлавливал до 10 000 троянов)
Spyware Doctor, единственный из всех антивирусов, который смог установиться и прочистить компьютеры — был малопопулярен, и в Китае про него просто не знали.
Убийство масдайной винды и переход на Linux (xBSD). Не исключено, что пингвины именно на это и намекали.

Предтеча

Но Creeper не принято считать вирусом. Перебравшись на новую машину, он уничтожал свою старую копию, что противоречит идее постоянного размножения, за которую вирусы и получили свое название. Тем не менее всего пара строк кода легко превратила бы его в классический компьютерный вирус, и история вирусописательства началась бы на десять лет раньше, чем принято считать сейчас.

1983. Первый в истории вирус

Стоит сказать, что Коэн всего лишь формализовал понятие вируса, представив действующий код и определив основные характеристики такого типа программ и возможные векторы атак. Попытки создать или смоделировать вирусы для разных платформ были и раньше. Так, за два года до Коэна пятнадцатилетний школьник Ричард Скрента (Rich Skrenta) создал программу Elk Cloner, которая внедрялась в Apple DOS и распространялась через запись в boot-сектор дискет. Но вирус так и не выбрался за пределы круга друзей Ричарда.

Классификация вирусов, составленная Фредом Коэном

1988. Червь Морриса

По-настоящему массовое заражение произошло намного позже, а именно 2 ноября 1988 года, когда аспирант факультета вычислительной техники Корнельского университета Роберт Моррис выпустил своего червя на свободу. Менее чем за сутки червь распространился на 6 тысяч машин (10% всего интернета) и вывел из строя многие серверы и рядовые машины, подключенные к Сети.

Доступ к системе с помощью fingerd червь получал через уязвимость в функции gets() библиотеки libc, используемой демоном для чтения запроса с удаленной машины. Червь передавал демону 536 байт, чем вызывал срыв стека и передачу управления шелл-коду. Последний был очень прост:

Часть кода, реализующая срыв стека

Другие статьи в выпуске:

В дальнейшем во всех трех случаях червь запускал команду netstat, читал файл /etc/hosts и искал соседние машины в сети другими способами. Затем он читал файл /etc/passwd , вычленял из него хеши паролей и пытался подобрать пароли, используя внутреннюю базу из 432 слов, файл /usr/dict/words и собственную высокоэффективную реализацию алгоритма DES. Далее операция повторялась в отношении других хостов.

Словарь, используемый при подборе паролей

После инцидента с червем Морриса внимание к зловредным приложениям резко возросло. Появилось множество научных публикаций, демонстрирующих те или иные виды уязвимостей, путей заражения и методов защиты. Один из самых известных документов — Virology 101, написанный Дугласом Макилроем (Douglas McIlroy), автором концепции пайпов в UNIX и многих стандартных команд для обработки информации. Он привел несколько примеров, демонстрирующих простоту реализации вирусов для UNIX, в том числе следующий код на шелле:

Несмотря на примитивизм, это полноценный вирус, который заражает все скрипты в текущем каталоге, добавляя себя в конец скрипта. Свое исследование на данную тему провел и Том Дафф (Tom Duff), один из разработчиков UNIX и Plan 9, автор широко используемого сегодня алгоритма композитинга изображений и шелла rc. В своей работе Viral Attacks On UNIX System Security он рассказал о попытке создания вируса, который прописывался в конец бинарного файла и изменял точку входа на себя. При запуске вирус искал в каталогах /bin и /usr/bin доступные для записи бинарники и заражал их.

1996. Первый вирус для Linux

Спустя семь лет хакерская группа VLAD, а точнее ее участник Quantum представил первый рабочий вирус для Linux, написанный на ассемблере с синтаксисом AT&T. Вирус, получивший имя Staog, при первом запуске получал права root, используя одну из трех уязвимостей: переполнение буфера в командах mount и tip и баг в команде suidperl. Затем прописывался в память ядра с помощью файла /dev/kmem и изменял таблицу системных вызовов так, чтобы функция execve(), запускающая исполняемые файлы, ссылалась на него.

В результате при каждом запуске исполняемого файла вирус получал управление, заражал файл, а затем отдавал управление оригинальной функции execve(). Фактически это все, что он делал, никаких зловредных функций, чистый proof of concept. Вскоре уязвимости были пропатчены, и вирус был забыт, так никогда и не обнаружив себя in the wild. Однако метод изменения таблицы системных вызовов еще долго продолжали использовать авторы бэкдоров, пока наконец разработчики Linux не сделали таблицу неэкспортируемой.

1997. Bliss

Спустя три дня Рэй Лехтиниеми (Ray Lehtiniemi) провел анализ вируса и выяснил, что даже его новая версия довольно примитивна. Вирус всего лишь находил все доступные для записи исполняемые файлы и перезаписывал их, сохраняя оригинальное приложение в специальном участке файла. Если после этого запускалось инфицированное приложение, вирус извлекал код оригинального приложения в файл /tmp/.bliss-tmp. , затем форкался и запускал его. Плюс внутри вируса был найден рудиментарный код, модифицирующий исходники ядра, незаконченная функциональность червя (вирус пытался подключиться к другим хостам по rsh, но, в отличие от червя Морриса, не умел подбирать пароли) и простейший метод защиты от отладки путем завершения самого себя при обнаружении запуска через strace.

Стоит ли говорить, что защититься от вируса было очень просто — не сидеть под учеткой root.

2000–2015

Следующие три года о вирусах для Linux не было слышно ничего, однако с 2000-го их количество начало резко увеличиваться. Скорее всего, потому, что среди рядовых пользователей популярность операционной системы стремительно возрастала и многие компании переходили на новую активно развивающуюся операционную систему с BSD и Solaris.

В 2000 году был обнаружен вирус Virus.Linux.Winter.341, заражавший бинарные файлы формата ELF и отличавшийся крайне скромными размерами — 341 байт. Годом позже прошла информация о первом ZIP-черве, который при запуске помещал свою копию во все найденные ZIP-архивы. Тогда же появились два довольно интересных вируса Ramen и Cheese, причем второй был червем, закрывавшим бэкдор, открытый Ramen.

Позже добавилось несколько червей, эксплуатирующих уязвимости в веб-сервере Apache. Червь Mighty, обнаруженный в 2002-м, проникал на машину через уязвимость в SSL, затем заходил на специально созданный IRC-канал и ожидал удаленных команд. Червь Lupper также перемещался по веб-серверам, но использовал стандартные уязвимости в CGI-скриптах. Как и Mighty, он имел функцию бэкдора.

Поддельный YouTube, на который перенаправлял жертву червь Koobface

Позже были найдены и многие другие виды троянских коней, червей и бэкдоров. Основной целью хакеров были, конечно же, серверы (организовывать ботнеты для выполнения DDoS-атак), но были и вирусы, ориентированные на домашние машины, а также, например, роутеры.

Выводы

Вирусы в Linux есть, это вовсе не миф и не шутка. Другое дело, что в отличие от какой-нибудь Windows 95 здесь у них не так много шансов выжить и, как следствие, их распространение крайне ограничено. В основном это серверы, админят которые не совсем компетентные специалисты, забывающие обновлять ПО.

Почему на самом деле UNIX-системы свободны от вирусов

Низкая популярность. Самая популярная UNIX-система Linux имеет долю пользователей на уровне 1% от общего числа домашних ПК. Этого явно мало, чтобы заинтересовать вирусописателей.
Жесткая система разграничения прав. В отличие от Windows, в UNIX не принято постоянно сидеть под учеткой суперпользователя. Многие *nix-системы и Linux-дистрибутивы явно запрещают это делать.
Фрагментация. Существует огромное количество разных UNIX-систем и Linux-дистрибутивов, что существенно усложняет разработку вирусов.
Нестабильный ABI. Разработчики UNIX-систем и в особенности Linux не слишком беспокоятся о сохранении обратной совместимости ABI, поэтому после обновления системы/ядра вирус может просто не заработать.
Репозитории. Большинство современных UNIX-систем используют удаленные репозитории для установки приложений. Каждый пакет в них имеет цифровую подпись, гарантирующую, что приложение не было изменено или инфицировано.

Евгений Зобнин

Редактор рубрики X-Mobile. По совместительству сисадмин. Большой фанат Linux, Plan 9, гаджетов и древних видеоигр.

Теория о том, что COVID просочился из лаборатории, получила новый импульс после того, как ученые, изучавшие образцы почвы, взятые в Антарктиде, наткнулись на следы вируса, которым, возможно, манипулировали в китайском исследовательском центре.

Как пишет Daily Mail, редкие мутации коронавируса из образца, обработанного в Шанхае в начале пандемии, были обнаружены вместе с генетическим материалом хомяков и обезьян, что позволяет предположить, что вирус подвергался экспериментам с использованием либо самих животных, либо их клеток.

Среди ученых ведутся споры о том, предшествовали ли эти изменения возникновению первоначального уханьского вируса COVID, но большинство вирусологов считают, что мутации произошли после того, как коронавирус впервые попал к людям.

Ученые сделали это открытие случайно, изучая ДНК из образцов почвы, собранных в Антарктиде в конце 2018 и начале 2019 года в рамках совершенно не связанного с вирусами исследовательского проекта.

В этом случае предполагается, что антарктическая почва оказалась смешана с ДНК лабораторных обезьян или хомяков, переносящих коронавирус.

Предположительно, шанхайский объект используется китайскими исследователями, в том числе из Уханьского института вирусологии (WIV) — лаборатории, которая находится в центре гипотезы случайной утечки коронавируса.

Некоторые эксперты говорят, что новые мутации ликвидируют разрыв между первоначальным коронавирусом летучих мышей и тем, который перешел к людям — недостающая часть головоломки, которая ускользала от ученых в течение последних двух лет.

Но другие считают, что заражение произошло от образцов первых пациентов с COVID в Китае, о которых было объявлено в декабре 2019 года.

Третья теория заключается в том, что генетический материал получен из других коронавирусов, переносимых животными, которые циркулировали в то время или над которыми экспериментировали китайцы.

Время заражения является одним из ключевых неизвестных, но венгерская команда, обнаружившая ошибку образца, считает, что вирус мог быть предком исходного уханьского штамма, если ошибка произошла в декабре 2019 года.

Однако, если бы образцы были проанализированы в начале 2020 года, китайские лаборатории уже создали бы библиотеку тестовых образцов COVID, и заражение могло произойти во время экспериментов, чтобы узнать больше о новом вирусе.

Когда венгерские исследователи впервые сообщили об этой ошибке, было сообщено, что образцы были стерты из генетической базы данных китайскими исследователями, хотя с тех пор они были повторно загружены.

Как утверждает Daily Mail, Китай ранее удалил важные данные о самых первых подтвержденных пациентах с COVID в Ухане и заставил замолчать китайских ученых, которые подвергли сомнению официальную версию как часть спонсируемого государством сокрытия, которое подогревает подозрения об истинном происхождении пандемии.

Последние результаты, полученные в Университете Этвеша Лоранда и Университете ветеринарной медицины в Будапеште, были опубликованы в Интернете, но еще не были официально рассмотрены другими учеными.

В январе 2021 года венгерские ученые просматривали онлайн-базы данных ДНК, когда заметили вероятное перекрестное загрязнение образцов почвы.

Венгерские исследователи отследили образцы до исследования, проведенного Университетом науки и технологии Китая в конце 2018 и начале 2019 года.

Китайский проект изучал бактерии пингвинов, и команда собрала дюжину образцов почвы на острове Кинг-Джордж в Антарктиде в течение трех недель.

Образцы были отправлены на объект секвенирования Сангон в Шанхае в декабре 2019 года. Через некоторое время они были загружены в международную базу данных, хотя точная дата неизвестна.

Три образца оказались заражены фрагментами коронавирусов, что, по мнению венгерских исследователей, произошло из-за путаницы в шанхайской лаборатории.

Профессор Джесси Блум, вирусолог из Онкологического исследовательского центра Фреда Хатчинсона в Сиэтле (США), который не участвовал в исследовании, повторно проанализировал данные, чтобы подтвердить, что антарктические образцы действительно содержат уникальные вирусные артефакты. Он сказал, что они содержат три ключевые мутации, которые приблизили коронавирусы летучих мышей к первому человеческому штамму, Wuhan-Hu-1.

Мутации также соответствуют тому, как американские исследователи предсказали, что вирус-предок COVID будет выглядеть в исследовании, опубликованном в мае 2021 года.

Другие ученые говорят, что зараженные образцы слишком грязные, чтобы окончательно заключить, что они являются прямыми родственниками человеческого COVID, а не других коронавирусов животных, циркулировавших в то время или использовавшихся в лабораторных экспериментах.

Сторонники теории естественного происхождения COVID говорят, что вирус, вероятно, возник у летучих мышей.

Преобладающая идея состоит в том, что вирус перешел к промежуточному хозяину, где он эволюционировал, чтобы иметь возможность заражать людей, прежде чем совершить прыжок в человеческую популяцию.

Но, несмотря на активные усилия ученых в Китае и во всем мире, это животное так и не было найдено. Оба вируса летучих мышей изучались в лабораториях Китая, в том числе в Уханьском институте вирусологии, который находится в центре гипотезы об утечке из лаборатории.

Утечка электронных писем показала, что ведущие ученые, консультирующие правительства Великобритании и США, были обеспокоены тем, что COVID мог просочиться из китайской лаборатории с самого начала пандемии.

Письмо положило конец любым дебатам о том, мог ли коронавирус сбежать из лаборатории. Позже выяснилось, что ведущий ученый, стоящий за письмом, имел финансовые связи с Уханьским институтом вирусологии. Эта лаборатория специализируется на разработке опасных коронавирусов и является единственной биохимической лабораторией четвертого уровня в Китае.

Вирус выглядел как очень надоедливый баннер с изображением пингвинов и китайских иероглифов.

В итоге, самыми действенными способами по борьбе с китайцами стали:

Kaspersky LiveCD, который грузился в оперативку и выжигал пингвинов (отлавливал до 10 000 троянов)
Spyware Doctor, единственный из всех антивирусов, который смог установиться и прочистить компьютеры — был малопопулярен, и в Китае про него просто не знали.
Убийство масдайной винды и переход на Linux (xBSD). Не исключено, что пингвины именно на это и намекали.

Читайте также: