IT History Journal
March 28

28 марта 1999 — Обнаружен вирус Мелисса

28 марта 1999

Март 1999 — Создание вируса

В начале 1999 года программист из Нью‑Джерси Дэвид Л. Смит создал макровирус (вирус, работающий с макросами), который заражал документы Microsoft Word. Позже этот вирус получил название Melissa.
В то время макросы в Microsoft Office широко использовались и часто были включены по умолчанию. Это делало документы Word удобным носителем для вредоносного кода.
Дэвид Л. Смит внедрил вирус в документ Word под названием “List.doc” или “alt.sex” (информация расходится).
В документе утверждалось, что внутри находятся пароли к порнографическим сайтам. Приманка была простой, но эффективной — любопытство заставляло людей открывать файл.

22–25 марта 1999 — Первое появление в сети

Примерно на третьей неделе марта 1999 года заражённый документ был загружен в группу новостей Usenet, где распространялось пиратское программное обеспечение.
Когда пользователь открывал документ, выполнялся макрос. Вирус заражал Word на компьютере пользователя и получал доступ к Microsoft Outlook.
С этого момента заражённый компьютер начинал отправлять тот же заражённый документ другим пользователям.

Конец марта 1999 — Быстрое распространение

Melissa использовал Microsoft Outlook, чтобы отправлять себя первым 50 контактам из адресной книги жертвы.
Каждое письмо выглядело вполне обычным. Оно приходило от знакомого человека и часто содержало короткое дружеское сообщение.
Поскольку письмо приходило от доверенного контакта, многие получатели открывали вложение.
Каждый новый заражённый компьютер повторял тот же процесс. В результате вирус начал быстро распространяться через корпоративные почтовые системы.
Всего за несколько дней были заражены десятки тысяч компьютеров.

26–27 марта 1999 — Сбой почтовых систем

Сам вирус не уничтожал файлы и не стирал данные. Основной ущерб был связан с огромным количеством электронных писем, создаваемых заражёнными компьютерами.
Корпоративные почтовые серверы внезапно столкнулись с колоссальным объёмом трафика.
Многие системы просто не справлялись с нагрузкой. Очереди писем переполнялись, серверы замедлялись, а внутренняя коммуникация в крупных организациях начинала фактически останавливаться.
Компании, включая Microsoft, Intel и несколько государственных учреждений, были вынуждены полностью отключить свои почтовые шлюзы, чтобы остановить распространение вируса.

28 марта 1999 — Публичное объявление о вирусе

28 марта 1999 года вирус Melissa был официально раскрыт общественности, и началось масштабное расследование.
К этому моменту вредоносная программа уже распространилась по множеству корпоративных сетей, поэтому поиск её источника стал приоритетной задачей.
Следователи анализировали журналы серверов, заголовки сообщений и путь заражённых документов по интернету.

1 апреля 1999 — Арест автора

Всего через несколько дней после публичного объявления следователи смогли установить источник распространения вируса.
1 апреля 1999 года Дэвид Л. Смит был арестован в штате Нью‑Джерси.
Собранные доказательства связали его с созданием и распространением заражённого документа Word.

1999 — Ущерб

Инцидент с Melissa заставил компании по всему миру отключать почтовую инфраструктуру и вручную очищать заражённые системы.
Почтовые серверы отключались от интернета, корпоративные сети частично останавливались, а тысячи системных администраторов несколько дней занимались удалением вируса с компьютеров.
Общий ущерб оценивался примерно в 80 миллионов долларов по всему миру.
Для интернета конца 1990‑х это был один из самых масштабных сбоев, вызванных одной вредоносной программой.

2000 год и далее — Последствия

Позднее Дэвид Л. Смит признал свою вину и сотрудничал со следствием. Он получил тюремный срок и финансовые штрафы.
Инцидент с Melissa привёл к серьёзным изменениям в области безопасности электронной почты.
Разработчики программного обеспечения ужесточили контроль над макросами, антивирусные компании улучшили обнаружение почтовых вредоносных программ, а организации начали гораздо строже фильтровать вложения.
Вирус Melissa стал одним из первых наглядных примеров того, насколько быстро вредоносный код может распространяться через обычные средства коммуникации.