На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

История компьютерных вирусов — от древности до наших дней

1. Археология
Мнений по поводу даты рождения первого компьютерного виру­са очень много. Мне доподлинно известно только одно: на машине Беббиджа его не было, а на Univac 1108 и IBM-360/370 они уже были («Pervading Animal» и «Christmas tree»). Таким образом, первый вирус появился где-то в самом начале 70-х или даже в конце 60-х годов, хотя «вирусом» его никто еще не называл. На этом разговор о вымерших ископаемых предлагаю считать завершенным.
2. Начало
Поговорим о новейшей истории: «Brain», «Vienna», «Cascade» и далее. Те, кто начал работать на IBM-PC аж в середине 80-х гг., еще не забыли повальную эпидемию этих вирусов в 1987-89 годах. Буквы сы­пались на экранах, а толпы пользователей неслись к специалистам по ремонту дисплеев (сейчас все наоборот: винчестер сдох от старости, а валят на неизвестный передовой науке вирус). Затем компьютер заиг­рал чужеземный гимн «Yankee Doodle», но чинить динамики уже ни­кто не бросился — очень быстро разобрались, что это — вирус, да не
один, а целый десяток.
Так вирусы начали заражать файлы. Вирус «Brain» и скачущий
по экрану шарик вируса «Ping-pong» ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилось пользователям IBM-PC и — появились противоядия. Первым попавшимся мне антивиру­сом был отечественный ANTI-KOT: это легендарный Олег Котик вы-
пустил в свет первые версии своей программы, которая уничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в стра­не несколько позднее). Кстати, всем, кто до сих пор сохранил копию этого антивируса, предлагаю немедленно ее стереть (да простит меня Олег Котик!) как программу вредную и ничего, кроме траты лишних нервов и ненужных телефонных звонков, не приносящую. К сожале­нию, ANTI-KOT определяет вирус «Time» («Иерусалимский») по комбинации в конце файла, а некоторые другие антивирусы
эти самые буквы аккуратно прицепляют ко всем файлам с расширени­ем СОМ или ЕХЕ.
Следует обратить внимание на то, что истории завоевания виру­сами России и Запада различаются между собой. Первым вирусом, стремительно распространившимся на Западе, был загрузочный вирус «Brain», и только потом появились файловые вирусы «Vienna» и «Cascade». В России же наоборот, сначала появились файловые виру­сы, а годом позже — загрузочные.
Время шло, вирусы плодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялись к файлам и секторам, перио­дически убивали файлы, дискеты и винчестеры. Одним из первых «откровений» стал вирус «Frodo.4096» - первый из известных мне файловых вирусов-невидимок (стеле). Этот вирус перехватывал INT 2 lh и, при обращении через DOS к зараженным файлам, изменял ин­формацию таким образом, что файл появлялся перед пользователем в незараженном виде. Но это была только надстройка вируса над MS-DOS. Не прошло и года, как электронные тараканы полезли внутрь ядра DOS (вирус-невидимка «Beast.512»). Идея невидимости продол­жала приносить свои плоды и далее: летом 1991 года пронесся, кося компьютеры, как бубонная чума, вирус «Dir_H». «Да-а-а!» — сказали все, кто в нем копался.
Но бороться с невидимками было довольно просто: почистил RAM — и будь спокоен, ищи гада и лечи его на здоровье. Побольше хлопот доставляли самошифрующиеся вирусы, которые иногда всре-чались в очередных поступлениях в коллекции. Ведь для их иденти­фикации и удаления приходилось писать специальные подпрограммы, отлаживать их. Но на это никто тогда не обращал внимания, пока... По­ка не появились вирусы нового поколения, те, которые носят название полиморфик-вирусы.
Эти вирусы используют другой подход к невидимости: они ши­фруются (в большинстве случаев), а в расшифровщике используют команды, которые могут не повторяться при заражении различных
файлов.

3. Полиморфизм — мутация вирусов
Первый полиморфик-вирус появился в начале 90-х кодов -«Chameleon», но по-настоящему серьезной проблема полиморфик-ви-русов стала лишь год спустя — в апреле 1991 года, когда практически весь мир был охвачен эпидемией полиморфик-вируса «Tequila».
Популярность идеи самошифрующихся полиморфик-вирусов вылилась в появление генераторов полиморфик-кода — в начале 1992 года появляется знаменитый вирус «Dedicated», базирующийся на первом известном полиморфик-генераторе MtE и открывший серию MtE-вирусов, а через довольно короткое время появляется и сам по-лиморфик-генератор. Представляет он из себя объектный модуль (OBJ-файл) и теперь для того, чтобы из самого обычного нешифро­ванного вируса получить полиморфик-мутанта, достаточно лишь слинковать их объектные модули - OBJ-файл полиморфик-генерато-ра и ОВД-файлом вируса. Теперь автору вируса, если он желает со­здать настоящий полиморфик-вирус, не придется корпеть над кодами собственного за/расшифровщика. При желании он может подключить к своему вирусу полиморфик-генератор и вызывать его из кодов ви­руса.
К счастью, первый MtE-вирус не попал в «живую природу» и не вызвал эпидемии, а разработчики антивирусных программ, соответст­венно, имели некоторый запас времени для подготовки к отражению
новой напасти.
Всего год спустя производство полиморфик-вирусов становится уже «ремеслом» и в 1993 году произошел их «обвал». В поступающих в коллекцию вирусах удельный вес самошифрующихся полиморфик-вирусов становится все больше и больше. Создается впечатление, что одним из основных направлений в трудном деле создания вирусов ста­новится разработка и отладка полиморфик-механизма, а конкуренция среди авторов вирусов сводится не к тому, кто из них напишет самый
крутой вирус, а чей полиморфик-механизм окажется круче всех.
Вот далеко не полный список тех из них, которые можно назвать стопроцентно полиморфичными (конец 1993):
— Bootache, CivilWar (четыре версии), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, >Moctezuma (две версии), MVF, Necros, Nukehard, PcFly (три версии), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (восемь версий).
Для обнаружения этих вирусов приходится использовать специ­альные методы, к которым можно отнести эмуляцию выполнения ко­да вируса, математические алгоритмы восстановления участков кода и данных в вирусе и т. д. К нестопроцентным (т. е. кото-
рые шифруют себя, но в расшифровщике вируса всегда существуют постоянные байты) можно отнести еще десяток новых вирусов:
Basilisk, Daemaen, Invisible (две версии), Mirea (несколько вер­сий), Rasek (три версии), Sarov, Scoundrel, Seat, Silly, Simulation.
Однако и они требуют расшифровки кода для их детектирова­ния и восстановления пораженных объектов, поскольку длина посто­янного кода в этих вирусов слишком мала.
Параллельно с полиморфик-вирусами развиваются полимор-фик-генераторы. Появляется несколько новых, использующих более сложные методы генерации они распространяются
по станциям BBS в виде архивов, содержащих объектные модули, до­кументацию и примеры использования.
В конце 1993 года было известно уже семь генераторов полимор-фик-кода. Это: МТЕ 0.90 (Mutation Engine), четыре различные версии ТРЕ (Trident Polymorphic Engine), NED (Nuke Encryption De-vice), DAME (Dark Angel's Multiple Encryptor).
С тех пор новые полиморфные генераторы появлялись по несколько штук в год.
4. Автоматизация производства и конструкторы вирусов
Лень — движущая сила прогресса. Эта народная мудрость не нуждается в комментариях. Но только в середине 1992 года прогресс в виде автоматизации производства дошел и до вирусов. Пятого июля
1992 года объявлен к выпуску в свет первый конструктор вирусного кода для IBM-PC совместимых компьютеров — пакет VCL (Virus
Creation Laboratory) версии 1. 00.
Этот конструктор позволяет генерировать исходные и хорошо откомментированные тексты вирусов (файлы, содержащие ассемблер­ный текст), объектные модули и непосредственно зараженные файлы. VCL снабжен стандартным оконным интерфейсом. При помощи сис­темы меню можно выбрать тип вируса, поражаемые объекты (СОМ и/или ЕХЕ), наличие или отсутствие самошифровки, противодейст­вие отладчику, внутренние текстовые строки, подключить до десяти
эффектов, сопровождающих работу вируса и т. п. Вирусы могут ис­пользовать стандартный способ поражения файлов в их конец, или за­писывать себя вместо файлов, уничтожая их первоначальное содержи­мое, или являться вирусами-спутниками (международный термин — компаньон-вирусы
И все сразу стало значительно проще: захотел напакостить ближнему — садись за VCL и, за минут настрогав разных
вирусов, запусти их на неприятельском компьютере(ах). Каждому
компьютеру — отдельный вирус!
Дальше — больше. 27 июля появилась первая версия конструк­тора PS-MPC (Phalcon/Skism Mass-Produced Code Generator). Этот конструктор не содержит в себе оконного интерфейса и генерирует ис­ходные тексты вирусов по файлу конфигурации. Этот файл содержит
в себе описание вируса: тип поражаемых файлов (СОМ или ЕХЕ); ре-зидентность (PS-MPC создает также и резидентные вирусы, чего не позволяет конструктор VCL); способ инсталляции резидентной копии вируса; возможность использования самошифрования; возможность поражения COMMAND.COM и массу другой полезной информации.
На основе PS-MPC был создан конструктор G2 (Phalcon /Skism's G2 0. 70 beta), который поддерживает файлы конфигурации стандарта однако при генерации вируса использует большее
количество вариантов кодирования одних и тех же функций. Каким же образом повлияли конструкторы вирусов на электронную фауну? В коллекции вирусов, которая хранится на моем количество
вирусов следующее:
— на базе VCL и G2 — по несколько сотен
— на базе PS-MPC — более тысячи.
Так проявилась еще одна тенденция в развитии компьютерных вирусов: все большую часть в коллекциях начинают занимать «сконст­руированные» вирусы, а в ряды их авторов начинают вливаться откро­венно ленивые люди, которые сводят творческую и уважаемую про­фессию вирусописания к весьма заурядному ремеслу.
5. За пределы DOS
Род 1992-й принес больше, чем полиморфик-вирусы и вирус-конструкторы. В конце этого года появился первый вирус для Windows, открывший, таким образом, новую страницу в истории ви-русописания. Небольшого размера (менее 1Кб), совершенно безвред­ный и нерезидентный вирус вполне граммотно заражал выполняемые
файлы нового формата Windows (NewEXE) и своим появлением про­бил для вирусов окно в мир Windows.
Через некоторое время появились вирусы для OS/2, а в январе 1996 года - и первый вирус для Windows 95. На сегодняшний день не проходит и недели появления новых вирусов, не-DOS системы, и, видимо, проблема не-DOS вирусов в скором времени выйдет на первый план, перекрыв проблему DOS-вирусов. Скорее всего, это произойдет эквивалентно постепенному умиранию DOS и распространению новых операционных систем и программ для них. Коль скоро все существующие DOS-приложения будут замещены их аналогами для Windows, Win 95 и OS/2, проблема DOS-вирусов сой­дет на нет и оставит после себя лишь теоретический интерес для ком­пьютерного социума.
В том же 1993 году появилась и первая попытка написать вирус, работающий в защищенном режиме процессора Intel 386. Это был загрузочный вирус «PMBS», названный так по строке текста внутри его кода. При загрузке с зараженного диска вирус переходил в защи­щенный режим, устанавливал себя как супервизор системы и затем за-DOS в режиме виртуального окна V86. К счастью, вирус этот оказался «не жильцом» — его второе поколение напрочь отказывалось размножаться по причине нескольких ошибок в коде вируса. К тому же он «завешивал» систему, если какая-либо из программ пыталась выйти за пределы V86, например, определить наличие расширенной памяти.
Эта неудачная попытка написать вирус-супервизор так и остава­лась единственной известной вплоть до весны 1997 года, когда один московский умелец выпустил вирус Wanderer» — вполне «удач-
ную» реализацию вируса, работающего в защищенном режиме.
Пока непонятно, станут ли в дальнейшем вирусы-супервизоры
действительной проблемой для пользователей и разработчиков анти­вирусных программ. Скорее всего нет, так как такие вирусы должны «засыпать» на время работы новых операционных систем (Windows, Win 95/NT, OS/2), что позволяет их (вирусы) легко обнаружить и уда­лить. Однако полноценный вирус-супервизор, использующий техно­логию «стеле» может принести немало неприятностей пользователям «чистой» DOS, ведь обнаружить такой стелс-вирус под DOS не пред­ставляется возможным.
6. Эпидемия макро-вируса
Год 1995-й, август. Все прогрессивное человечество, компания Microsoft и Билл Гейтс лично празднуют выход новой операционной системы Windows 95. На фоне шумного торжества практически неза­меченным прошло сообщение о появлении вируса, использующего принципиально новые методы заражения, вируса, заражающего доку­менты Microsoft Word.
Честно говоря, это был не первый вирус, заражающий докумен­ты Word. До этого момента антивирусные фирмы уже имели на руках
первый опытный образец вируса, который переписывал себя из доку­мента в документ. Однако никто не обратил серьезного внимания на этот не вполне удачный эксперимент. В результате практически все антивирусные фирмы оказались не готовыми к последующему разви­тию событий — эпидемии макро-вируса — и начали спешно предпри­нимать полумеры. Например, несколько фирм одновре­менно выпустили в свет документы-антивирусы, действовавшие при­мерно по тем же принципам, что и вирус, однако уничтожавшие его вместо размножения.
Кстати, спешно пришлось править антивирусную литературу -ведь она раньше на вопрос «Можно ли заразить компьютер при чтении файла?» отвечала «Однозначно — нет!» и приводила длинные доказа­тельства этого.
А вирус, получивший к тому времени имя «Concept», продолжал победное движение по планете. скорее всего в каком-то
из подразделений фирмы Microsoft, «Concept» в мгновение ока завла­дел тысячами (если не миллионами) компьютеров. Это неудивитель­но, ведь передача текстов в формате MS Word стала де-факто одним из стандартов, а для того, чтобы заразиться вирусом, требуется всего лишь открыть зараженный документ, и все остальные документы, ре­дактируемые в зараженном также оказываются зараженными.
В результате, получив по Internet зараженный файл и прочитав его,
пользователь, не зная того сам, оказывался «разносчиком заразы», и вся его переписка (если, конечно же, она велась при помощи MS Word) также оказывалась зараженной! Таким образом, возможность заражения MS Word, помноженная на скорость Internet, стала одной из самых серьезных проблем за всю историю существования вирусов.
Не прошло и года, как летом 1996 года появился вирус «Laroux» («Лару»), заражающий таблицы MS Excel. Как и в случае с вирусом «Concept», новый макро-вирус был обнаружен «в природе» практиче­ски одновременно в разных фирмах. Кстати, в 1997 году этот вирус
стал причиной эпидемии в Москве.
В том же 1996 году появились первые конструкторы макро-ви­русов, а в начале 1997 года появились первые
русы для MS Word и первые вирусы для MS 97. Плюс к тому
непрерывно росло число разнообразных макро-вирусов, достигшее нескольких сотен к лету 1997 года.
Открыв новую страницу в августе 1995 года, опираясь на весь опыт, накопленный вирусописательством за почти десятилетие непре­рывной работы и совершенствования, макро-вирусы, пожалуй, стали
самой большой проблемой современной вирусологии.
7. Хронология событий
Перейдем к более детальному описанию событий и начнем с са­мого начала.
Конец 1960 — начало 1970-х гг. На мейнфреймах этого времени периодически появлялись программы, которые получили название «кролик» (the rabbit). He причиняя никаких разрушительных воз­действий, они тем не менее были сконструированы так, что многократ­но копируя себя захватывали большую часть ресурсов системы, отни­мая процессорное время других процессоров. Доподлинно не известна история их создания. Полагается, что, возможно, они явились следст­вием программной ошибки, которая приводила к зацикливанию и на­деляла программу репродуктивным свойством. Первоначально «кро­лики» (rabbit) встречались только на локальных машинах, но с появ­лением Сети быстро «научились» размножаться по последней. Скорее всего «кролики» не передавались от системы к системе и являлись су­губо местными явлениями — ошибками или шалостями системных программистов, обслуживавших компьютер. Первый же инцидент, ко­торый смело можно назвать эпидемией «компьютерного вируса», про­изошел на системе Univax 1108. Вирус, получивший название «Pervading Animal», дописывал себя к выполняемым файлам — делал то же самое, что тысячи современных компьютерных ви­русов.
Первая половина 1970-х. Под операционную систему Тепех создан вирус «The Creeper» («Вьюнок»), использовавший для своего распространения глобальные компьютерные сети. Программа-вирус, по непроверенным источникам, будто была написана Бобом Томасом. «Вьюнок» проявлял себя текстовым сообщением: «Гш the Creeper... Catch me if you can» — «Я Вьюнок, поймай меня, если сумеешь».
Этот вирус экономно относился к ресурсам пораженной маши­ны, таким образом, не причиняя никакого вреда, кроме легкого беспо­койства владельцев последней. Каким бы безвредным «Вьюнок» не
казался, но он был первым, кто показал, что проникновение в чужой компьютер возможно без ведома и против желания его владельцев.
Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Первым шагом в борьбе против «Вьюнка» стал антивирус Reaper репродуцирую­щийся наподобии Creeper-а, но уничтожающий все встретившиеся ему копии последнего. История скрывает от нас, чем закончилась борьба двух программ. Но так или иначе от подобного подхода к защи­те в последствии отказались. копии обеих программ еще дол­го бродили по сети...
Начало 1980-х. Компьютеры становятся все более и более попу­лярными. Появляется все больше и больше программ, авторами кото­рых являются не софтверные фирмы, а частные лица, причем эти программы имеют возможность свободного хождения по различным серверам общего доступа — BBS. Результатом этого является появле­ние большого числа разнообразных «троянских коней» — программ,
которые при их запуске наносят системе какой-либо вред.
1981. Эпидемия загрузочного вируса «Elk С!опег» на компьюте­рах Apple II. Вирус записывался в загрузочные сектора дискет, к кото­рым шло обращение. Проявлял он себя весьма многосторонне — пере­ворачивал экран, заставлял мигать текст на экране и выводил разнооб­разные сообщения.
1986. Пандемия первого IBM-PC вируса «Brain». Вирус, заража­ющий 360Кб дискеты, мгновенно разошелся по всему миру. Причиной такого «успеха» являлась, скорее всего, неготовность компьютерного общества к встрече с таким явлением, как компьютер­ный вирус. Вирус был написан в Пакистане братьями Basit и Amjad Farooq оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Как утверждали авторы вируса, они являлись владельцами компании по продаже программных про­дуктов и решили выяснить уровень пиратского копирования в их стране. К сожалению, их                вышел за границы Пакистана.
Интересно, что вирус «Brain» являлся также и первым русом — при попытке чтения зараженного сектора он «подставлял»
его незараженный оригинал.
В том же 1986 году программист по имени Ральф Бюргер (Ralf Burger) обнаружил, что программа может делать собственные копни путем добавления своего кода к выполняемым DOS-файлам. Его пер­вый вирус, эту возможность. Этот   вирус был проаннонсирован в декабре  1986 на форуме
компьютерного «андеграунда» — хакеров, специализировавшихся в то время на взломе VAX/VMS-систем (Chaos Computer Club in Hamburg).
1987. Появление вируса «Vienna». Копия этого вируса попадает в руки все того же Ральфа Бюргера, который дизассемблирует вирус и помещает результат в свою книгу «Computer Viruses: A High Tech Desease» (русский аналог - «Пишем вирус и антивирус» г. Хижняка). Книга Бюргера популяризовала идею написания вирусов, объясняла, как это происходит и служила, таким образом, толчком к написанию сотен или даже тысяч компьютерных вирусов, использовав­ших идеи из этой книги.
В том же году, независимо друг от друга, появляется не­сколько вирусов для IBM-PC. Это знаменитые в прошлом « Lehigh*, заражающий только COMMAND.COM, «Suriv-l» (другое название -♦April 1st»), заражающий СОМ-фаплы, «Suriv-2», заражающий (впер­вые) ЕХЕ-файлыи «Suriv-З», заражающий как СОМ-, так и ЕХЕ-фай-лы. Появляются также несколько загрузочных вирусов («Yale» в США, «Stoned» в Новой Зеландии и «PingPong» в Италии) и первый самошифрующийся файловый вирус «Cascade».
Не остались в стороне и не IBM-компьютеры: было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.
В декабре 1987 года произошла первая известная повальная эпи­демия сетевого вируса «Cristmas Тгее», написанного на языке REXX и распрастранявшего себя в итерационной среде VM/CMS. 9 декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем - в сеть IBM VNet. Через четыре дня (13 декабря) ви­рус парализовал сеть — она была забита его копиями (см. пример про клерка несколькими страницами выше). При запуске вирус выводил на экран изображение новогодней (вернее, рождественской) елочки и рассылал свои копии всем пользователям сети, адреса присутство­вали в соответствующих системных файлах NAMES и NETLOG.
1988. В пятницу 13 мая 1988 года сразу несколько и уни­верситетов нескольких стран мира «познакомились» с вирусом «Jerusalem» — в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии — сообщения о зараженных компьютерах посту­пали из Европы, Америки и Ближнего Востока. Название, кстати, ви­рус получил по месту одного из инцидентов — университета в Иеруса­лиме.
Начали появляться заведомо ложные сообщения о компьютер­ных вирусах, никакой реальной информации не содержащие, но вно­сившие панику в стройные ряды компьютерных пользователей. Одна из первых таких «злых шуток» (современный термин — «virus hoax»)
принадлежит некоему  Mike   RoChenle   (псевдоним  похож на
«MicroChannel»), который разослал на станции BBS большое коли­чество сообщений о якобы существующем вирусе, который передает­ся от модема к модему и использует для этого скорость 2400 бод. Как это ни смешно, многие пользователи отказались от стандарта тех дней 2400 и снизили скорость своих модемов до 1200 бод. Подобные «Ьоах»-ы появляются и сейчас. Наиболее известны на сегодняшний
день — GoodTimes и Aol4Free.

Ноябрь 1988. Повальная эпидемия сетевого вируса Морриса (другое название — Internet Worm). Вирус заразил более 6000 ком­пьютерных систем в США (включая NASA Research Institute) и прак­тически парализовал их работу. По причине в коде вируса он, как и вирус-червь Tree», неограниченно рассылал свои ко­пии по другим компьютерам сети и, таким образом, полностью забрал
под себя ее ресурсы. Общие убытки от вируса Морриса были оценены
в 96 миллионов долларов.
Вирус использовал для своего размножения ошибки в операци­онной системе Unix для VAX и Sun Microsystems. Помимо ошибок в
Unix вирус использовал несколько других оригинальных идей, напри­мер, подбор паролей пользователей.
Декабрь 1988. Сезон вирусов-червей продолжается, на этот раз в сети DECNet. Вирус-червь HI. COM выводил на экран изображение елочки и извещал пользователей, что им следует «stop computing and have a good time at home!!!»
Появляются новые антивирусные программы, например, Dr. Solomon's Anti-Virus Toolkit, являющийся на сегодняшний день одним из самых мощных антивирусов.
1989. Появляются новые вирусы - «Datacrime», «FuManchu» и целые семейства — «Vacsina» и «Yankee». Первый имел крайне опасное проявление — с 13 октября по 31 декабря он форматировал винчестер. Этот вирус вырвался «на свободу» и вызвал повальную истерию в средствах массовой информации в Голландии и Великобритании.
1989. На рынок выходит еще одна антивирусная программа — IBM Anti-Virus.
Октябрь 1989. В сети DECNet зафиксирована еще одна эпиде­мия вируса-червя — «WANK Worm».
1989. Этот год являлся началом повальной эпидемии компьютерных вирусов в России - - все те же вирусы «Cascade»,
«Jerusalem» и «Vienna» заполонили компьютеры российских пользо­вателей. К счастью, российские программисты довольно быстро ра­зобрались с принципами их работы и практически сразу появилось
несколько отечественных противоядий-антивирусов.
В декабре произошел инцидент с «троянским конем» «Aids». Было разослано 20.000 его копий на дискетах, помеченных как «AIDS Information Diskette Version 2.0». После 90 загрузок системы «троя­нец» шифровал имена всех файлов на диске, делал их невидимыми (атрибут «hidden») и оставлял на диске только один читаемый файл — счет на 189 долларов, который следовало послать по адресу РО Box 7, Panama. Автор «троянца» был пойман и приговорен к тюремному заключению.
1990. Этот год принес несколько довольно заметных событий. Первым из них является появление первых полиморфик-вирусов «Chameleon» (другое название - «V2P4», «V2P2» и «V2P6»). До это­го момента антивирусные программы для поиска вирусов пользова­лись так называемыми «масками» — кусками вирусного кода. После
появления вирусов  «Chameleon»  разработчики антивирусных
программ были вынуждены искать другие методы их обнаружения.
Вторым событием являлось появление болгарского «завода по
производству вирусов»: огромное количество новых вирусов имели болгарское происхождение. Это были целые семейства вирусов «Murphy», «Nomenclatura», «Beast» (или «512», «Number-of-Beast>), новые модификации вируса «Eddie» и др. Особенную активность про­являл некто Dark Avenger, выпускавший в год по несколько новых ви­русов, использовавших принципиально новые алгоритмы заражения и скрытия себя в системе. В Болгарии же впервые появилась и первая BBS, ориентированная на обмен вирусами и информацией для виру-
сописателей.
В июле 1990 года произошел инцидент с компьютерным журна­лом PC Today (Великобритания). Он содержал флоппи-диск, заражен­ный вирусом «DiskKiller». Было продано более 50.000 копий журнала.
Во второй половине 1990 года появились два стелс-монстра — и «Whale». Оба вируса использовали крайне сложные стелс-а «Whale», к тому же применял
несколько уровней шифровки и антиотладочных приемов.
Появились и первые известные мне отечественные вирусы: «Peterburg», «Voronezh» и ростовский «LoveChild».
1991. Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Растет и антивирусная активность: сразу два софтверных монстра (Symantec и Central Point) выпускают собственные антивирусные программы - Norton Anti-Virus и Central Point Anti-Virus. Следом появляются менее известные антивирусы от Xtree и Fifth Generation.
В апреле разразилась настоящая эпидемия файлово-загрузочно-го полиморфик-внруса «Tequila», а в сентябре подобная же «история» произошла с вирусом «Amoeba». Россию эти события практически не затронули.
Лето 1991: эпидемия вируса «Dir_II», использовавшего принци­пиально новые способы заражения файлов (link-вирус).
В целом, год 1991 был достаточно спокойным — этакое затишье перед бурей, разразившейся в 1992-м.
1992. Вирусы для не-IBM-PC и не-MS-DOS практически забыты: «дыры» в глобальных сетях закрыты, ошибки исправлены, и сетевые ви­русы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операци­онной системы (MS-DOS) на самом популярном компьютере (IBM-РС). Количество вирусов растет в геометрической прогрессии, различ­ные инциденты с вирусами происходят чуть ли не ежедневно. Развива­ются различные программы, выходят десятки книг и не­сколько регулярных журналов, посвященных вирусам.
На этом фоне выделяются несколько основных моментов.
Начало года: первый полиморфик-генератор MtE, на базе кото­рого через некоторое время появляется сразу несколько полиморфик-вирусов. MtE явился также нескольких последующих по-
лиморфик-генераторов.
Март: эпидемия вируса «Michelangelo» («March6») и связанная
с этим истерия. Наверное, это первый известный случай, когда анти­вирусные компании раздували шумиху вокруг вируса не для того, что­бы защитить пользователей от какой-либо опасности, а для того, что­бы привлечь внимание к своему продукту, т. е. в целях извлечения коммерческой выгоды. Так, одна американская антивирусная компа­ния заявила, что 6 марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадали всего около 10.000 машин.
Июль: появление первых конструкторов вирусов VCL и PS-МРС, которые увеличили и без того немаленький поток новых виру­сов и, как и MtE в своей области, подтолкнули внрусописатс лен к созданию других, более мощных конструкторов.
Конец 1992: первый вирус для Windows, заражающий выполня­емые файлы этой операционной системы, открыл новую страницу в вирусописательстве.
1993. Вирусописатслп серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собрать­ев, помимо целого ряда новых полпморфпк-генераторов и конструкто­ров, помимо новых электронных изданий вирусописателей появляет­ся все больше и больше вирусов, использующих крайне необычные способы заражения файлов, проникновения в систему и т. д. Основ­ными примерами являются:
работающий в защищенном режиме процессора Intel
80386;
«Strange» (или «Hmm») - сольное выступление на тему «стелс-однако выполненное на уровне аппаратных прерываний INT ODh и INT 76h;
«Shado\vgard» и «Carbuncle», значительно расширившие диапа­зон алгоритмов компаньон-вирусов;
«Emmie», «Metallica», «Bomber», «Uruguay» и «Cruncher» — ис­пользование принципиально новых приемов своего кода в зараженных файлах.
Весной 1993 Microsoft выпустил свой собственный антивирус MSAV, основой которого послужил CPAV от Central Point.
1994. Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярными, эти диски оказались од­ним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков. В результате на компьютерный
рынок были выпущены довольно большие тиражи (десятки тысяч) за­раженных дисков. Естественно, что об их лечении говорить не прихо­дится — их придется просто уничтожить.
В начале года в Великобритании появились два крайне сложных полиморфик-вируса - «SMEG.Pathogen» и «SMEG.Queeg» (до сих пор не все антивирусные программы в состоянии достичь 100%-го ре­зультата при их детектировании). Автор вирусов помещал зараженные
файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.
Еще одну волну паники вызвало сообщение о якобы существую­щем вирусе распространяющем себя по сети Интернет и заражающем компьютер при получении электронной почты. Никако­го такого вируса на самом деле не существовало, однако через некото­рое время появился обычный DOS-вирус с текстом «Good Times», ви­рус этот получил название
Активизируются правоохранительные органы: летом 1994 автор SMEG был «вычислен» и арестован. Примерно в то же самое время в той же Великобритании арестована целая группа вирусописателей, называвшая себя ARCV (Assotiation for Really Cruel Viruses). Некото­рое время спустя еще        автор был арестован в
Появляются несколько новых, достаточно необычных вирусов.
Январь: «Shifter» - первый вирус, заражающий объектные мо­дули 1» — эпидемия первого
руса в Москве.
Апрель: «SrcVir» — семейство вирусов, заражающих исходные
тексты программ (С и Pascal).
Июнь: «OneHalf» - начало повальной эпидемии вируса, до сих пор являющегося самым популярным вирусом в России.
Сентябрь: «ЗАРАЗА» - эпидемия файлово-загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.
В 1994 году (весна) перестал существовать один из антивирус­ных лидеров того времени — Central Point. Он был приобретен фир­мой Симантек, которая до того уже успела «проглотить» несколько не­больших фирм, занимавшихся антивирусными разработками — Peter
Norton Computing Certus International и Fifth Generation Systems.
1995. Ничего действительно заметного в области DOS-вирусов не хотя появляется несколько достаточно сложных виру-
сов-монстров типа «NightFall», «Nostradamus», «Nutcracker» и таких забавных вирусов, как «двуполый» вирус «RMNS» и ВАТ-вирус «Winstart». Широкое распространение получили вирусы «ByWay» и «DieHard2» — сообщения о зараженных компьютерах были получены практически со всего мира.
Февраль: произошел инцидент с Microsoft: на диске, содержа­щем демонстрационную  версию  Windows  95,   обнаружен вирус
 «Form». Копии этого диска Microsoft разослал бета-тестерам, один из которых не поленился проверить диск на вирусы.
Весна 1995: анпопспровап альянс двух антивирусных компа­ний - ESaSS (ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы.
Август: один из поворотных моментов в истории вирусов и анти­вирусов: в «живом виде» обнаружен первый вирус для Microsoft Word («Concept»). Буквально за месяц вирус «облетел» весь земной шар, за­полонил компьютеры пользователей MS Word и прочно занял первое место в статистических исследованиях, проводимых различными ком­пьютерными изданиями.
1996. Январь: два достаточно заметных события — появился пер­вый вирус для Windows 95 («Win95. Boza») и эпидемия крайне слож­ного полиморфик-вируса «Zhengxi* в Санкт-Петербурге.
Март: первая эпидемия вируса для Windows 3.x. Его имя — «Win.Tentacle». Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во этого бытия состояла в том, что это был ПЕРВЫЙ Windows-вирус, вырвав­шийся на свободу. До той поры все Windows-вирусы жили только в коллекциях и электронных журналах а в «живом ви-
де» встречались только загрузочные, DOS- и Macro-вирусы.
Июнь: «OS2.AEP» — первый вирус для OS/2, корректно заража­ющий ЕХЕ-файЛЫ этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом «компаньон»,
Июль 1996: «Laroux» — первый вирус для Microsoft Excel, к то­му же пойманный в «живом виде» (практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР). Как и у MS Word-вирусов, принцип действия «Laroux» основывается на наличии в фай­лах так называемых макросов — программ на языке Basic. Такие про­граммы могут быть включены в электронные таблицы Excel так же,
как и в документы MS Word. Как оказалось, встроенный в Excel язык
Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997
года стал причиной эпидемии в компьютерных фирмах Москвы.
Декабрь: «Win95.Pimcli» -- первый «резидентный» вирус для Win95. Загружается в систему, как VxD-драйвер, перехватывает обра­щения к файлам и заражает их.
В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андеграунда на операционную систему Windows 32 (Windows 95 и Windows NT) и на приложения Microsoft Office. За этот и следующий год появилось несколько десятков виру­сов для Windows и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и мето­ды заражения, добавляли стеле и полиморфик-мехаинзмы и т. п. Та­ким образом, компьютерные вирусы вышли на новый виток своего развития — на уровень 32-битных операционных систем. За два года вирусы для Windows 32 повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно но­вом технологическом уровне.
1997. Февраль: «Linux. BUss» - первый вирус для Linux (разно­видность юникса). Так вирусы заняли еще одну ни­шу.
Февраль-апрель 1997: Макро-вирусы перебрались и в Office 97. Первые из них оказались всего лишь «отк'опвертщхжаннымп» в но­вый формат макро-вирусами для Word 6/7, однако практически сразу появились только на документы Office 97.
Март 1997: «ShareFun» — макро-вирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные воз­можности MS Word, но также рассылает свои копии по электронной почте MS-Mail.
Апрель: «Нотег» - первый сетевой вирус-червь, использующий
для своего размножения File Transfer Protocol (ftp).
Июнь: Появление первого самошифрующегося вируса для
Windows 95. Вирус, имеющий российское происхождение, был разо­слан на несколько BBS в Москве, что стало причиной эпидемии.
Ноябрь: Вирус «Esperanto». Попытка создания (к счастью, неудач­ная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы Mac OS (Макинтош).
Декабрь: появилась новая форма вируса - черви mIRC. Оказа­лось, что наиболее популярная утилита Windows IRC (Internet Relay Chat), известная как mIRC, содержала «дыру», позволяющую вирус­ным скриптам передавать себя по В очередной версии IRC дыра была закрыта, и                  канули в лету.
Основным антивирусным событием в 1997 году стало, конечно же, отделение антивирусного подразделения фирмы в независи-
мую компанию «Лаборатория Касперского», зарекомендовавшую себя
на сегодняшний день как признанный технический лидер антивирусной индустрии. Начиная с 1994 года, основной продукт компании — антиви­русный сканер AntiViral Toolkit Pro (AVP) — стабильно показывает вы­сокие результаты в многочисленных тестах, проводимых различными тестовыми лабораториями всего мира. Отделение в независимую ком­панию позволило по началу небольшой группе разработчиков стать
первой по значимости антивирусной компанией на отечетсвенном рын­ке и достаточно заметной фигурой на рынке мировом. За короткие сро­ки были разработаны и выпущены версии для практически всех попу­лярных платформ, предложены новые антивирусные решения, создана
сеть международной дистрибуции и технической поддержки.
В октябре 1997 года было подписано соглашение олицензирова-нии технологий A VP финской компанией DataFellows для использова­ния в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания DataFellows была известна как производитель антивируса F-PROT.
Год 1997 также отмечен несколькими скандалами, разразившими­ся между основными производителями антивирусов в США и Европе. В начале года фирма McAfee объявила о том, что ее специалисты обна­ружили «закладку» в программах одного из своих основных конкурен­тов - в антивирусе фирмы Dr. Solomon. Заявление от McAfee гласило, что если антивирус Dr. Solomon при сканировании обнаруживает не­сколько вирусов различных типов, то дальнейшая его работа происхо­дит в усиленном режиме. То есть если в обычных условиях на незара-
женных компьютерах антивирус от Dr. Solomon работает в обычном
режиме, то при тестировании коллекций вирусов переключается в
усиленный режим (по терминологии McAfee «cheat mode» — «режим обмана»), позволяющий детектировать вирусы, невидимые для Dr.
Solomon при сканировании в обычном В результате при тес-
тировании на незараженных дисках антивирус от Dr. Solomon показы­вает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.
Через некоторое время Dr. Solomon нанес ответный удар, при-на некорректно построенную рекламную McAfee. Конкретно претензии предъявлялись тексту «The Number One Choice Worldwide. No Wonder The Doctor's Left Town».
Одновременно с этим компания McAfee вела юридические тяж­бы с другой антивирусной компанией Trend Micro по поводу наруше­ния патента на технологию сканирования данных, передаваемых по Интернет и электронной почте. В этот же конфликт с Trend Micro ока­залась втянута фирма Symantec. Затем Symantec предъявил иск
McAfee по обвинению в использовании кодов Symantec в продуктах
McAfee.
Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объяви­ли об объединении в единую компанию Network Assotiates и о позици­онировании усилий не только в области антивирусных защит, но и в
разработке универсальных систем компьютерной безопасности, шиф­рования и сетевого администрирования. Начиная с этого момента ви­русной и антивирусной истории McAfee следует читать как NAI.
1998. Вирусная атака на MS Windows, MS Office и сетевые при­ложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникно­вения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в Интернет, и несколько утилит скрытого администрирова­ния. Зафиксированы инциденты с зараженными CD-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами ОН и «Marburg».
Начало года: Эпидемия целого семейства вирусов «Win32.
не только заражающих выполняемые файлы Windows
32, но и способные передать своему «хозяину» информацию о зара­женном компьютере. По причине использования специфических биб­лиотек, присутствующих только во французской версии Windows, эпидемия затронула только франкоговорящие страны.
Февраль: обнаружен еще один тип вируса, заражающий таблицы Excel - «Excel4.Paix» (или «Formula.Paix»). Данный тип макровируса для своего внедрения в таблицы Excel использует не обычную для ви­русов область макросов, а формулы, которые, как оказалось, также мо­гут содержать саморазмножающийся код.
Февраль-март: «Win95. HPS» и «Win95. Marburg» - первые по­лиморфные Windows 32-вирусы, обнаруженные к тому же «в живом виде». Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморф­ных вирусов, рассчитанных до того только на DOS-вирусы.
Март: «AccessiV» - первый вирус для Microsoft Access. Причи­ной шумихи, как это было с вирусами «Word. Concept* и «Excel.Laroux», он не стал, поскольку все уже привыкли к тому, что приложения MS Office падают одно за другим.
Март: Макро-вирус «Cross» -- первый вирус, заражающий два
различных приложения MS Office: Access и Word. Следом за ним по-
явились еще несколько макро-вирусов, переносящих свой код из од­ного Office-приложения в другое.
Май: вирус «RedTeam». Заражает ЕХЕ-файлы Windows, рассы­лает зараженные файлы при помощи электронной почты Eudora.
Июнь: эпидемия вируса «Win95.CIH», ставшая сначала массо­вой, затем глобальной, а затем повальной - сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчис­лялись сотнями, если не тысячами. Начало эпидемии зарегистрирова­но на Тайване, где неизвестный хакер заслал зараженные файлы в
местные Интернет-конференции. Оттуда вирус пробрался в США, где
по недосмотру зараженными оказались сразу несколько популярных Web-серверов — они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не осла­бевавшей в течение всего года. По результатам рейтингов «популярно­сти», этот вирус «подвинул» таких вирусных супер-звезд, как «Word.CAP» и «Excel.Laroux*. Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус сти­рал Flash BIOS, что в некоторых случаях могло привести к необходи­мости замены материнской платы.
Август: появление нашумевшего «BackOrifice» («Backdoor.
ВО») — утилиты скрытого (хакерского) администрирования удален­ных компьютеров и сетей. Следом за появились несколько других аналогичных «Phase» и
Также в августе появился первый вирус, заражающий выполня­емые модули Java — «Java.StangeBrew». Данный вирус не представлял какой-либо опасности для пользователей Интернет, поскольку на уда­ленном компьютере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами, также могут быть и приложения, активно ис­пользуемые при просмотре Web-серверов.
Ноябрь: «VBScript.Rabbit» -- интернет-экспансия компьютер­ных паразитов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написа­нии Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса («HTML. Internal*). Стано­вится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений и дело идет к появле­нию полноценного сетевого вируса-червя, использующего возможнос­ти MS Windows, Office и заражающего удаленные компьютеры, Web-серверы и/или активно распространяющегося по электронной почте.
Произошли также заметные перестановки в антивирусном мире.
В мае 1998 компании Symantec и IBM объявили об объединении сво­их усилий на антивирусном фронте: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, a IBM Anti-Virus (IBMAV) прекращает свое существование. На
это моментально отреагировали основные конкуренты: Dr. Solomon и NAI (ранее — McAfee) тут же выпустили пресс-релизы с предложени­ями о льготном апдейте бывших пользователей IBMAV своими собст­венными антивирусами.
Не прошло и месяца, как прекратил свое существование и сам Dr. Solomon. Он был куплен компанией NAI (McAfee) за 640 миллио­нов долларов путем обмена акций. Данное событие вызвало шок в ан­тивирусном мире: конфликт между двумя крупнейшими игроками ан­тивирусного бизнеса закончился куплей/продажей, в результате ко­торой с рынка исчез один из наиболее заметных и технологически
сильных производителей антивирусного программного обеспечения.
1999-2001. Происходило множество эпидемий вирусов, но ос­новной тенденцией стало появление почтовых вирусов - вирусов, рас­пространяющихся по электронной почте, заражающих компьютеры и передающихся всем или некоторым адресатам из ареспоп книги. Са­мыми известными из них были:
Март 1999 года. «Melissa».
Май 2000. «I love you*. - по оценкам исследовательского центра
Computer Economics, было заражено 40 миллионов компьютеров, уже
в первые пять дней эпидемии вирус нанес мировой экономике убытки в размере      миллиардов долларов США.
Лето 2001. W32.SirCam — новый вирус опасен тем, что рассылает по почте произвольные документы, в результате чего вы можете поте­рять конфиденциальную информацию. Практически одновременно с
ним появился вирус CodeRed.Worm, заражающий Веб-серверы на плат­формах Windows NT и Windows 2000 и атакующий в заданный день Веб-страницу http://www.whitehouse.gov. Поднятая из-за CodeRed па­ника, в немалой степени способствовала распространению SirCam.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика