Компьютерные вирусы

антивирусный проект - Norton Anti-Virus.

Начали появляться заведомо ложные сообщения о компьютерных вирусах, никакой

реальной информации не содержащие, но вносившие панику в стройные ряды

компьютерных пользователей. Одна из первых таких «злых шуток» (современный

термин - «virus hoax») принадлежит некому Mike RoChenle (псевдоним похож на

«Microchannel»), который разослал на станции BBS большое количество

сообщений о якобы существующем вирусе, который передается от модема к

модему и использует для этого скорость 2400 бод. Как это ни смешно, многие

пользоватеили отказались от стандарта тех дней 2400 и снизили скорость

своих модемов до 1200 бод. Подобные «hoax»-ы появляются и сейчас. Наиболее

известны на сегодняшний день - GoodTimes и Aol4Free.

Ноябрь 1988: повальная эпидемия сетевого вируса Морриса (другое название -

Internet Worm). Вирус заразил более 6000 компьютерных систем в США (включая

NASA Research Institute) и практически парализовал их работу. По причине

ошибки в коде вируса он, как и вирус-червь «Cristmas Tree», неограниченно

рассылал свои копии по другим компьютьерам сети и, таким образом, полностью

забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в

96 миллионов долларов.

Вирус использовал для своего размножения ошибки в операционной системе Unix

для VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал

несколько других оригинальных идей, например, подбор паролей пользователей.

Подробнее об этом вирусе и связанным с ним инцидентом можно прочитать в

достаточно подробной и интересной статье Игоря Моисеева в журнале

КомпьютерПресс, 1991, N8,9.

Декабрь 1988: сезон вирусов-червей продолжается, на этот раз в сети DECNet.

Вирус-червь HI.COM выводил на экран изображение елочки и извещал

пользователей, что им следует «stop computing and have a good time at

home!!!»

Появляются новые антивирусные программы, например, Dr.Solomon's Anti-Virus

Toolkit, являющийся на сегодняшний день одним из самых мощных антивирусов.

1989

Появляются новые вирусы - «Datacrime», «FuManchu» и целые семейства -

«Vacsina» и «Yankee». Первый имел крайне опасное проявление - с 13 октября

по 31 декабря он форматировал винчестер. Этот вирус вырвался «на свободу» и

вызвал повальную истерию в средствах массовой информации в Голландии и

Великобритании.

Сентябрь 1989: на рынок выходит еще одна антивирусная программа - IBM Anti-

Virus.

Октябрь 1989: в сети DECNet зафиксирована еще одна эпидемия вируса-червя -

«WANK Worm».

Декабрь 1989: инцидент с «троянским конем» «Aids». Было разослано 20.000

его копий на дискетах, помеченных как «AIDS Information Diskette Version

2.0». После 90 загрузок системы «троянец» шифровал имена всех файлов на

диске, делал их невидимыми (атрибут «hidden») и оставлял на диске только

один читаемый файл - счет на 189 долларов, который следовало послать по

адресу PO Box 7, Panama. Автор «троянца» был пойман и приговорен к

тюремному заключению.

Следует отметить тот факт, что 1989 год являлся началом повальной эпидемии

компьютерных вирусов в России - все те же вирусы «Cascade», «Jerusalem» и

«Vienna» заполонили компьютеры российских пользователей. К счастью,

российские программисты довольно быстро разобрались с принципами их работы

и практически сразу появилось несколько отечественных противоядий-

антивирусов.

Мое первое знакомство с вирусом (это был вирус «Cascade») произошло в

октябре 1989 года - вирус оказался обнаруженным на моем рабочем компьютере.

Именно это и послужило толчком для моей профессиональной переориентации на

создание программ-антивирусов. Кстати, тот первый вирус я вылечил

популярной в те времена антивирусной программой ANTI-KOT Олега Котика.

Месяцем позже второй инцидент (вирус «Vacsina») был закрыт при помощи

первой версии моего антивируса -V (который несколькими годами позже был

переименован в AVP - AntiViral Toolkit Pro). К концу 1989 года на просторах

России паслось уже около десятка вирусов (перечислены в порядке их

появления): две версии «Cascade», несколько вирусов «Vacsina» и «Yankee»,

«Jerusalem», «Vienna», «Eddie», «PingPong».

1990

Этот год принес несколько довольно заметных событий. Первым из них является

появление первых полиморфик-вирусов «Chameleon» (другое название - «V2P1»,

«V2P2» и «V2P6»). До этого момента антивирусные программы для поиска

вирусов пользовались так называемыми «масками» - кусками вирусного кода.

После появления вирусов «Chameleon» разработчики антивирусных программ были

вынуждены искать другие методы их обнаружения.

Вторым событием являлось появление болгарского «завода по производству

вирусов»: огромное количество новых вирусов имели болгарское происхождение.

Это были целые семейства вирусов «Murphy», «Nomenclatura», «Beast» (или

«512», «Number-of-Beast»), новые модификации вируса «Eddie» и др. Особенную

активность проявлял некто Dark Avenger, выпускавший в год по несколько

новых вирусов, использовавших принципиально новые алгоритмы заражения и

скрытия себя в системе. В Болгарии же впервые появлась и первая BBS,

ориентированная на обмен вирусами и информацией для вирусописателей.

В июле 1990 произошел инцидент с компьютерным журналом PC Today

(Великобретания). Он содержал флоппи-диск, зараженный вирусом «DiskKiller».

Было продано более 50.000 копий журнала.

Во второй половине 1990-го появились два стелс-монстра - «Frodo» и «Whale».

Оба вируса использовали крайне сложные стелс-алгоритмы, а девятикилобайтный

«Whale» к тому же применял несколько уровней шифровки и анти-отладочных

приемов.

Появились и первые известные мне отечественные вирусы: «Peterburg»,

«Voronezh» и ростовский «LoveChild».

1991

Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких

сотен. Растет и антивирусная активность: сразу два софтверных монстра

(Symantec и Central Point) выпускают собственные антивирусные программы -

Norton Anti-Virus и Central Point Anti-Virus. Следом появляются менее

известные антивирусы от Xtree и Fifth Generation.

В апреле разразилась настоящая эпидемия файлово-загрузочного полиморфик-

вируса «Tequila», а в сентябре подобная же «история» произошла с вирусом

«Amoeba». Россию эти события практически не затронули.

Лето 1991: эпидемия вируса «Dir_II», использовавшего принципиально новые

способы заражения файлов (link-вирус).

В целом, год 1991 был достаточно спокойным - этакое затишье перед бурей,

разразившейся в 1992-м.

1992

Вирусы для не-IBM-PC и не-MS-DOS практически забыты: «дыры» в глобальных

сетях закрыти, ошибки исправлены, и сетевые вирусы-черви потеряли

возможность для распространения. Все большую и большую значимость начинают

приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее

распространенной операционной системы (MS-DOS) на самом популярном

компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии,

различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются

различные антивирусные программы, выходят десятки кних и несколько

регулярных журналов, посвященных вирусам. На этом фоне выделяются несколько

основных моментов:

Начало 1992: первый полиморфик-генератор MtE, на базе которого через

некоторое время появляется сразу несколько полиморфик-вирусов. MtE явился

также прообразом нескольких последующих полиморфик-генераторов.

Март 1992: эпидемия вируса «Michelangelo» («March6») и связанная с этим

истерия. Наверное, это первый известный случай, когда антивирусные компании

раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от

какой-либо опасности, а для того, чтобы привлечь внимание к своему

продукту, т.е. в целях извлечения коммерческой выгоды. Так одна

американская антивирусная компания заявила, что 6-го марта будет разрушена

информация более чем на пяти миллионах компьютеров. В результате

поднявшейся после этого шумихи прибыли различных антивирусных фирм

поднялись в несколько раз, а от вируса в дейтсвительности пострадали всего

около 10.000 машин.

Июль 1992: появление первых конструкторов вирусов VCL и PS-MPC, которые

увеличили и без того немаленький поток новых вирусов и, как и MtE в своей

области, подтолкнули вирусописателей к созданию других, более мощных

конструкторов.

Конец 1992: первый вирус для Windows, заражающий выполняемые файлы этой

операционной системы, открыл новую страницу в вирусописательстве.

1993

Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов,

принципиально не отличающихся от своих собратьев, помимо целого ряда новых

полиморфик-генераторов и конструкторов, помимо новых электронных изданий

вирусописателей появляется все больше и больше вирусов, использующих крайне

необычные способы заражения файлов, проникновения в систему и т.д.

Основными примерами являются:

«PMBS», работающий в защищенном режиме процессора Intel 80386.

«Strange» (или «Hmm») - сольное выступление на тему «стелс-вирус», однако

выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h.

«Shadowgard» и «Carbuncle», значительно расширившие диапазон алгоритмов

компаньон-вирусов;

«Emmie», «Metallica», «Bomber», «Uruguay» и «Cruncher» - использование

принципиально новых приемов «спрятывания» своего кода в зараженных файлах.

Весной 1993 Microsoft выпустил свой собственный антивирус MSAV, основой

которого послужил CPAV от Central Point.

1994

Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро

став популярными, эти диски оказались одним из основных путей

распространения вирусов. Зафиксировано сразу несколько инцидентов, когда

вирус попадал на мастер-диск при подготовке партии компакт-дисков. В

результате на компьютерный рынок были выпущены довольно большие тиражи

(десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить

не приходится - их придется просто уничтожить.

В начале года в Великобритании появились два крайне сложных полиморфик-

вируса - «SMEG.Pathogen» и «SMEG.Queeg» (до сих пор не все антивирусные

программы в состоянии достичь 100%-го результата при их детектировании).

Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной

настоящей эпидемии и паники в средствах массовой информации.

Еще одну волну паники вызвало сообщение о якобы существующем вирусе

«GoodTimes», распространяющем себя по сети Интернет и заражающем компьютер

при получении электронной почты. Накакого такого вируса на самом деле не

существовало, однако через некоторое время появился обычный DOS-вирус с

текстом «Good Times», вирус этот получил название «GT-Spoof».

Активизируются правоохранительные органы: летом 1994 автор SMEG был

«вычислен» и арестован. Примерно в то же самое время в той же

Великобритании арестована целая группа вирусописателей, называвшая себя

ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще

один автор вирусов был арестован в Норвегии.

Появляются несколько новых достаточно необычных вирусов:

Январь 1994: «Shifter» - первый вирус, заражающий объектные модули (OBJ-

файлы). «Phantom1» - эпидемия первого полиморфик-вируса в Москве.

Апрель 1994: «SrcVir» - семейство вирусов, заражающих исходные тексты

программ (C и Pascal).

Июнь 1994: «OneHalf» - начало повальной эпидемии вируса, до сих пор

являющегося самым популярным вирусом в России.

Сентябрь 1994: «3APA3A» - эпидемия файлово-загрузочного вируса,

использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус

не оказался готовым к встрече с подобного типа монстром.

В 1994 году (весна) перестал существовать один из антивирусных лидеров того

времени - Central Point. Он был приобретен фирмой Симантек, которая до того

уже успела «проглотить» несколько небольших фирм, занимавшихся

антивирусными разработками - Peter Norton Computing, Certus International и

Fifth Generation Systems.

1995

Ничего действительно заметного в области DOS-вирусами не произошло, хотя

появляется несколько достаточно сложных вирусов-монстров типа «NightFall»,

«Nostradamus», «Nutcracker» и таких забавных вирусов, как «двуполый» вирус

«RMNS» и BAT-вирус «Winstart». Широкое распространение получили вирусы

«ByWay» и «DieHard2» - сообщения о зараженных компьютерах были получены

практически со всего мира.

Февраль 1995: произошел инцидент с Microsoft: на диске, содержащем

демонстрационную версию Windows95, обнаружен вирус «Form». Копии этого

диска Microsoft разослал бета-тестерам, один из которых не поленился

проверить диск на вирусы.

Весна 1995: анонсирован альянс двух антивирусных компаний - ESaSS

(ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control). Эти

компании, выпускающие достаточно сильные антивирусы, объединили усилия и

приступили к разработке единой антивирусной системы.

Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в

«живом виде» обнаружен первый вирус для Microsoft Word («Concept»).

Буквально за месяц вирус «облетел» весь земной шар, заполонил компьютеры

пользователей MS-Word и прочно занял первое место в статистических

исследованиях, проводимых различными компьютерными изданиями.

1996

Январь 1996: два достаточно заметных события - появился первый вирус для

Windows95 («Win95.Boza») и эпидемия крайне сложного полиморфик-вируса

«Zhengxi» в Санкт-Петербурге.

Март 1996: первая эпидемия вируса для Windows 3.x. Его имя -

«Win.Tentacle». Этот вирус заразил компьютерную сеть в госпитале и

нескольких других учреждениях во Франции. Интересность этого события

состояла в том, что это был ПЕРВЫЙ Windows-вирус, вырвавшийся на свободу.

До той поры (насколько мне известно) все Windows-вирусы жили только в

коллекциях и электронных журналах вирусописателей, а в «живом виде»

встречались только загрузочные, DOS- и Macro-вирусы.

Июнь 1996: «OS2.AEP» - первый вирус для OS/2, корректно заражающий EXE-

файлы этой операционной системы. До этого в OS/2 встречались только вирусы,

которые записывались вместо файла, уничтожая его или действуя методом

«компаньон».

Июль 1996: «Laroux» - первый вирус для Microsoft Excel, к тому же пойманный

в «живом виде» (практически одновременно в двух нефтедобывающих компаниях

на Аляске и в ЮАР). Как и у MS-Word-вирусов, принцип действия «Laroux»

основывается на наличии в файлах так называемых макросов - программ на

языке Basic. Такие программы могут быть включены в электронные таблицы

Excel так же, как и в документы MS-Word. Как оказалось, встроенный в Excel

язык Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997

стал причиной эпидемии в компьютерных фирмах Москвы.

Декабрь 1996: «Win95.Punch» - первый «резидентный» вирус для Win95.

Загружается в систему как VxD-драйвер, перехватывает обращения к файлам и

заражает их.

В целом год 1996 можно считать началом широкомасштабного наступления

компьютерного андеграунда на операционную систему Windows32 (Windows95 и

Windows NT) и на приложения Microsoft Office. За этот и следующий год

появилось несколько десятков вирусов для Windows95/NT и несколько сотен

макро-вирусов. Во многих их них вирусописатели применяли совершенно новые

приемы и методы заражения, добавляли стелс- и полиморфик-механизмы и т.п.

Таким образом компьютерные вирусы вышли на новый виток своего развития - на

уровень 32-битных операционных систем. За два года вирусы для Windows32

повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-

вирусы, однако на совершенно новом технологическом уровне.

1997

Февраль 1997: «Linux.Bliss» - первый вирус для Linux (разновидность

юникса). Так вирусы заняли еще одну «биологическую» нишу.

Февраль-апрель 1997: Макро-вирусы перебрались и в Office97. Первые из них

оказались всего лишь «отконвертированными» в новый формат макро-вирусами

для Word 6/7, однако практически сразу появились вирусы, ориентированные

только на документы Office97.

Март 1997: «ShareFun» - макро-вирус, поражающий MS Word 6/7. Для своего

размножения использует не только стандартные возможности MS Word, но также

рассылает свои копии по электронной почте MS-Mail.

Апрель 1997: «Homer» - первый сетевой вирус-червь, использующий для своего

размножения File Transfer Protocol (ftp).

Июнь 1997: Появление первого самошифрующегося вируса для Windows95. Вирус,

имеющий российское происхождение, был разослан на несколько BBS в Москве,

что стало причиной эпидемии.

Ноябрь 1997: Вирус «Esperanto». Попытка создания (к счастью, неудачная)

многоплатформенного вируса, который работает не только под DOS и Windows,

но в состоянии заражать и файлы Mac OS (Макинтош).

Декабрь 1997: появилась новая форма вируса - черви mIRC. Оказалось, что

наиболее популярная утилита Windows IRC (Internet Relay Chat), известная

как mIRC, содержала «дыру», позволяющую вирусным скриптам передавать себя

по IRC-каналам. В очередной версии IRC дыра была закрыта, и mIRC-черви

канули в лету.

Основным антивирусным событием в 1997 году стало, конечно же, отделение

антивирусного подразделения фирмы КАМИ в независимую компанию «Лаборатория

Касперского», зарекомендовавшую себя на сегодняшний день как признанный

технический лидер антивирусной индустрии. Начиная с 1994 года основной

продукт компании - антивирусный сканер AntiViral Toolkit Pro (AVP) -

стабильно показывает высокие результаты в многочисленных тестах, проводимых

различными тестовыми лабораториями всего мира. Отделение в независимую

компанию позволило по началу небольшой группе разработчиков стать первой по

значимости антивирусной компанией на отечественном рынке и достаточно

заметной фигурой на ринке мировом. За короткие сроки были разработаны и

выпущены версии для практически всех популярных платформ, предложены новые

антивирусные решения, создана сеть международной дистрибуции и технической

поддрежки.

В октябре 1997 года было подписано соглашение о лицензировании технологий

AVP финской компанией DataFellows для использования в своей новой

разработке FSAV (F-Secure Anti-Virus). До этого компания DataFellows была

известна как производитель антивируса F-PROT.

Год 1997 также заметен по нескольким скандалам, разразившимся между

основными производителями антивирусов в США и Европе. В начале года фирма

Страницы: 1, 2, 3, 4, 5