В начале 1970-х годов в прототипе современного интернета - военной компьютерной сети APRAnet - был обнаружен вирус Creeper. Написанная для некогда популярной операционной системы Tenex, эта программа была в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: "I'M THE CREEPER : CATCH ME IF YOU CAN". Позднее, для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По своей сути это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по вычислительной сети и в случае обнаружения тела вируса Creeper уничтожал его. Не будучи участником тех событий, трудно сказать - было ли это противоборством первых создателей вирусов или же обе программы были созданы одним человеком или группой людей, желавших исправить допущенную ошибку.
На мейнфреймах этого времени появляется программа, получившая название "кролик" (Rabbit). Это имя она получила потому, что кроме размножения и распространения по носителям информации она ничего не делала. Правда, скорость ее размножения вполне оправдывала название. Эта программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине "кролик" нередко вызывал сбой в ее работе.
Другой инцидент, который с определенными оговорками также можно отнести к разряду вирусных, произошел на системе Univac 1108. Им стал случай с игрой (по некоторым данным троянской программой) "Pervading Animal".
При помощи наводящих вопросов игра пыталась определить имя животного, задуманного играющим. В программе была предусмотрена возможность самообучения: если ей не удавалось отгадать задуманное человеком название, игра предлагала модернизировать себя и ввести дополнительные наводящие вопросы. Модифицированная игра записывалась поверх старой версии и, помимо этого, копировалась в другие директории. В результате, через некоторое время все директории на диске содержали копии "Pervading Animal". В те времена такое поведение программы вряд ли могло понравиться инженерам, поскольку в совокупности все копии игры занимали слишком много дискового пространства.
Что это было - ошибка создателя игры или попытка намеренного "засорения" систем - сказать трудно. Грань между некорректным поведением программы и вредоносным кодом до сих пор слишком прозрачна.
Проблему пытались решить по известному сценарию Creeper-Reaper, т.е. выпуском новой версии игры, которая искала все копии своей предшественницы и, в конечном счете, уничтожала их. Однако позднее все решилось гораздо проще: была выпущена новая версия операционной системы Exec 8: в ней подверглась изменениям структура файловой системы, и игра потеряла возможность размножаться.
Компьютеры становятся все более и более популярными. Появляется все больше и больше программ, авторами которых являются не фирмы-производители программного обеспечения, а частные лица. Развитие телекоммуникационных технологий дает возможность относительно быстро и удобно распространять эти программы через серверы общего доступа - BBS (Bulletin Board System). Позднее, полулюбительские, университетские BBS перерастают в глобальные банки данных, охватывающие практически все развитые страны. Они обеспечивают быстрый обмен информацией между даже самыми удаленными точками планеты. В результате появляется большое количество разнообразных "троянских коней" - программ, не имеющих способности к размножению, но при запуске наносящих системе какой-либо вред.
Широкое распространение компьютеров марки Apple II предопределило внимание, оказанное создателями вирусов к этой платформе. Неудивительно, что первая в истории действительно массовая эпидемия компьютерного вируса произошла именно на Apple II.
Вирус Elk Cloner записывался в загрузочные сектора дискет, к которым шло обращение. В те времена это казалось невероятным и вызывало у рядовых пользователей устойчивую связь между вирусами и внеземными цивилизациями, пытающимися завоевать мир. Впечатление от вируса усиливалось его проявлениями: Elk Cloner переворачивал изображение на экране, заставлял мигать текст, выводил разнообразные сообщения:
ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT'S CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!
Лен Эйделман впервые употребляет термин "вирус" в применении к саморазмножающимся компьютерным программам. 10 ноября 1983 г. Фред Коэн, родоначальник современной компьютерной вирусологии, на семинаре по компьютерной безопасности в Лехайском университете (США) демонстрирует на системе VAX 11/750 вирусоподобную программу, способную внедряться в другие объекты. Годом позже, на 7-ой конференции по безопасности информации он дает научное определение термину "компьютерный вирус", как программе, способной "заражать" другие программы при помощи их модификации с целью внедрения своих копий.
Зарегистрирована первая глобальная эпидемия вируса для IBM-совместимых компьютеров. Вирус Brain, заражающий загрузочные сектора дискет, в течение нескольких месяцев распространился практически по всему миру. Причина такого "успеха" заключалась в полной неподготовленности компьютерного общества к встрече с таким явлением, как компьютерный вирус: антивирусные программы еще не получили такого широкого распространения как сейчас, а пользователи, в свою очередь, не соблюдали основных правил антивирусной безопасности. Эффект от произошедшей эпидемии усиливался плохим знакомством общества и неизученностью феномена "компьютерный вирус". Вслед за обнаружением Brain один за другим стали появляться научно-фантастические романы, посвященные вирусам.
Вирус Brain был написан в Пакистане 19-летним программистом Баситом Фарук Алви (Basit Farooq Alvi) и его братом Амжадом (Amjad), оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Как утверждали авторы вируса, работавшие в компании по продаже программных продуктов, они решили выяснить уровень компьютерного пиратства у себя в стране. Помимо заражения загрузочных секторов и изменения меток (label) дискет на фразу '(c) Brain' вирус ничего не делал: он не оказывал никакого побочного воздействия и не портил информацию. К сожалению, эксперимент быстро вышел из-под контроля и выплеснулся за границы Пакистана.
Интересно, что вирус Brain являлся также и первым вирусом-невидимкой. При обнаружении попытки чтения зараженного сектора диска вирус незаметно "подставлял" его незараженный оригинал.
В том же году немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986 г., в Гамбурге, на форуме компьютерного "андерграунда" - Chaos Computer Club. В то время форум собирал хакеров, специализировавшихся на взломе VAX/VMS-систем. Несмотря на это, вряд ли они были разочарованы пристрастием одного из членов форума к IBM-совместимым компьютерам.
Появление вируса Vienna. Его происхождение и распространение практически по всему миру имело большой резонанс и вызвало горячие споры о настоящем авторе. Первым, кто поднял шум по поводу этого вируса, был Франц Свобода (Franz Swoboda). Его предупреждение об обнаружении саморазмножающейся программы по имени Charlie (именно такое имя вирус получил от самого Свободы) было ретранслировано многими мировыми информационными агентствами и привлекло пристальное внимание общественности. Разумеется, общественность попыталась выяснить эпицентр эпидемии. В процессе расследования оказалось, что Свобода получил вирус от известного Ральфа Бюргера. Последний, в свою очередь, полностью отрицал этот факт и, более того, утверждал обратное, будто он получил вирус от Свободы. Кто же из них был настоящим родителем незаконнорожденного - так и не удалось выяснить, поэтому до сих пор Vienna официально считается сиротой.
Несмотря на неясность ситуации с автором Vienna, его появление было примечательно с еще одной точки зрения. Один из претендентов на отцовство, Ральф Бюргер, передал копию вируса Бернту Фиксу (Bernt Fix), который его дизассемблировал. Важно заметить, что это был первый случай, когда человек дизассемблировал вирус. Несмотря на это, считать Фикса первым компьютерным вирусологом-практиком все же нельзя: не стоит забывать, что работа антивирусного эксперта заключается не только в разборе внутреннего строения вируса, но и в производстве соответствующего противоядия.
Тем не менее, Бюргер воспользовался результатами работы Фикса и опубликовал дизассемблированный код Vienna в своей книге под названием "Компьютерные вирусы: болезнь высоких технологий" ("Computer Viruses: A High Tech Desease"), явившейся аналогом вышедшей позднее книги Б. Хижняка "Пишем вирус и антивирус". В своей книге Бюргер слегка модифицировал код вируса, уменьшив его способности к размножению и изменив внешние проявления. Несмотря на это, на наш взгляд, книга все равно популяризировала идею написания вирусов, объясняла, как это делается, и таким образом служила толчком к написанию тысяч компьютерных вирусов, частично или полностью использовавших идеи этой книги.
В этом же году независимо друг от друга появляется еще несколько вирусов для IBM-совместимых компьютеров: знаменитый Лехайский вирус (Lehigh), названный в честь университета г. Бетлехэм, штат Пенсильвания, США; семейство вирусов Suriv; ряд загрузочных вирусов (Yale в США, Stoned в Новой Зеландии, Ping-pong в Италии) и первый в истории компьютеров самошифрующийся файловый вирус Cascade.
По иронии судьбы Лехайский вирус появился в альма-матер современной компьютерной вирусологии - Лехайском университете, где в то время работал Фред Коэн. Не менее судьбоносным можно считать тот факт, что Lehigh был первым вирусом, наносившим существенный вред, уничтожая информацию на дисках. Пожалуй, этот инцидент еще раз подтвердил расхожее мнение, что настоящий врач должен переболеть всеми болезнями. Как бы то ни было, но факт присутствия в университете высококвалифицированных специалистов (в том числе в области вирусов) сыграл важную роль в локализации вспышки вируса: в последующие годы так и не было зарегистрировано ни одного случая появления Lehigh "в диком виде" за пределами этого учебного заведения. С другой стороны, погашению эпидемии способствовал и сам механизм действия вируса. Во-первых, он заражал только системные файлы COMMAND.COM, оставляя все остальные исполняемые файлы, в том числе этого типа, нетронутыми. Это обстоятельство резко снижало скорость распространения Lehigh. Во-вторых, после заражения четырех файлов вирус был запрограммирован на уничтожение информации на текущем диске. Логично заключить, что вместе с данными он уничтожал и самого себя. Наконец, важно отметить, что в те времена пользователи начинали задумываться над проблемой защиты от вирусов, и многие из них усвоили актуальное на то время правило: первый признак заражения компьютера - увеличение размера COMMAND.COM. Таким образом, чтобы обнаружить Lehigh, достаточно было наблюдать за этим файлом.
Не меньший интерес представляет творение неизвестного программиста из Израиля - семейство резидентных файловых вирусов Suriv (попробуйте прочитать это слово задом наперед). Как и в случае с вирусом Brain трудно однозначно ответить на вопрос: было ли это вышедшим из-под контроля экспериментом или же это пример умышленного создания вредоносных программ. Многие антивирусные специалисты склоняются к мнению, что все же это был эксперимент . На это указывают фрагменты кода, обнаруженные позднее в Иерусалимском университете Израэлем Радаи (Yisrael Radai). Их изучение показало, что автор пытался изменить процедуру внедрения в EXE-файлы, и последняя модификация вируса являлась только отладочной версией.
Первый представитель этого семейства, логично получивший от автора название Suriv-1, имел способность заражать используемые COM-файлы в масштабе реального времени. Для этого вирус загружался в память компьютера и оставался там до его выключения. Это позволяло вирусу перехватывать файловые операции и заражать COM-файлы в случае их запуска пользователем. Это обстоятельство обеспечивало практически мгновенное распространение вируса по мобильным носителям.
Suriv-2, в отличие от своего предшественника, питал интерес исключительно к EXE-файлам. По сути дела это был первый вирус, который имел способность внедряться в этот тип файлов. Третья инкарнация вируса, Suriv-3, сочетала в себе особенности первых двух и умела одинаково эффективно заражать как COM, так и EXE-файлы.
Вскоре появилась четвертая модификация вируса, больше известная под названием Jerusalem, которая быстро распространилась по всему миру и стала причиной глобальной вирусной эпидемии 1988 г. Но об этом несколько позже.
Нельзя обойти вниманием и зашифрованный вирус Cascade, получивший такое название из-за вызываемого эффекта "осыпающихся букв": после активизации вируса все символы текущего экрана "ссыпались" на нижнюю строку. Вирус состоит из двух частей - расшифровщика и тела вируса. Первый кодирует тело вируса таким образом, что в каждом зараженном файле оно выглядит по-разному. После запуска файла управление передается расшифровщику, который расшифровывает тело вируса и передает ему управление.
Этот вирус можно считать предвестником полиморфных вирусов, которые не имеют постоянного программного кода, но сохраняют свою функциональность. Однако, в отличие от появившихся позднее "полиморфиков" Cascade шифровал только тело вируса, принимая в качестве ключа шифра текущий размер заражаемого файла. Сам расшифровщик оставался неизменным, что позволяло современным антивирусным сканерам без труда обнаруживать вирус.
В 1988 г. Cascade вызвал серьезный инцидент в бельгийском филиале корпорации IBM. Это стало отправной точкой в разработке IBM собственной антивирусной программы, которая до сентября 1989 г. использовалась исключительно для внутренних нужд и не являлась коммерческим продуктом.
Позднее, Марк Уошбурн (Mark Washburn) соединил сведения о вирусе Vienna, опубликованные Ральфом Бюргером, и идею самошифрования, примененную в Cascade, и создал целое семейство первых полиморфных вирусов Chameleon.
Не остались в стороне и не-IBM-компьютеры: было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.
В декабре 1987 произошла первая известная повальная эпидемия сетевого вируса "Christmas Tree", написанного на языке REXX и распространявшего себя в операционной системе VM/CMS. 9-го декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем - в сеть IBM VNet. Через четыре дня (13 декабря) вирус парализовал сеть - она была забита его копиями. При запуске вирус выводил на экран изображение новогодней (вернее, рождественской) елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG.
Одно из наиболее знаменательных событий в области вирусов в 1988 г. - глобальная эпидемия упомянутого выше творения неизвестного программиста из Израиля. Вирус Suriv-3, более известный как Jerusalem, был обнаружен одновременно в компьютерных сетях многих коммерческих фирм, государственных организаций и учебных заведений. По сути дела вирус обнаружился сам: в пятницу, 13-го, он уничтожал все запускаемые на зараженном компьютере файлы. В 1988 г. этой черной датой стало 13 мая. Именно в этот день сообщения о тысячах инцидентах с участием Jerusalem поступили со всех концов планеты, в первую очередь из Америки, Европы и с Ближнего Востока.
В это время стали появляться первые компании-разработчики антивирусного программного обеспечения. Как правило, это были маленькие, полулюбительские фирмы, чаще всего состоявшие из двух-трех человек. Антивирусные программы представляли собой простейшие сканеры, использовавшие контекстный поиск для обнаружения уникальной последовательности кода вируса. Наряду со сканерами, большой популярностью пользовались иммунизаторы, модифицировавшие программы так, что вирусы считали их уже зараженными и не трогали. Позднее, когда количество вирусов увеличилось в сотни раз, иммунизаторы потеряли свою актуальность, потому как сделать "прививку" от всех них представлялось просто нереальным. Оба типа антивирусов распространялись бесплатно, условно-бесплатно или продавались по смешным ценам. Несмотря на это они еще не получили достаточного распространения, чтобы эффективно предотвращать вирусные эпидемии. К тому же, антивирусы были беспомощны перед лицом новых вирусов: несовершенство каналов передачи данных и отсутствие единой всемирной компьютерной сети наподобие современного интернета делали доставку обновленных версий программ весьма трудным делом.
Распространению вирусов Jerusalem, Cascade, Stoned, Vienna способствовал также и человеческий фактор. Во-первых, пользователи того времени отличались очень низким знанием правил антивирусной безопасности. Во-вторых, многие пользователи и даже профессионалы не верили в существование компьютерных вирусов. Показателен тот факт, что в 1988 г. известный программист Питер Нортон, чьим именем сегодня называются многие продукты американской компании Symantec (что отнюдь не означает, что в их разработке он принимал персональное участие), высказался резко против существования вирусов. Он официально объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал Symantec через некоторое время начать собственный антивирусный проект - Norton AntiVirus.
22 апреля 1988 г. создан первый электронный форум по проблеме антивирусной безопасности. Ею стала конференция Virus-L в сети Usenet, которая была создана коллегой Фреда Коэна по университету Кеном Ван Уайком (Ken van Wyk).
В 1988 г. были зафиксированы первые случаи распространения т.н. вирусных мистификаций (современный термин - 'Virus Hoax'). Это весьма интересный феномен, основанный на распространении ложных слухов о появлении новых, чрезвычайно опасных компьютерных вирусов. По сути дела эти слухи и были своего рода вирусами: напуганные пользователи распространяли такие сообщения по всем своим знакомым с необычайной скоростью. Вряд ли стоит останавливаться на том, что мистификации не наносят компьютерам никакого ущерба. Однако, вместе с тем, они забивают каналы передачи данных, нервируют других пользователей и дискредитируют людей, поверивших в эти слухи.
Одна из первых шуток такого характера принадлежит некому Mike RoChenle (псевдоним похож на английское слово "microchannel"), который в октябре 1988 г. разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бит в секунду. В качестве панацеи предлагалось как можно скорее перейти на использование модемов скоростью 1200 бит в секунду. Как это ни смешно, многие пользователи действительно последовали этому совету.
Другой шуткой из этой же области стало предупреждение, выпущенное Робертом Моррисом (Robert Morris) о вирусе, распространяющемся по электрической сети, изменяющем конфигурацию портов и направление вращения дисководов. Согласно сообщению, всего за 12 минут вирус успел поразить 300 000 компьютеров в штате Дакота (США).
Ноябрь 1988: повальная эпидемия настоящего сетевого вируса, получившего название червь Морриса. Вирус заразил более 6000 компьютерных систем в США (включая Исследовательский центр NASA) и практически парализовал их работу. По причине ошибки в коде вируса он, как и вирус-червь "Christmas Tree", неограниченно рассылал свои копии по другим компьютерам сети, запускал их на выполнение и таким образом полностью забирал под себя все сетевые ресурсы.
Для своего размножения вирус использовал ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал и несколько других оригинальных идей, например, подбор паролей пользователей (из списка, содержащего 481 вариант) для входа в системы под чужим именем. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.
Наконец, 1988 г. ознаменовался появлением одной из наиболее известных антивирусных программ - Dr. Solomon's Anti-Virus Toolkit. Программа была создана английским программистом Аланом Соломоном (Alan Solomon), завоевала огромную популярность и просуществовала до 1998 г., когда компания была поглощена другим производителем антивирусов - американской Network Associates (NAI).
Появляются новые вирусы - Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства - Vacsina и Yankee.
Вирус Datacrime имел крайне опасное проявление - с 13 октября по 31 декабря он инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска, что приводило к уничтожению таблицы размещения файлов (FAT) и безвозвратной потере данных. Первое сообщение об обнаружении вируса поступило в марте из Нидерландов от человека по имени Фред Фогель (Fred Vogel). Несмотря на небольшое распространение, Datacrime вызвал повальную истерию в мировых средствах массовой информации. Последовательно воспроизведенные многими печатными изданиями сведения об этом вирусе вызвали существенное искажение его реальной опасности и механизма действия. В США он даже получил название День Колумба, причем некоторые издания предположили, что вирус был написан никем иным как норвежскими террористами, пытавшимися отомстить за то, что открывателем Америки считается Колумб, а не Рыжий Эрик.
Интересный случай произошел в Голландии. Местная полиция приняла решение начать активную борьбу с киберпреступностью. Для этой цели она разработала антивирусную программу, способную нейтрализовать Datacrime и продавала ее прямо в полицейских участках по весьма доступной цене всего в $1. Антивирус пользовался большим спросом, но вскоре выяснилось, что программа работает недостаточно надежно, отличаясь большим числом ложных срабатываний. Для исправления ошибки была выпущена вторая версия антивируса, которая, однако, тоже не отличалась безукоризненной работой.
В июле 1989 г. общественность, внимание которой стараниями СМИ было сфокусировано на инциденте с Datacrime, в конце концов обратилась к тогдашнему безоговорочному лидеру в компьютерной области - корпорации IBM - с просьбой избавить их от грядущей напасти. После недолгих раздумий и маркетинговых исследований IBM все же решила "рассекретить" свой антивирусный проект, разработанный в исследовательском центре T J Watson (IBM T J Watson Research Center) и сделать его полноценным коммерческим продуктом. IBM Virscan для MS-DOS появился в продаже 4 октября 1989 г. всего за 35 долларов.
Апрель 1989 г. стал весьма примечательной вехой в истории небольшого английского паба в Оксфорде. В это время в этом самом месте руководителям английской антивирусной компании Sophos Яну Храске (Jan Hruska), Питеру Лэймеру (Peter Lammer) и Эду Уайлдингу (Ed Wilding) пришла идея публикации независимого издания, содержащего действительно надежную, проверенную информацию о компьютерных вирусах. С самого первого номера (июль 1989 г.) главными критериями работы Virus Bulletin (такое название получил новый журнал) стали его полная независимость (с момента создания в журнале не было опубликовано ни одного рекламного объявления) и профессиональный подход к освещению проблемы защиты от вирусов. Авторами статей и членами редакционного совета Virus Bulletin являются наиболее уважаемые антивирусные эксперты-представители ведущих компаний-разработчиков антивирусного программного обеспечения.
С сентября 1989 г. Virus Bulletin начал проводить ежегодные конференции, куда съезжались как антивирусные специалисты, так и корпоративные заказчики . Пожалуй, это была одна из первых успешных попыток объединения антивирусных экспертов и крупных пользователей разных стран для того, чтобы сообща бороться с компьютерной чумой века. Конференции способствовали обмену опытом между ведущими разработчиками антивирусных программ, помогали вырабатывать единую позицию в борьбе с компьютерным вандализмом, систематизировать исследования феномена компьютерных вирусов и т.д. Это давало заказчикам достоверную информацию "из первых рук" о существующих трудностях и перспективах развития средств защиты от вирусов.
В качестве ответа на действия конкурента другая английская антивирусная компания -Dr.Solomon's - в конце 1989 г. запускает свой собственный издательский проект -Virus Fax International. В 1990 г. издание было переименовано в Virus News International, а еще позднее - в Secure Computing . Сегодня этот журнал является одним из наиболее популярных изданий в области защиты информации, специализируясь на анализе не только антивирусных программ, но также всего спектра программных и аппаратных средств, применяемых для обеспечения компьютерной безопасности. Secure Computing проводит ежегодные конкурсы "Secure Computing Awards" на лучшие разработки в различных областях, в т.ч. в области антивирусной защиты, криптографии, контроля доступа, межсетевых экранов и др.
16 октября 1989 г. на компьютерах VAX/VMS в сети SPAN была зафиксирована эпидемия вируса-червя WANK Worm. Для распространения червь использовал протокол DECNet и менял системные сообщения на сообщение "WORMS AGAINST NUCLEAR KILLERS", сопровождаемое текстом "Your System Has Been Officially WANKed". WANK также менял системный пароль пользователя на набор случайных знаков и пересылал его на имя GEMPAK в сети SPAN.
Декабрь 1989: инцидент с троянской программой Aids Information Diskette. Некий злоумышленник разослал 20.000 дискет, содержащих "троянца", по адресам в Европе, Африке и Австралии, похищенным из баз данных Организации всемирного здравоохранения и журнала PC Business World. После запуска зараженной дискеты вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы программа шифровала имена всех файлов, делала их невидимыми и оставляла на диске только один читаемый файл - счет, который следовало оплатить и отослать по указанному адресу (см. Приложение 4). Следствию удалось довольно быстро выявить автора "троянца", оказавшегося неким Джозефом Поппом (Joseph Popp), который позднее был признан невменяемым. Несмотря на это он был заочно приговорен к тюремному заключению итальянскими властями.
Следует отметить тот факт, что 1989 год стал началом повальной эпидемии компьютерных вирусов и в России. К концу 1989 года на наших просторах "паслось" уже около десятка вирусов (перечислены в порядке их появления): две версии Cascade, несколько модификаций вирусов Vacsina и Yankee, Jerusalem, Vienna, Eddie, PingPong.
Распространение высоких технологий, в том числе в России (тогда еще СССР) предопределило возникновение новых антивирусных проектов по всему миру. В 1989 г. свою карьеру антивирусного эксперта начал Евгений Касперский, позже основавший компанию "Лаборатория Касперского". Его первое знакомство с вирусами произошло в октябре 1989 г, когда вирус Cascade был обнаружен на его рабочем компьютере. Именно это и послужило толчком для будущей профессиональной переориентации Евгения Касперского на создание программ-антивирусов.
Месяцем позже второй инцидент (вирус Vacsina) был закрыт при помощи первой версии антивируса '-V', который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro.
В 1989 г. на международную арену выходят другие антивирусные продукты: F-Prot, ThunderBYTE,Norman Virus Control.
Этот год принес несколько весьма заметных событий, ознаменовавших новый этап в области создания вирусов.
Во-первых, это касается появления нового поколения компьютерной фауны - полиморфных вирусов. Первый представитель этого типа вредоносных программ, Chameleon (1260, V2P1, V2P2 и V2P6), "эволюционировал" из двух других ранее известных вирусов - Vienna и Cascade. Автор Chameleon, Марк Уошбурн, за основу вируса взял сведения о Vienna из книги Бюргера и добавил к нему усовершенствованные принципы самошифрации Cascade. В отличие от Cascade, Chameleon изменял внешний вид как тела вируса, так и самого расшифровщика. Эта особенность делала современные антивирусные программы малоэффективными: до этого момента они использовали обычный контекстный поиск "масок", т.е. кусков вирусного кода. В Chameleon отсутствовал постоянный вирусный код, что делало разработку новых принципов антивирусной защиты задачей номер 1. Эти принципы не заставили себя долго ждать, и вскоре антивирусные эксперты изобрели специальные алгоритмические языки, способные распознать в зараженном файле даже полиморфный вирус. Позднее, в 1992 г., Евгений Касперский изобрел еще более эффективный способ нейтрализации полиморфных вирусов - эмулятор процессора для дешифрации кодов. Сегодня технология является неотъемлемым атрибутом каждого современного антивирусного продукта.
Вторым важным событием года стало появление болгарского "завода по производству вирусов". В течение этого года и ряда последующих лет было обнаружено огромное количество новых вирусов, которые имели болгарское происхождение. Это были целые семейства вирусов - Murphy, Nomenclatura, Beast (или 512, Number-of-Beast), новые модификации вируса Eddie и многие другие. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и сокрытия себя в системе. Именно этот человек впервые использовал технологию заражения файлов, при которой вирус, находящийся резидентно в памяти компьютера, автоматически заражал все используемые файлы, в т.ч. просто открываемые для чтения. Dark Avenger демонстрировал большие способности не только в создании вирусов, но также и в их распространении: он активно загружал зараженные программы на электронные станции (BBS), распространял исходные коды своих "творений" и всячески пропагандировал идею создания вирусов.
В этом же году в Болгарии появилась первая BBS (VX BBS), ориентированная на обмен вирусами и информацией для вирусописателей. Идеология станции была исключительно проста: если пользователь передавал вирус, то взамен он мог загрузить один понравившийся ему вирус из каталога станции. Если же пользователь передавал новый, интересный вирус, то он получал полный доступ к ресурсам станции и мог загружать неограниченное число вирусов из предлагаемой коллекции. Вряд ли стоит пояснять каким мощным стимулом развитию вирусного движения стала VX BBS. Станция отнюдь не была каким-то локальным явлением: доступ к ней мог получить любой желающий из любой точки мира!
В июле 1990 г. произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller. Было продано более 50.000 копий журнала. Комментарии излишни.
Во второй половине 1990-го появились два монстра-невидимки - Frodo и Whale. Оба вируса использовали крайне сложные алгоритмы сокрытия присутствия в системе ("невидимости"), а девятикилобайтный Whale, к тому же, применял несколько уровней шифровки и целый ряд хитрых антиотладочных приемов.
Были обнаружены и первые известные отечественные вирусы: "Peterburg", "Voronezh" и ростовский "LoveChild".
В декабре 1990 г. в Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR - European Institute for Computer Anti-virus Research) . Сейчас Институт является одной из наиболее уважаемых международных организаций, объединяющей практически все крупные антивирусные компании.
Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Быстрый рост количества и качества компьютерной заразы и внимание, которое приковывал к себе этот столь "модный" феномен как со стороны пользователей, так и средств массовой информации, определил начало формирования нового рынка - средств защиты от компьютерных вирусов. Этот факт не ускользнул от внимания маркетинговых служб компаний-производителей программного обеспечения: конец 1990 - начало 1991 г. стали временем создания целого ряда антивирусных продуктов. Во-первых, это Norton AntiVirus компании Symantec, представленный в декабре 1990 г. Во-вторых, это Central Point AntiVirus и антивирусный проект компании Fifth Generation Systems под названием "Untouchable". Впрочем, оба они позднее были куплены Symantec: первый - в июне 1994 г. за $60 млн., второй - в октябре 1993 г. за $48 млн.
Вслед за болгарской VX BBS и неуловимым Dark Avenger по всему миру появляются другие станции, ориентированные на обмен вирусами, и новые темные личности, посвятившие свои жизни созданию вирусов. В Италии появляется Cracker Jack (Italian Virus Research Laboratory BBS), в Германии - Gonorrhoea, в Швеции - Demoralized Youth, в США - Hellpit, в Англии - Dead On Arrival и Semaj.
В апреле разразилась настоящая эпидемия файлово-загрузочного, полиморфного вируса Tequila. Он был создан одним швейцарским программистом исключительно в исследовательских целях и не предназначался для какой-либо вредоносной деятельности. Однако, экземпляр вируса был похищен знакомым автора, который, в свою очередь, намеренно заразил диски своего отца. К слову сказать, отец работал в компании по производству компьютерных программ, что и определило быстрое распространение Tequila. В сентябре подобный инцидент случился с полиморфным вирусом Amoeba. Россию эти события практически не затронули.
Лето 1991: эпидемия вируса Dir_II, использовавшего принципиально новый способ заражения файлов - link-технологию. На сегодняшний день этот вирус остается единственным представителем этого класса, который был обнаружен в диком виде.
В целом, год 1991 был достаточно спокойным - этакое затишье перед бурей, разразившейся в 1992-м.
Вирусы для не-IBM-PC и не-MS-DOS практически забыты: "дыры" в глобальных сетях закрыты, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. На этом фоне выделяются следующие основные моменты.
- Начало года: появляется первый полиморфик-генератор MtE. Его главное предназначение - возможность интеграции в другие вирусы для обеспечения их полиморфизма. Автор программы, печально известный Dark Avenger, делает все возможное, чтобы облегчить своим "коллегам" работу с MtE: генератор поставляется в виде готового объектного модуля и сопровождается подробной документацией с указаниями и его лучшем применении. На базе MtE через некоторое время появляется сразу несколько полиморфных вирусов. Он также стал прообразом нескольких последующих полиморфик-генераторов. MtE стал серьезной головной болью для антивирусных компаний. Некоторые из них даже спустя несколько месяцев так и не добились 100% результата обнаружения известных вариантов полиморфных вирусов, созданных с использованием MtE.
- Появляются первые вирусы класса анти-антивирус. Одним из первых представителей этого класса стал Peach, который удалял базу данных ревизора изменений Central Point AntiVirus. Если эта антивирусная программа не находила базы данных, то она считала, что запущена в первый раз и незаметно для пользователя создавала ее заново. Таким хитрым образом вирус обходил защиту и оставался незаметным, постепенно заражая всю систему.
- В органах внутренних дел по всему миру начинают развиваться специальные департаменты, занимающиеся исключительно компьютерными преступлениями. Достоянием гласности становятся все больше случаев успешной борьбы с создателями вирусов. Например, Отдел по борьбе с компьютерными преступлениями Скотланд Ярда (Computer Crime Unit of the New Scotland Yard) успешно "разоружает" английскую вирусную группу ARCV (Association for Really Cruel Viruses). Активная позиция правоохранительных органов Великобритании, к примеру, практически нейтрализовала активность компьютерного андерграунда, и даже сейчас в этой стране нам неизвестны сколько-нибудь серьезные организованные группировки вирусописателей.
- Март 1992: эпидемия вируса "Michelangelo" ("March6") и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своим продуктам, т.е. в целях извлечения коммерческой выгоды. Так, одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадали всего несколько тысяч машин.
- Июль 1992: появление первых конструкторов вирусов VCL и PS-MPC. Они позволяли людям создавать свои собственные вирусы различных типов и модификаций, нашпиговывая их богатым "ассортиментом" деструктивных действий. Конструкторы увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.
- Конец 1992: обнаружение Win.Vir_1_4 (10) - первого вируса для Windows, заражающего исполняемые файлы этой операционной системы. Несмотря на то, что вирус был корявым, имел ограниченные возможности для распространения и не использовал специальные функции Windows, он все же открыл новую страницу в истории создания компьютерных вирусов.
- Ноябрь 1992: компания Symantec приобретает Certus International (а с ней и антивирусный продукт компании - Novi).
Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик-генераторов и конструкторов, помимо новых электронных изданий для вирусописателей - появляется все больше и больше вирусов, использующих крайне необычные способы заражения файлов, проникновения в систему и другие технологии сокрытия и разрушения.
В качестве примера можно привести вирус PMBS, работающий в защищенном режиме процессора Intel 80386; а также - вирус Strange (или "Hmm") - сольное выступление на тему "стелс-вирус", однако выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h. Не меньший "вклад" в развитие вирусных технологий внес вирус Carbuncle, значительно расширивший диапазон алгоритмов компаньон-вирусов. Ряд других вирусов, в частности, Emmie, Bomber, Uruguay и Cruncher (6-9) использовали принципиально новые приемы маскировки своего кода в зараженных файлах.
Весна 1993 г. оказалась весьма нервозным временем для еще не успевших набрать силу компаний-производителей антивирусного ПО. Возмутителем спокойствия стала, как это повторилось позднее в случае с интернет-браузерами, корпорация Microsoft. Она выпустила свой собственный антивирус - Microsoft AntiVirus (MSAV), который включался в стандартную поставку операционных систем MS-DOS и Windows. Он был основан на бывшем в то время популярным Central Point AntiVirus (CPAV). Первые тесты, проведенные независимыми испытательными лабораториями, показали высокую надежность продукта. Однако впоследствии его качество стало постепенно ухудшаться, и через некоторое время Microsoft решила закрыть этот проект. Производители антивирусов вздохнули свободно. Особенно свободно вздохнула Symantec, поглотившая конкурирующую компанию Fifth Generation Systems.
Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярным, этот тип носителей оказался одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходилось - их просто уничтожили.
В начале года в Великобритании появились два крайне сложных полиморфик-вируса - SMEG.Pathogen и SMEG.Queeg (до сих пор не все антивирусные программы в состоянии достичь 100%-го результата при их детектировании). Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.
Еще одну волну паники вызвало предупреждение о якобы существующем вирусе "GoodTimes", распространяющем себя по интернету и заражающем компьютер при получении электронной почты. Такого вируса на самом деле не существовало, и это предупреждение было занесено в разряд вирусных мистификаций. Однако через некоторое время появился обычный DOS-вирус, содержащий текст "Good Times". Он получил название GT-Spoof.
Несмотря на то, что эта мистификация родом из далекого 1994 г., мы до сих пор время от времени получаем письма от встревоженных пользователей, требующих рассказать о новом, чрезвычайно опасном вирусе "GoodTimes", слухи о котором циркулируют среди их знакомых по интернету. Мало того, эта утка очень быстро интернационализировалась и была переведена на многие языки мира, в т.ч. испанский, португальский, французский, немецкий, русский, итальянский и многие другие.
Появляются несколько новых, достаточно необычных вирусов:
Январь 1994: Shifter (12) - первый вирус, заражающий объектные модули (OBJ-файлы). "Phantom1" - эпидемия первого полиморфного вируса в Москве.
Апрель 1994: SrcVir - семейство вирусов, заражающих исходные тексты программ (C и Pascal).
Июнь 1994: OneHalf (13) - начало повальной эпидемии опасного и очень сложного полиморфного вируса, до сих пор доставляющего хлопоты пользователям по всему миру.
Сентябрь 1994: "3APA3A" (14) - эпидемия файлово-загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.
Этот год также ознаменовался несколькими важными событиями в антивирусной области. В июне перестал существовать один из антивирусных лидеров того времени - Central Point. Компанию приобрела фирма Symantec, уже успевшая получить титул коллекционера антивирусных проектов за свое пристрастие к поглощению конкурентов. В сентябре состоялся международный дебют AntiViral Toolkit Pro (AVP): первое участие программы группы разработчиков, руководимой Евгением Касперским, в независимых тестах Центра по изучению компьютерных вирусов Гамбургского университета принесла AVP абсолютную победу по всем категориям.
Ничего действительно заметного в области DOS-вирусов не произошло, хотя появилось несколько достаточно сложных вирусов-монстров типа NightFall, Nostardamus, Nutcracker и таких забавных вирусов, как "двуполый" вирус RMNS и BAT-вирус Winstart. Широкое распространение получили вирусы ByWay и DieHard2 - сообщения о зараженных компьютерах были получены практически со всего мира.
Февраль 1995: произошел инцидент с компанией Microsoft: на диске, содержащем демонстрационную версию операционной системы Windows 95, обнаружен загрузочный вирус "Form". Копии этого диска Microsoft разослала 160 бета-тестерам, один из которых не поленился провести антивирусную проверку.
Весна 1995: анонсирован альянс двух антивирусных компаний - ESaSS (разработчик ThunderBYTE Anti-Virus) и Norman Data Defence Systems (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы. Позднее, в феврале 1998 г., это сотрудничество вылилось в банальное поглощению норвежцами голландской компании ESaSS.
Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в "живом виде" обнаружен первый вирус для текстового процессора Microsoft Word ("Concept"). Буквально за месяц вирус "облетел" весь земной шар, заполонил компьютеры пользователей MS Word и прочно занял первые места в статистических исследованиях, проводимых различными компьютерными изданиями. В первой половине сентября один из крупнейших мировых производителей компьютеров, компания Digital Equipment Corporation (DEC), распространила среди делегатов конференции DECUS, проходившей в Дублине, дискету, содержавшую "Concept". К счастью, этот инцидент был быстро обнаружен и локализован. Важно отметить, что "Concept" до сих пор имеет широкое хождение и на сегодняшний момент известно около 100 модификаций этого вируса.
Не меньший резонанс также имело появление первого компьютерного вируса для AmiPro, текстового редактора, в те времена не уступавшего по популярности даже MS Word. Исходный код вируса "Green Stripe" оказался бесплатным "приложением" к полуподпольному изданию Марка Людвига (Mark Ludwig) "Underground Technology Review".
Появление макро-вирусов заставило антивирусные компании еще раз серьезно задуматься, поскольку для защиты от этого класса вирусов требовалась разработка специального дополнения к программному ядру антивирусной программы, способной осуществлять поиск макро-вирусах в документах Word, а позднее и Excel, Access, PowerPoint и других приложений.
В 1995 г. дважды отличился английский филиал издательского дома Ziff-Davis. В сентябре принадлежащий ему журнал PC Magazine (английская редакция) распространил среди своих подписчиков дискету, содержащую загрузочный вирус Sampo. Этот факт был скоро обнаружен, редакция журнала принесла свои извинения и предложила читателям бесплатную антивирусную утилиту. Ирония случившегося заключалась в том, что в номере журнала, который сопровождала зараженная дискета, были опубликованы результаты тестов антивирусных продуктов для Novell NetWare.
В середине декабря другой журнал из семейства Ziff-Davis, Computer Life, разослал читателям дискету с рождественскими поздравлениями. Помимо собственно поздравления диск также содержал неожиданный сюрприз - загрузочный вирус Parity_Boot.B. В этой связи название журнала в глазах его читателей приобрело несколько иное значение.
В течение всего года не смыкали глаз блюстители компьютерного порядка. При содействии Подразделения по борьбе с компьютерными преступлениями Нового Скотланд Ярда (Computer Crime Unit), в Англии напряженно протекал, пожалуй, один из самых громких судебных процессов над Кристофером Пайлом (Christopher Pile), подозревавшимся в создании и распространении компьютерных вирусов. Также известному под псевдонимом Black Baron, 26-летнему безработному Пайлу 16 января, в суде г. Плимут было предъявлено обвинение в авторстве вирусов Queeg и Pathogen, а также полиморфик-генератора SMEG. Через 10 месяцев, 15 ноября, он признал себя виновным и был приговорен к 18 месяцам тюремного заключения.
Январь 1996: два достаточно заметных события - появился первый вирус для операционной системы Windows 95 - Boza, и произошла эпидемия крайне сложного полиморфного вируса Zhengxi, написанного российским программистом из Санкт-Петербурга Денисом Петровым.
Март 1996: первая эпидемия вируса для Windows 3.x. Его имя - Win.Tentacle. Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Отличительная черта этого вируса в том, что это был первый Windows-вирус, вырвавшийся на свободу. До той поры все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в "живом виде" встречались только загрузочные, DOS- и макро-вирусы.
Июнь 1996: "OS2.AEP" - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом "компаньон".
Июль 1996: "Laroux" - первый вирус для Microsoft Excel, к тому же пойманный в "живом виде" практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР. Как и у MS Word-вирусов, принцип действия "Laroux" основывается на наличии в файлах так называемых макросов - программ на языке программирования Visual Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS Word. Как оказалось, встроенный в Excel Visual Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997 стал причиной эпидемии во многих компьютерных фирмах Москвы.
В конце лета вирусописатели под псевдонимами Nightmare Joker и Wild Worker практически одновременно выпускают конструкторы макро-вирусов для соответственно немецкой и английской версий MS Word - Word Macro Virus Construction Kit и Macro Virus Development Kit.
В середине октября в Microsoft произошел очередной инцидент, связанный с компьютерными вирусами: на веб-сайте компании, в одном из документов Word, посвященных технической поддержке программных продуктов Microsoft в Швейцарии, был обнаружен максро-вирус Wazzu. Позднее этот же вирус был найден на компакт-дисках, распространенных компанией на выставке компьютерных технологий Orbit, проходившей в Базеле, Швейцария. Однако на этом проблемы Microsoft с Wazzu не закончились: в сентябре вирус попал на компакт-диск Microsoft Solution Provider.
Декабрь 1996: "Win95.Punch" - первый резидентный вирус для Windows 95. Он загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.
В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андерграунда на операционные системы Windows95 и Windows NT, а также на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows 95/NT и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс- и полиморфик-механизмы и т.п. Таким образом, компьютерные вирусы вышли на новый виток своего развития - уровень 32-битных операционных систем. За два года вирусы для 32-битных Windows повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно новом технологическом уровне.
Произошли существенные изменения и у производителей антивирусных программ: в конце года компания Cheyenne Software, разработчик антивируса InocuLAN, была поглощена софтверным гигантом Computer Associates.
В феврале 1997 г. появляется первый вирус для операционной системы Linux - "Linux.Bliss". Так вирусы заняли еще одну "биологическую" нишу.
Одновременно в выходом очередной версии пакета офисных приложений Microsoft Office 97 отмечается постепенное "переползание" макро-вирусов на эту платформу. Ограниченные возможности работы, а в некоторых случаях полная несовместимость макро-вирусов, созданных для MS Word 5.0 и Excel 5.0, с новым пакетом определялась присутствием в нем новой версии языка программирования Visual Basic for Applications (VBA) 5.0, который заметно отличался от Word Basic и VBA 3.0. Первые макро-вирусы для MS Office 97 на поверку оказались полными аналогами своих предшественников, всего лишь конвертированными в новый формат. Несмотря на это очень скоро появились настоящие макро-вирусы, нацеленные на работу исключительно в MS Office 97.
Март 1997 г. ознаменовался появлением макро-вируса "ShareFun" для MS Word 6/7, открывшего новую страницу в истории компьютерной индустрии. Он стал первым вирусом, использовавшим для своего распространения возможности современной электронной почты, в частности, почтовую программу MS Mail.
Апрель 1997: обнаружение вируса "Homer" - первого сетевого вируса-червя, использующего для своего распространения протокол передачи данных File Transfer Protocol (FTP).
Июнь 1997: Появление первого самошифрующегося вируса для Windows 95 - "Win95.Mad". Вирус, имеющий российское происхождение, был разослан на несколько станций BBS в Москве, что стало причиной довольно крупной эпидемии.
Ноябрь 1997: Вирус "Esperanto". Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы операционной системы MacOS (Макинтош).
Развитие интернета, в частности, появление технологии mIRC (Internet Relay Chat) определило живой интерес, проявленный к ней со стороны вирусописателей. Поток вредоносных программ для mIRC не заставил себя ждать.
Декабрь 1997: антивирусный мир трубит о появлении принципиально нового типа компьютерных червей, использующих каналы IRC (Internet Relay Chat). Анализ работы наиболее популярной утилиты для работы с IRC, известной как mIRC, показал присутствие опасной бреши в системе безопасности. Она заключалась в совпадении каталога для хранения загруженных через IRC файлов и каталога размещения управляющего файла SCRIPT.INI. Таким образом, злоумышленники могли передать на удаленный компьютер файл SCRIPT.INI (содержащий тело червя) и он автоматически замещал оригинальный управляющий файл. При последующем запуске mIRC стартовал код червя, который, в свою очередь, рассылал себя другим пользователям. Это досадное упущение разработчиков быстро исправили, и существовавшие примитивные IRC-черви канули в лету. Однако позднее появились многокомпонентные IRC-черви, которые также охотились на управляющие файлы SCRIPT.INI (для клиентов mIRC), EVENTS.INI (для клиентов pIRCh) и т.д., но делали это примерно так же, как черви для электронной почты: пользователю присылался исполняемый файл (EXE, COM, BAT и т.п.), который при запуске замещал оригинальный управляющий файл.
Одним из важнейших событий 1997 года стало отделение антивирусного подразделения фирмы КАМИ, возглавляемого Евгением Касперским, в независимую компанию "Лаборатория Касперского". Образование независимого юридического лица позволило вначале небольшой группе разработчиков всего за два года стать первой по значимости антивирусной компанией на отечественном рынке и достаточно заметной фигурой на рынке мировом. За короткие сроки были разработаны и выпущены версии для практически всех популярных платформ, предложены новые технологии защиты от вирусов, создана сеть международной дистрибуции и технической поддержки.
В октябре "Лаборатория Касперского" и финская компания Data Fellows (позднее переименованная в F-Secure Corporation) подписывают соглашение о лицензировании антивирусного ядра AVP для использования в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания Data Fellows была известна как производитель антивируса F-PROT.
Год 1997 также остался в памяти многих людей как Год Больших Дрязг: в разных концах мира разразились сразу несколько скандалов между крупными игроками рынка антивирусных продуктов. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили "закладку" в программах одного из своих основных конкурентов - в антивирусе фирмы Dr.Solomon's. Заявление от McAfee гласило, что если антивирус Dr.Solomon's при сканировании обнаруживает несколько вирусов различных типов, то его дальнейшая работа происходит в усиленном режиме. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr.Solomon's работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee "cheat mode" - "режим обмана"), позволяющий детектировать вирусы, невидимые для Dr.Solomon's при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr.Solomon's показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.
Ответный удар Dr.Solomon's не заставил себя ждать и вскоре эта фирма подала иск на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись к тексту "The Number One Choice Worldwide. No Wonder The Doctor's Left Town". Понятно, что под прозвищем Doctor подразумевался Алан Соломон (Alan Solomon) - основатель компании Dr.Solomon's, который в 1996 г. по сути дела передал свой бизнес топ-менеджерам компании.
Однако больше всех отличился тайваньский разработчик Trend Micro, обвинивший сразу две ведущие антивирусные компании - McAfee и Symantec - в нарушении его патента на технологию сканирования данных, передаваемых по интернету и электронной почте. Позднее в драку ввязался Symantec и предъявил иск McAfee по обвинению в использовании кодов из Norton AntiVirus Symantec в продуктах McAfee.
Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Assotiates Inc. (NAI) и о диверсификации бизнеса в направлении разработки не только антивирусных продуктов, но и других систем компьютерной безопасности: программ для шифрования, межсетевых экранов, сетевых сканеров и др. Однако на рубеже 1999-2000 гг. руководство NAI вновь принимает решение о реанимации бренда McAfee и линейка антивирусных продуктов компании получает свое старое имя.
Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в интернет (семейство PSW), и несколько утилит скрытого администрирования (Backdoor). Зафиксированы инциденты с зараженными компакт-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами CIH и Marburg. В частности, компакт-диски, сопровождавшие английскую, словенскую, шведскую, а позднее и итальянскую редакции журнала PC Gamer содержали Marburg. Этот же вирус содержался в программе электронной регистрации компакт диска MGM Interactive под названием Wargames PC. В конце сентября был обнаружен факт присутствия вируса AutoStart на компакт дисках с дистрибутивом новой версии Corel DRAW 8.0 для Mac OS.
Начало года: Эпидемия целого семейства вирусов Win32.HLLP.DeTroie, не только заражающих выполняемые файлы Windows32, но и способных передать своему "хозяину" информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франкоговорящие страны.
В феврале зафиксировано появление нового типа вируса для документов Excel - Excel4.Paix (или Formula.Paix). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. Позже, в этом же месяце, зарегистрированы Win95.HPS и Win95.Marburg - первые полиморфные Windows32-вирусы, обнаруженные к тому же "в живом виде". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.
В марте был обнаружен AccessiV - первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами Word.Concept и Excel.Laroux, он не стал, поскольку все уже привыкли к тому, что приложения MS Office одно за другим становятся жертвами компьютерных вирусов. Примерно в то же время было зафиксировано появление Cross -первого многоплатформенного макро-вируса, заражающего документы одновременно двух приложений MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-приложения в другое. Наиболее заметным из них стал "Triplicate" (также известный под именем "Tristate"), способный заражать Word, Excel и PowerPoint.
Май 1998: вирус "RedTeam", который стал первым вирусом, заражающим EXE-файлы Windows, и распространяющимся по электронной почте при помощи программы Eudora.
Июнь: эпидемия вируса Win95.CIH, ставшая сначала массовой, а затем глобальной - сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные электронные конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных веб-серверов - они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов "популярности" вирус "подвинул" таких вирусных суперзвезд, как Word.CAP и Excel.Laroux. Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы. Исключительно сложные процедуры работы CIH с оперативной памятью потребовали от разработчиков антивирусов значительных усилий по модернизации "движков" своих продуктов.
Август 1998: появление нашумевшего BackOrifice (Backdoor.BO) - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за BackOrifice появились несколько других аналогичных программ: NetBus, Phase и прочие.
Также в августе появился первый вирус, заражающий выполняемые модули Java - Java.StangeBrew. Данный вирус не представлял какой-либо опасности для пользователей интернета, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре файлов с веб-серверов.
Ноябрь 1998: VBScript.Rabbit - интернет-экспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты Visual Basic (VBS-файлы), которые активно применяются при написании веб-страниц. Тогда же "Лаборатория Касперского" выпустила обширный обзор о потенциальной опасности VBS-вирусов, однако многие специалисты поспешили заклеймить компанию "нарушителей спокойствия" и назвали этот шаг возмутительным нагнетанием вирусной истерии среди пользователей. Через полтора года, в мае 2000 г., когда грянула глобальная эпидемия скрипт-вируса LoveLetter, стало ясно, что прогноз в точности сбылся. Сейчас этот тип вирусов прочно удерживает первое место в списке наиболее распространенных и опасных вирусов.
Логическим следствием развития VBScript-вирусов стало появление полноценного HTML-вируса - HTML.Internal. Становится очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, веб-сервера и/или активно распространяющегося по электронной почте.
Жертвой компьютерных вирусов становится еще одно приложение из состава MS Office. Им стала популярная программа для создания презентаций - PowerPoint. В декабре 1998 г. неизвестным выпускается первый вирус этого типа - "Attach". За ним немедленно следуют два других - "ShapeShift" и "ShapeMaster", авторство которых, по всей видимости, принадлежит одному и тому же лицу. Появление PowerPoint-вирусов вызвало очередную головную боль у производителей антивирусных программ. Файлы этого приложения используют формат OLE2, что определяет возможность применения механизмов поиска вирусов в .doc- и .xls- файлах.
В январе журнал Virus Bulletin начинает новый проект VB 100% - регулярное тестирование антивирусных продуктов на предмет обнаружения ими 100% вирусов, выявленных в "диком виде". На данный момент VB 100% является одним из наиболее уважаемых независимых тестов, показывающих качество "родословной" антивирусных пакетов, т.е. насколько они стабильно показывают 100% эффективность в борьбе с вирусами, имеющими реальное хождение среди пользователей.
Произошли также заметные перестановки в антивирусном мире. В мае Symantec и IBM объявляют об объединении усилий в разработке антивирусных продуктов: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus прекращает свое существование. В конце сентября Symantec объявляет о выкупе антивирусного бизнеса корпорации Intel (LANDesk Virus Protect). Спустя всего две недели Symantec потрясает антивирусную индустрию еще одним приобретением - на этот раз компании Quarterdeck за $65 миллионов, в арсенале которой помимо утилит общего назначения также присутствовали продукты для защиты от вирусов (ViruSweep).
Такая агрессивная экспансия не могла остаться незамеченной другим американским антивирусным гигантом NAI, который 13 августа объявил о поглощении одного из своих главных конкурентов, английской компании Dr.Solomon's. Последний был куплен за рекордную сумму в $640 миллионов путем обмена акций. Данное событие вызвало настоящий шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей-продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.
Интересен и факт приобретения в декабре фирмой Aladdin Knowledge Systems известного производителя оборудования и программ для компьютерной безопасности, израильской компании EliaShim, разработчика линейки антивирусных продуктов eSafe.
21 декабря произошел курьезный случай с публикацией в газете The New York Times. Ее автор предупреждал пользователей о появлении нового компьютерного вируса для MS Word, распространяющегося по электронной почте и уже выведшего из строя несколько компьютерных сетей. Как позже стало известно, этим страшным вирусом оказался давно известный макро-вирус "Class".
Как ни странно, но наиболее значительным событием начала года стало отнюдь не появление нового компьютерного вируса, а объявление о, по всей видимости, долго готовившейся покупке софтверным гигантом Computer Associates (CA) австралийского разработчика антивирусных программ Cybec. Таким образом, в "копилке" CA, вслед за поглощенным в конце 1996 г. Cheyenne Software, оказался еще один антивирусный проект.
Однако компьютерные вирусы не заставили себя ждать, и в январе разразилась глобальная эпидемия интернет-червя Happy99 (также известного как Ska). По сути дела это был первый современный червь, открывший новый этап в развитии вредоносных программ. Он использовал для своего распространения программу MS Outlook, ставшую корпоративным стандартом в США и многих странах Европы.
Практически одновременно с этим был обнаружен весьма интересный макро-вирус для MS Word - Caligula. Он просматривает системный реестр, находит ключи, соответствующие популярной программе шифрования PGP (Pretty Good Privacy), вычисляет каталоги возможного нахождения программы и производит в них поиск базы данных ключей шифрования PGP версии 5.x. В случае обнаружения этой базы данных, вирус инициирует FTP-сессию и незаметно для пользователя передает на удаленный компьютер найденный файл.
В конце февраля были зарегистрированы инциденты с участием "SK" - первого вируса, заражающего файлы помощи Windows (HLP).
26 марта мир был потрясен известием о глобальной эпидемии вируса "Melissa" - первого макро-вируса для MS Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Подобно "Happy99" вирус "Melissa" делал это абсолютно незаметно для пользователя и, что самое страшное, от его имени. К счастью, этот макро-вирус не представлял собой ничего сложного, и антивирусные разработчики оперативно выпустили соответствующие дополнения к своим программам. Эпидемия была достаточно быстро погашена. Несмотря на это, "Melissa" все же успела принести ощутимый ущерб компьютерным системам мира: такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты. По разным оценкам совокупный ущерб от вируса варьировался от нескольких миллионов до десятков миллионов долларов США.
Правоохранительные органы США (точнее, те, которые занимаются киберпреступностью) исключительно быстро отреагировали на эпидемию "Melissa". Через некоторое время был обнаружен и арестован автор вируса, которым оказался 31-летний программист из Нью Джерси (США), некий Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и штрафу в размере 400 000 долларов США.
Не спали и правоохранительные органы на противоположном побережье Тихого океана: в Тайване. Здесь в апреле был найден автор вируса CIH (он же "Чернобыль"), которым оказался студент Тайваньского технологического института Чен Инг-Хао (CIH - его инициалы). Однако, из-за отсутствия жалоб на действия вируса со стороны местных компаний, у полиции не было оснований для ареста Чена.
7 мая вирусы вторгаются на территорию канадской корпорации Corel, точнее ее детища, графического пакета Corel DRAW!. Вирус "Gala" (также известный как GaLaDRieL), написанный на скрипт-языке Corel SCRIPT, стал первым, кто оказался способен заражать файлы как самого Corel DRAW!, так и Corel PHOTO-PAINT и Corel VENTURA.
В самом начале лета грянула эпидемия весьма опасного Интернет-червя "ZippedFiles" (также известного как ExploreZip). Он представлял собой EXE-файл, который после внедрения в систему уничтожал файлы некоторых популярных приложений. Хотя червь и не получил такого же распространения как "Melissa", оценки нанесенного им ущерба были гораздо выше. Несмотря на своевременные меры, предпринятые антивирусными компаниями по нейтрализации червя, в декабре был зарегистрирован рецидив "ZippedFiles". Отличие этой модифицированной версии заключалось лишь в том, что его тело было скомпрессировано утилитой сжатия Neolite. Таким образом, если антивирусная программа не поддерживала этот формат сжатия, червь становился для нее невидимым. А таких программ на тот момент было 100%. Лишь в январе 2000 г. в AntiViral Toolkit Pro (AVP) были интегрирована поддержка файлов, обработанных Neolite.
В августе был обнаружен интересный вирус-червь "Toadie" ("Termite"), который, помимо заражения файлов DOS и Windows, также прикреплял свои копии к письмам, отсылаемым по электронной почте при помощи программы Pegasus и пытался распространяться по каналам IRC.
Октябрь принес компьютерному сообществу еще три неприятных сюрприза. Во-первых, был обнаружен вирус "Infis", который стал первым вирусом для этой операционной системы, внедряющийся на самый высокий уровень безопасности платформы - область системных драйверов. Эта особенность делает вирус труднодоступным для лечения в памяти антивирусными программами. Во-вторых, в конце месяца антивирусные компании сообщили о первом компьютерном вирусе для MS Project. В действительности, это был многоплатформенный вирус, одинаково успешно заражавший как файлы MS Word, так и MS Project. В-третьих, проявился известный еще с июля скрипт-вирус "Freelinks", привлекший внимание вирусописателей к языку программирования Visual Basic Script (VBS) и ставший одним из предшественников печально известного вируса LoveLetter.
В ноябре мир потрясло появление нового поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал "KakWorm". Все вирусы этого типа использовали "дыру", обнаруженную в системе безопасности Internet Explorer. Несмотря на то, что Microsoft выпустила соответствующую заплатку в том же месяце, "KakWorm" до сих пор остается среди пяти наиболее распространенных вредоносных программ.
В том же месяце в США и Европе было зарегистрировано много случаев заражения Windows-вирусом FunLove.
7 декабря стал примечательным из-за обнаружения очередного творения бразильского вирусописателя по кличке "Vecna" - крайне сложного и опасного вируса "Babylonia", который также открыл новую страницу в области создания вирусов. Это был первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей. В случае, если в этом списке находился более "свежий" модуль, нежели уже установленный на зараженном компьютере, то вирус автоматически его загружал. Позднее технология удаленного самообновления была применена в червях Sonic, Hybris и многих других.
Начиная с середины года антивирусная индустрия формально разделяется на две части в соответствии с ее отношением к возможным инцидентам накануне и в первые недели после Нового Года. Одна часть усиленно продвигает идею, что компьютерный андерграунд в лице злых хакеров и вирусописателей всего мира приготовил мировому сообществу "сюрприз" в виде сотен тысяч исключительно опасных вирусов, способных потрясти основы человеческой цивилизации. Главный смысл этого послания - всем необходимо немедленно установить антивирусные продукты указанного производителя, которые, естественно, только и смогут спасти пользователей от грядущей напасти. Вторая часть антивирусных компаний, логично, противостояла первой и, в свою очередь, как могла успокаивала напуганных пользователей. Позднее, безосновательность и откровенная истеричность прозвучавших заявлений о "вирусной опасности-2000" показали свою несостоятельность и наступление 2000 года ничем не отличалось от всех остальных.
И немного о курьезах: компакт диск, сопровождавший ноябрьский номер венгерского журнала "Uj Alaplap", помимо набора полезной информации, также содержал и крайне неприятный сюрприз: одновременно два маскро-вируса для MS Word - "Class.B" и "Opey.A".
Год начался неожиданно: жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы, как участники подпольной группы 29A представили вирус "Inta", который оказался первым вирусом, корректно заражающим файлы под Windows 2000. Чуть позже, появившиеся практически одновременно вирусы "Unstable" и "Radiant" поставили крест на Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления "Unstable" и "Radiant" Visio Corporation, производящая пакет Vision была куплена Microsoft.
В апреле были зафиксированы случаи заражения макро-вирусом для MS Word российского происхождения "Proverb" в офисе британского премьер-министра на знаменитой Даунинг Стрит, 10. Остается лишь надеяться, что английские власти вдоволь насладились собранием русских народных афоризмов вроде "никогда не откладывай на завтра то, что можно выпить сегодня".
А 5 мая грянула попавшая в Книгу Рекордов Гиннеса эпидемия скрипт-вируса LoveLetter. Все произошло в точности как предсказывал в ноябре 1998 г. Евгений Касперский. Наивные пользователи даже не представляли себе, что в "безобидных" файлах VBS, замаскированных под еще более безобидные TXT, может находиться исключительно опасный вирус. Сразу же после запуска он уничтожал на дисках файлы определенного расширения и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook. Открытость исходного кода скрипт-вирусов предопределила то, что на протяжении всего года на свет появлялись новые модификации вируса, так что их число на данный момент достигает уже 90.
6 июня был обнаружен "Timofonica" - первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Помимо распространения по электронной почте, вирус посылал сообщения на случайные номера мобильных телефонов испанской сотовой сети MoviStar, принадлежащей телекоммуникационному гиганту Telefonica. Более никаким образом вирус на мобильные телефоны не влиял. Несмотря на это, многие средства массовой информации поспешили назвать "Timifonica" первым "сотовым" вирусом.
Лето 2000 г. действительно выдалось жаркое, особенно применимо к компьютерным вирусам. Хотя это время считается временем отпусков как у вирусописателей, так и у антивирусных экспертов, первые, по всей видимости, решили сделать неожиданный сюрприз вторым. В июле группа Cult of Death Cow представила новую версию известной утилиты несанкционированного удаленного администрирования Back Orifice 2000 (BO2K). Это произошло на ежегодной конференции DefCon (названной в пику DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности, новая версия программы представляла никак не большую опасность, нежели ее предшественница и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой BO2K стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже видимой инсталляцией. Несмотря на это она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как "Троянец" класса "Backdoor".
В июле же появились сразу три исключительно интересных вируса. "Star" стал первым вирусом для пакета AutoCAD. "Dilber" отличился тем, что содержал коды сразу пяти вирусов, среди которых "CIH", "SK", "Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище "Шаттл, полный вирусов". Третьим стал Интернет-червь "Jer", использующий "топорный" метод проникновения на компьютер. На Web сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на человеческий фактор, т.е. что пользователь автоматически ответит 'да', чтобы отвязаться от назойливой скрипт-программы. Появление этого червя свидетельствует о вхождении в моду новой технологии "раскрутки" вируса в Интернет. Сначала червь помещается на Web сайт, а потом проводится массированная рекламная компания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто пропустит его на свой компьютер.
В августе был обнаружен "Liberty" - первая вредоносная программа класса "Троянский конь" для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске он стирал файлы, но не имел никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS - "Phage". Он представлял собой классический вирус-паразит, который вместо внедрения в заражаемые файлы стирал их и на их место записывал свой код.
В начале сентября был обнаружен первый известный компьютерный вирус ("Stream"), способный манипулировать дополнительными потоками (ADS) файловой системы NTFS. Данный вирус нельзя рассматривать как нечто, представляющее собой реальную угрозу. Гораздо большую опасность представляет сама технология проникновения в дополнительные потоки, поскольку ни один антивирусный сканер не в состоянии обнаружить там вредоносный код. К сожалению, история вызвала неадекватную реакцию у некоторых западных антивирусных компаний, которые обвинили "Лабораторию Касперского" в запугивании пользователей. Тем не менее, кроме голословных обвинений оппоненты не смогли представить сколько-нибудь вескую аргументацию в подтверждение выдвинутой ими теории безопасности дополнительных потоков NTFS. Проблема антивирусной защиты NTFS до сих пор остается насущной, поскольку с момента обнаружения Stream, всего несколько антивирусных сканеров научились искать вирусы в ADS.
В октябре появились первый вирус, срывающийся в информационных файлах PIF ("Fable") и первый вирус, написанный на скрипт-языке PHP ("Pirus"). Оба вируса на данный момент так и остались достоянием вирусных коллекций и не были обнаружены в "диком виде". Тогда же произошел громкий скандал, когда стало известно, что внутренняя сеть Microsoft была взломана и в течение нескольких месяцев открыта для неких неизвестных хакеров, предположительно из Санкт-Петербурга. Проникновение было совершено тривиальным способом, посредством сетевого червя QAZ. Курьезность ситуации придавал тот факт, что на момент обнаружения факта взлома, этот червь уже многие месяцы находился в базах данных практически всех антивирусных программ. Это обстоятельство дало основания сомневаться как в компетентности служащих Microsoft, так и, возможно, в их злом умысле. Однако, на момент написания этой книги виновник случившегося так и не был найден.
В ноябре происходит знаменательное событие: основной проект "Лаборатории Касперского", сумевшей всего за три года стать одним из основных игроков антивирусной индустрии, - семейство антивирусных продуктов AntiViral Toolkit Pro (AVP) меняет свое название на "Антивирус Касперского" (Kaspersky Anti-Virus) и принимает новый логотип.
В этом месяце также был обнаружен опасный и технологически совершенный вирус "Hybris", автором которого стал известный бразильский вирусописатель по прозвищу Vecna. Он развил идею своего первого самообновляющегося вируса "Babylonia" и учел ранее допущенные ошибки. Главным нововведением было использование как Web сайтов, так и электронных конференций (в частности alt.comp.virus) для загрузки новых модулей вируса на зараженные компьютеры. Если Web сайт можно было оперативно закрыть, то электронная конференция стала идеальным вариантом для распространения обновлений - уж ее-то закрыть не так просто. Кроме того, для идентификации настоящих вирусных модулей, т.е. действительно выпущенных автором, Hybris использовал 128-битных электронный ключ RSA для их шифрования.
В целом в 2000 году электронная почта еще раз доказала, что именно она стала основным средством транспортировки вредоносных кодов. Согласно статистике службы технической поддержки "Лаборатории Касперского", около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Этот год также был отмечен всплеском активности создателей вирусов к Linux. В целом было зарегистрировано появление 37 новых вирусов и троянских программ для этой операционной системы. Таким образом, общее количество Linux-вирусов достигло 43, причем только за 2000 г. их рост составил более чем 7 раз. Наконец, произошли существенные изменения в вирусных "чартах". Если раньше все верхние места наиболее распространенных вирусов прочно удерживали макро-вирусы, то в 2000 г. их место заняли скрипт-вирусы.
2001 год был отмечен определенными успехами антивирусных компаний в разработке новых и совершенствовании существующих технологий защиты от вредоносных программ. В то же время в этом году наблюдался дальнейший рост числа пострадавших от вирусных атак.
Основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, CodeRed, Nimda, Aliz, BadtransII и др.). Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam.
Традиционное доминирование традиционных файловых вирусов постепенно сходит на нет и основным способом размножения для вредоносных программ становится передача своего тела по локальным и глобальным сетям.
Брешь - это ошибка в обычной программе, через которую злоумышленник может незаметно внедрить на компьютер вредоносный код.
Опасность вирусов, использующих бреши, в том, что их активация происходит автоматически и практически не зависит от действий пользователя. Например, для заражения червем Nimda достаточно открыть письмо даже в окне предварительного просмотра. Червь CodeRed не требует и такого вмешательства - он самостоятельно находит через интернет уязвимые компьютеры и заражает их. По статистике 'Лаборатории Касперского' доля подобных вредоносных программ в общем объеме вирусных инцидентов 2001 года составила около 55%.
Столь пристальное внимание компьютерного андерграунда к брешам в системах безопасности вполне логично. Традиционный способ проникновения вируса на компьютер, при котором пользователь самостоятельно запускает зараженный файл, уже не является столь эффективным, как раньше. Учитывая это, вирусописатели начали поиск нового, более эффективного способа заражения компьютеров и нашли его в использовании уязвимостей в системах безопасности.
По статистике "Лаборатории Касперского" в 2001 г. количество вирусных атак через электронную почту увеличилось по сравнению с 2000 г. на 5% и достигло почти 90% от общего числа инцидентов.
Наряду с этим наблюдался рост числа заражений компьютеров через интернет. Ранее подавляющее большинство таких случаев происходило, когда пользователи загружали непроверенные файлы с веб-сайтов и запускали их на своих компьютерах. 2001 год стал переломным в этом отношении. Все больше инцидентов стало происходить при намеренном или случайном посещении инфицированных сайтов. Вредоносная программа подменяет одну из страниц сайта, так что при ее посещении компьютер может быть заражен: либо посредством использования злоумышленниками брешей в системах безопасности веб-браузеров, чаще всего Internet Explorer (бреши позволяют незаметно заразить компьютер в момент просмотра инфицированной страницы), либо при помощи автоматического предложения пользователю загрузить некую программу, которая оказывается вредоносной.
В 2001 г. стала также очевидной уязвимость таких популярных среди пользователей всего мира интернет-технологий, как многочисленные интернет-пейджеры (ICQ, Instant Messenger), которые были использованы для распространения целого ряда вредоносных программ. Жертвой сетевого червя Mandragore стала сеть обмена данными Gnutella. Наконец, огромное количество червей было запрограммировано на распространение по каналам IRC.
2001 г. ознаменовался появлением большого количества вредоносных программ, нацеленных на операционную систему Linux. Первой ласточкой стал сетевой червь Ramen, обнаруженный 19 января и за считанные дни поразивший большое количество крупных корпоративных систем. В число жертв червя попали Национальная администрация по аэронавтике и космосу США (НАСА), Техасский университет A&M, Тайваньский производитель компьютерного оборудования Supermicro.
Далее процесс развивался лавинообразно. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты. Практически все вредоносные программы для этой операционной системы использовали известные бреши в системах безопасности Linux. Их широкое распространение указывает на неготовность компаний противостоять новой угрозе. Считая Linux абсолютно защищенной системой, пользователи недостаточно ответственно отнеслись к необходимости своевременной установки заплаток и повсеместного внедрения антивирусных программ. В результате многие из них оказались жертвами Linux-червей.
Одним из самых неприятных сюрпризов 2001 г. стало обнаружение нового типа вредоносных кодов (CodeRed, BlueCode), способного активно распространяться и работать на зараженных компьютерах без использования файлов. В процессе работы такие программы существуют исключительно в системной памяти, а при передаче на другие компьютеры - в виде специальных пакетов данных.
Эта особенность создала серьезные проблемы разработчикам антивирусного ПО. Традиционные технологии (антивирусный сканер и монитор) оказались неспособными эффективно противостоять новой угрозе, поскольку их алгоритм борьбы с вредоносными программами основан именно на перехвате файловых операций. 'Лаборатория Касперского' первой решила эту проблему и создала специальный антивирусный фильтр, который в фоновом режиме проверяет все поступающие на компьютер пакеты данных и удаляет бестелесных червей.
Глобальная эпидемия сетевого червя CodeRed (по некоторым оценкам зараженными оказались более 300.000 компьютеров) подтвердила исключительную действенность технологии, используемой бестелесносными червями.
В 2001 г. резко изменился состав наиболее распространенных вредоносных программ. В 1999-2000 гг. безусловными лидерами всех вирусных хит-парадов были макро- и, позднее, скрипт-вирусы и черви. Однако в начале этого года ситуация начала быстро меняться, и уже осенью около 90% зарегистрированных случаев заражения компьютеров были вызваны Windows-червями.
Причина такой резкой смены обстановки заключается в разработке эффективных средств борьбы с макро- и скрипт-вирусами, способных нейтрализовать как существующие, так и потенциальные угрозы этого типа.
Необычайно богатым на вирусные мистификации оказался 2001 год. Уже в первые два месяца года были зафиксированы около 10 'предупреждений' о 'новом опасном вирусе', массово пересылаемых друг другу напуганными пользователями. Наиболее заметными и получившими широкое распространение стали мистификации California IBM и Girl Thing. Также большой переполох наделало заявление некоторых западных информационных агентств о том, что 14 февраля, в день Св. Валентина, случится эпидемия нового варианта червя ILoveYou. В целом же, некоторые мистификации получились настолько удачными, что спустя несколько лет предупреждающие письма все еще можно встретить с своем почтовом ящике.
По итогам 2001 года можно сказать, что:
 | электронная почта и интернет укрепили свои позиции как наиболее опасные источники вредоносных программ; |
| приобрели популярность альтернативные способы рассылки вредоносных программ (ICQ, Gnutella, MSN Messenger, IRC); |
| получили распространение вредоносные программы для Linux; |
| появились бестелесные сетевые черви; |
| в списках наиболее распространенных вредоносных программ доминировали сетевые черви для Windows, и резко снизилась доля скрипт- и макро-вирусов. |
В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др.).
В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию .NET. Однако развитие событий показало, что оба вируса оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Лучшим опровержением распространенного мнения, что эта операционная система защищена от любых вредоносных программ, стал червь Slapper, который всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.
Нельзя не отметить стремительный рост так называемых коммерческих вредоносных программ, которые преследуют конкретные коммерческие цели - похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям.
Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь Klez. Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и на ближайшие два года его модификации стали завсегдатаями списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях десятки. Однако в течение 2002 года свирепствовали лишь две из десяти существующих разновидностей этого червя - Klez.H (обнаружен 17.04.2002) и Klez.E (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez.
По масштабам и продолжительности эпидемия Klez не имела себе равных. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года.
Тенденция 2001 года, когда для своего распространения черви использовали различные бреши в программных продуктах Microsoft, была продолжена в 2002 г. Все вышеназванные черви (Klez, Lentin, Tanatos), а также BadTrans - использовали для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом на них пришлось более 85% всех инцидентов.
В конце года наметилась интересная тенденция в качественном составе самых распространенных вредоносных программ. Если раньше почти 100% всех инцидентов приходилось на один, два, максимум три вируса, то начиная с сентября 2002 года ситуация коренным образом изменилась. С этого момента наблюдается так называемая диверсификация - все больше заражений приходится на вирусы, не вошедшие в хит-парады: в декабре этот показатель достиг 62%. Это свидетельствует о том, что пользователи наконец обратили внимание на главные угрозы и предприняли необходимые меры защиты. Грамотные действия пользователей повлекли за собой сокращение числа инцидентов с участием, например, Klez, Lentin и Tanatos. Однако снижения общего количества заражений отмечено не было. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ (например, Bridex). По отдельности доля заражний, вызыванных каждой из них, была невелика, но в совокупности они составили достаточно внушительный объем.
Среди сетевых червей традиционно преобладали почтовые черви (прежде всего Klez и Lentin), использующие email в качестве основного транспорта для доставки на целевые компьютеры. Стало появляться все больше почтовых червей, применяющих метод прямого соединения с SMTP-сервером. Эта тенденция объясняется тем, что традиционный способ рассылки червей (например, через Outlook или другие почтовые клиенты) уже не имеет достаточных шансов на успех. Производители почтового ПО интегрировали в свои программы антивирусные модули или специальные функции для предотвращения несанкционированной рассылки каких-либо данных. Учитывая это, вирусописатели все чаще используют новые технологии распространения червей, которые обходят такой тип защиты. Другие типы червей (LAN, P2P, IRC) были практически незаметны.
Среди замеченных в 2002 г. компьютерных вирусов, как ни странно, больше всего себя проявили макро-вирусы. Прежде всего здесь стоит отметить Thus, TheSecond, Marker и Flop. Эти макро-вирусы для текстового редактора Microsoft Word показали удивительную живучесть. Эпидемии с их участием были зафиксированы еще в конце 90-х, но в 2002 году они пережили второе рождение: пользователи, уверенные в том, что макро-вирусы полностью сошли со сцены реальных угроз, ослабили бдительность и отключили соответствующие системы защиты. Немного отстают от лидеров Windows-вирусы. Больше всего заражений вызвали Elkern, CIH, FunLove и Spaces. Практически незаметными в течение 2002 г. оказались скрипт-вирусы и другие типы этого класса компьютерной фауны.
Начавшееся в 2001 году повальное 'увлечение' мистификациями продолжилось и в 2002 году. Пользователи регулярно засыпали друг друга как старыми, так и новыми мистификациями. Наибольший резонанс имели слухи о вирусах JDBGMGR и Ace-?, а также SULFNBK, Virtual Card for You, California IBM и Girl Thing.
............
All right reserved. Copyright 2005. Designed by Boyscout and Spider Agents.
