Доинтернетовский этап развития

В 1977 году разработан один из наиболее успешных персональных компьютеров того времени — Apple II: их было произведено около 2 млн. Они предназначались не только для профессионалов, но и для массового потребителя — это был компьютер для дома, он использовался в школах и университетах.

В результате своей массовости он и стал жертвой первого документально зафиксированного компьютерного вируса. Некто Ричард Скрента, один из миллионов пользователей Apple II, догадался разработать для этого компьютера саморазмножающуюся программу-вирус.

Вирус, получивший название Elk Gloner, записывался в загрузочные секторы дискет, к которым шло обращение. Проявлял себя вирус весьма многосторонне: переворачивал изображение на экране, заставлял мигать текст, выводил сообщение:

Фред Коэн, родоначальник компьютерной вирусологии того времени, на семинаре по компьютерной безопасности в Лехайском университете (США) демонстрирует на системе VAX 11/750 вирусоподобную программу, способную внедряться в другие объекты. Годом позже на конференции по безопасности информации, он дает научное определение компьютерного вируса как программы, способной «заражать» другие программы с помощью их модификации с целью внедрения своих копий.

Зарегистрирована первая глобальная эпидемия вируса для IBM-совместимых персональных компьютеров. Вирус Brain, заражающий загрузочные секторы дискет, в течение нескольких месяцев распространился практически по всему миру. Причина такого «успеха» заключалась в полной неподготовленности компьютерного общества к встрече с таким явлением, как компьютерный вирус: антивирусных программ просто не было, а пользователи ничего не знали о новом компьютерном явлении.

Вирус Brain был написан в Пакистане 19-летним программистом и его братом. Они оставили в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Помимо заражения загрузочных секторов и изменения меток (label) дискет на фразу (с) Brain, вирус ничего не делал: он не оказывал никакого побочного воздействия и не портил информацию. Как утверждали авторы вируса, работавшие в компании по продаже программных продуктов, они решили выяснить уровень компьютерного пиратства у себя в стране. К сожалению, эксперимент быстро вышел из-под контроля и выплеснулся за границы Пакистана. Интересно, что вирус Brain был также и первым вирусом-«невидимкой». Обнаружив попытку чтения зараженного сектора диска, вирус незаметно «подставлял» его незаряженный оригинал.

В том же году немецкий программист Ральф Бюргер открыл, что программа может создавать свои копии, добавляя свой код к исполняемым MS-DOS-файлам формата СОМ. Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986 года в Гамбурге на форуме компьютерного андеграунда Chaos Computer Club, который в то время собирал хакеров, специализировавшихся на взломе VAX/VMS-систем.

Появление вируса Vienna, заражавшего файлы операционной системы MS-DOS. Его копия попадает в руки все того же Ральфа Бюргера (другая версия: сам Бюргер и являлся автором этого вируса), который дизассемблирует вирус и помещает результат в свою книгу Computer Viruses: A High Tech Desease. Книга Бюргера популяризовала идею написания вирусов, объясняла, как это происходит, и служила, таким образом, толчком к написанию сотен или даже тысяч компьютерных вирусов, частично основанных на идеях из этой книги.

В том же году независимо друг от друга появляются еще несколько вирусов для IBM-PC под управлением MS-DOS. Это знаменитые в прошлом Lehigh, заражающий только системный файл COMMAND. COM; Suriv-1 (другое название — April1st), заражающий СОМ-файлы; Suriv-2, заражающий (впервые) ЕХЕ-файлы, и Suriv-3, заражающий как СОМ-, так и ЕХЕ-файлы. Появляются также несколько загрузочных вирусов (Yale в США, Stoned в Новой Зеландии и PingPong в Италии) и первый самошифрующийся файловый вирус Cascade.

Не остались в стороне и не-IBM-компьютеры: было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.

В декабре 1987 произошла первая известная глобальная эпидемия сетевого вируса Christmas Tree, написанного на языке REXX. Вирус распространял себя в операционной среде VM/CMS. 9 декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем — в сеть IBM VNet. Через четыре дня (13 декабря) вирус парализовал сеть — она была забита его копиями. При запуске вирус выводил на экран изображение рождественской елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES И NETLOG. Появляются первые специализированные антивирусные продукты. Так, британская компания Sophos для проверки целостности файлов (их незараженности) в январе выпустила антивирусную утилиту VACCINE, дополнив ее в сентябре 1989 года антивирусным сканером SWEEP.

Интернет-этап

Одно из наиболее знаменательных событий в области вирусов в 1988 году — глобальная эпидемия упомянутого выше вируса Suriv-З, более известного под именем Jerusalem. Он был обнаружен одновременно в компьютерных сетях многих коммерческих фирм, государственных организаций и учебных заведений. Вирус обнаружил себя сам: в пятницу 13-го он уничтожал все запускаемые на зараженном компьютере файлы. В 1988 году такой черной датой стало 13 мая. Именно в этот день сообщения о тысячах инцидентов с участием Jerusalem поступили со всех концов планеты, в первую очередь из Америки, Европы и с Ближнего Востока. Название, кстати, вирус получил от места одного из инцидентов — университета в Иерусалиме.

Стали появляться новые компании-разработчики антивирусного программного обеспечения. Как правило, это были маленькие полулюбительские фирмы, чаще всего из одного или двух-трех человек. Антивирусные программы представляли собой простейшие сканеры, использовавшие контекстный поиск для обнаружения уникальной последовательности кода вируса. Наряду со сканерами, большой популярностью пользовались иммунизаторы, модифицировавшие программы так, что вирусы считали их уже зараженными и не трогали. Позднее, когда количество вирусов увеличилось в сотни раз, иммунизаторы потеряли свою актуальность, потому как сделать «прививку» от них всех представлялось просто нереальным.

Вместе с несколькими другими вирусами (Cascade, Stoned, Vienna) Jerusalem распространился по тысячам компьютеров, оставаясь незамеченным: антивирусные программы еще не были распространены так широко, как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов. Показателен тот факт, что в том же году компьютерный гуру того времени и человек-легенда Питер Нортон высказался против существования вирусов. Он объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал фирме Symantec через некоторое время начать собственный антивирусный проект — Norton Anti-Virus.

В 1988 году зафиксированы первые случаи распространения так называемых «вирусных мистификаций» (современный термин — Virus Hoax). Это весьма интересный феномен, основанный на распространении ложных слухов о появлении новых, чрезвычайно опасных компьютерных вирусов. По сути дела, эти слухи и были своего рода вирусами: напуганные пользователи распространяли такие сообщения по всем своим знакомым с необычайной скоростью. Одна из первых шуток такого характера принадлежит некоему Mike RoChenle (псевдоним похож на английское слово microchannel), который в октябре 1988 года разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бит/с. В качестве панацеи предлагалось как можно скорее перейти на использование модемов скоростью 1200 бит/с. Как это ни смешно, многие пользователи действительно последовали этому совету.

Ноябрь 1988-го. Повальная эпидемия настоящего сетевого вируса, поразившего сеть ARPANET. Вирус, получивший название «Червь Морриса» по имени своего автора Роберта Морриса, заразил более 6000 компьютерных систем в США — около 10 % всех серверов в сети. Среди жертв вируса был, например, Исследовательский центр NASA. Из-за ошибки в коде вирус, как и вирус-червь Christmas Tree, неограниченно рассылал свои копии на другие компьютеры сети, запускал их на выполнение и таким образом полностью забирал под себя все сетевые ресурсы — и практически парализовал работу всей сети.

Для размножения вирус задействовал ошибки в системе безопасности операционной системы UNIX для платформ VAX и Sun Microsystems. Помимо ошибок в Unix, вирус использовал и несколько других оригинальных идей, например подбор паролей пользователей (из списка с 481 вариантом) для входа в системы под чужим именем. Общие убытки от вируса Морриса были оценены в $96 млн.

В апреле 1988 года вышла первая версия Dr.Solomon's Anti-Virus Toolkit — один из наиболее известных антивирусных продуктов того времени. Программа была создана английским программистом Аланом Соломоном, завоевала огромную популярность и просуществовала до 1998 года, когда компанию поглотил другой производитель антивирусов — американская Network Associates (NAI), также известная под именем McAfee.

Появляются новые вирусы — Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства — Vacsina и Yankee. Вирус Datacrime имел крайне опасное проявление: с 13 октября по 31 декабря он инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска, что уничтожало таблицы размещения файлов и данные терялись безвозвратно. Несмотря на небольшое распространение, Datacrime вызвал повальную истерию в мировых средствах массовой информации. Последовательно воспроизведенные многими печатными изданиями сведения об этом вирусе вызвали существенное искажение его реальной опасности и механизма действия. В США он даже получил название «День Колумба», причем некоторые издания предположили, что вирус был написан не кем иным, как норвежскими террористами, пытавшимися отомстить за то, что открывателем Америки считается Колумб, а не Рыжий Эрик.

16 октября 1989 года на компьютерах VAX/VMS в сети SPAN была зафиксирована эпидемия вируса-червя WANK Worm. Для распространения червь использовал протокол DECNet и менял системные сообщения на свой текст.

WANK также менял системный пароль пользователя на набор случайных знаков и пересылал его на имя GEMPAK в сети SPAN.

Декабрь 1989-го. Инцидент с троянской программой Aids. Некий злоумышленник разослал 20 000 дискет с пометкой AIDS Introductory Information Diskette Version 2.0 по адресам в Европе, Африке и Австралии. Дискеты содержали троянскую программу, при запуске которой она автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы программа шифровала имена всех файлов, делала их невидимыми и оставляла на диске только один читаемый файл — счет на $189 или 378, который следовало оплатить и отослать по указанному троянской программой адресу в Панаме. Следствию удалось довольно быстро выявить автора троянца, оказавшегося неким Джозефом Поппом, который позднее был признан невменяемым. Несмотря на это, он был заочно приговорен к тюремному заключению итальянскими властями.

Не исключено, что данный инцидент — первое в компьютерной истории преступление с корыстным умыслом, при котором инструментом совершения была троянская программа, внедряемая на большое число компьютеров.

В сентябре 1989 года увидела свет первая версия антивируса McAfee VIRUSCAN. Тогда же с антивирусным продуктом на рынок выходит Тайваньская компания Trend Micro, образованная годом ранее. В 1989 году на международную арену выходят и другие антивирусы: F-Prot, ThunderBYTE, Norman Virus Control. Вирусная проблема начала привлекать внимание и компаний-гигантов. Так, в октябре появился в продаже антивирус от IBM, получивший название Virscan.

Этот год принес несколько весьма заметных событий, обозначивших новый этап в области создания вирусов. Это касается появления нового поколения компьютерной «фауны» — полиморфных (мутирующих) вирусов. Первый представитель этого типа вредоносных программ (Chameleon) «эволюционировал» из двух других ранее известных вирусов — Vienna и Cascade. В новом вирусе применялась новая технология скрытия вирусного кода: основное тело вируса шифровалось. При этом в разных зараженных файлах ключ шифрования был различен, а код расшифровщика также менялся от заражения к заражению. Эта особенность делала антивирусные программы того времени малоэффективными: до этого они использовали обычный контекстный поиск сигнатур, то есть кусков вирусного кода — но в новом вирусе он просто отсутствовал. В результате разработчики антивирусных программ были вынуждены искать другие методы их обнаружения — а именно, применять специальные алгоритмические языки или использовать методы дешифрации вирусного кода.

В течение этого года и нескольких последующих лет было обнаружено огромное количество новых вирусов, которые имели болгарское происхождение. Это были целые семейства вирусов — Murphy, Nomenclature, Beast, Eddie и многие другие. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и скрытия себя в системе. В этом же году в Болгарии появилась первая BBS (VX BBS), ориентированная на обмен вирусами и информацией для вирусописателей. Идеология станции была исключительно проста: если пользователь передавал вирус, то взамен он мог загрузить понравившийся ему вирус из каталога станции.

В июле 1990 года произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагалась дискета, как оказалось впоследствии, зараженная вирусом DiskKiller. Было продано более 50 000 экземпляров журнала. Название вируса оправдывает его проявление — в зависимости от некоторых условий он выводил на экран сообщение и уничтожал все данные на диске.

Во второй половине 1990 года появились два монстра-невидимки — Frod и Whale. Оба вируса использовали крайне сложные алгоритмы, скрывающие присутствие в системе («невидимости»), а девятикилобайтный вирус Whal (в то время огромный размер для вируса) к тому же применял несколько уровней шифровки и целый ряд хитрых антиотладочных приемов.

Популяция компьютерных вирусов непрерывно увеличивается, достигая уже нескольких сотен. Быстрый рост количества и качества компьютерной заразы, а также внимание как пользователей, так и СМИ определили начало формирования нового рынка — средств защиты от компьютерных вирусов. Этот факт не ускользнул от маркетинговых служб компаний-производителей программного обеспечения: конец 1990-го — начало 1991 года стало временем создания целого ряда антивирусных продуктов. Во-первых, это Norton Antivirus компании Symantec, представленный в декабре 1990 года. Во-вторых, это Central Point Antivirus и антивирусный проект компании Fifth Generation Systems под названием Untouchable. Впрочем, оба они позднее были куплены компанией Symantec.

В то время количество всех известных вирусов измерялось сотнями — и занести их все в антивирусные базы данных не представляло большой технической проблемы (кроме полиморфных вирусов). Антивирусные компании и эксперты-одиночки буквально гонялись за каждым новым образцом. А некоторые компании даже обещали небольшую денежную премию за присланный новый вирус.

Интересно, какова бы была реакция антивирусных компаний и экспертов, если бы им тогда сказали, что через 15 лет количество новых вирусов будет измеряться сотнями, появляющимися в Сети каждый день.

Появляется также первая версия антивируса от финской компании DataFellows (в 1997 году получившая название F-Secure). Продукт базировался на антивирусном «движке» от F-Prot и назывался F-Prot Professional. Факт того, что «движок» и анализ вирусов производился другой компанией, позволил DataFellows сконцентрироваться на продуктовой составляющей. В результате она первой выпустила несколько решений для Windows.

В апреле разразилась настоящая эпидемия файлово-загрузочного полиморфного вируса Tequila. В сентябре подобный инцидент случился и с полиморфным вирусом Amoeba.

Лето 1991-го. Эпидемия вируса Dir_II, использовавшего принципиально новый способ заражения файлов (технологию link).

Вирусы для не-IBM-PC и не-MS-DOS практически забыты: дыры в глобальных сетях закрыты, ошибки исправлены и сетевые вирусы-черви потеряли возможность распространения. Да и сами компьютерные сети, появившиеся и использовавшиеся в 1970-80-х годах, теряют популярность и постепенно демонтируются. На смену им приходит единая сеть нового поколения — Интернет.

В результате все большую и большую значимость начинают приобретать не сетевые вирусы, а файловые, загрузочные и файлово-загрузочные для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (клонах IBM-PC). Их количество растет в геометрической прогрессии, инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных проблемам антивирусной безопасности. На этом фоне выделяются несколько основных моментов.

Начало 1992-го. Появляется первый полиморфик-генератор MtE. Его главное предназначение — возможность интеграции в другие вирусы для обеспечения их полиморфизма. Автор программы, печально известный Dark Avenger, делает все возможное, чтобы облегчить своим «коллегам» работу с MtE: генератор поставляется в виде готового объектного модуля и сопровождается подробной документацией. На базе MtE через некоторое время появляется сразу несколько полиморфных вирусов. MtE стал серьезной головной болью для антивирусных компаний: некоторые из них даже спустя несколько месяцев так и не добились 100%-ного результата в обнаружении известных вариантов полиморфных MtE-вирусов. MtE также стал прообразом нескольких последующих полиморфик-генераторов.

Март 1992-го. Эпидемия вируса Michelangelo (March6) и связанная с этим истерия в прессе. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своим продуктам, то есть чтобы извлечь коммерческую выгоду. Так, одна американская антивирусная компания заявила, что 6 марта будет разрушена информация более чем на 5 млн компьютерах. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадало всего несколько тысяч машин.

Июль 1992-го. Появление первых конструкторов вирусов VCL и PS-MPC — утилит, облегчающих создание новых вирусов. VCL имел даже оконный пользовательский интерфейс, предлагающий любому создать свой собственный вирус несколькими движениями мыши. Конструкторы увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.

Конец 1992-го. Обнаружен Win.Vir_l_4 — первый вирус для Windows 3.x, заражающий исполняемые файлы этой операционной системы.

Так была открыта новая страница в истории создания компьютерных вирусов.

Вирусы начинают бороться с антивирусными программами — появляются первые антиантивирусы. Одним из первых представителей этого класса стал вирус Peach, который удалял базу данных ревизора изменений Central Point Antivirus.

В органах внутренних дел по всему миру начинают создаваться специальные департаменты, занимающиеся исключительно компьютерными преступлениями. Достоянием гласности становятся все больше случаев успешной борьбы с создателями вирусов. Например, Отдел по борьбе с компьютерными преступлениями Скотланд Ярда успешно «разоружает» английскую вирусную группу ARCV.

Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик-генераторов и конструкторов, помимо новых подпольных электронных изданий для вирусописателей, появляется все больше вирусов, использующих крайне необычные технологии для заражения файлов, проникновения в систему и скрытия своего присутствия. В качестве примера можно привести вирус PMBS, впервые освоивший работу в защищенном режиме процессора Intel 80386, а также вирус-«невидимка» Strange, скрывающий себя в системе с помощью специальных аппаратных прерываний. Не меньший «вклад» в развитие вирусных технологий внес вирус Carbuncle, значительно расширивший диапазон алгоритмов компаньон-вирусов, и т. п.

Весна 1993 года оказалась весьма нервозным временем для еще не успевших набрать силу компаний-производителей антивирусных продуктов. Возмутителем спокойствия стала, как это повторится позднее в случае с интернет-браузерами, корпорация Microsoft. Она выпустила свой собственный антивирус — Microsoft Antivirus (MSAV), который включался в стандартную поставку операционных систем MS-DOS. Он был основан на популярном в то время Central Point Antivirus (CPAV). Однако качество продукта оказалось недостаточным, и через некоторое время Microsoft решила закрыть этот проект.

Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярным, этот тип носителей оказался одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, об их лечении говорить не приходилось — их просто уничтожили.

В начале года в Великобритании появились два крайне сложных полиморфик-вируса — SMEG.Pathogen и SMEG.Queeg. Зараженные файлы распространялись через станции BBS, что явилось причиной настоящей эпидемии и паники в СМИ. Автором вирусов оказался некто 26-летний Крис Пайл, арестованный в том же году.

Еще одну волну паники вызвало предупреждение о якобы существовавшем вирусе GoodTimes, который распространяет себя по Интернету и заражает компьютер при получении электронной почты. Такого вируса на самом деле не существовало, и это предупреждение было занесено в разряд вирусных мистификаций. Однако через некоторое время появился обычный MS-DOS-вирус, содержавший текст Good Times. Этот вирус получил название GT-Spoof.

Продолжают появляться новые, достаточно необычные (концептуальные) вирусы. Например, Shifter — первый вирус, заражающий объектные модули (OBJ-файлы), и SrcVir — семейство вирусов, заражающих исходные тексты программ (С и Pascal). Весной 1994 года появился очень сложный и опасный файлово-загрузочный полиморфный вирус OneHalf, вызвавший повальную эпидемию. Особенностью этого вируса было то, что он постепенно шифровал информацию на диске. При обращениях пользователя к зашифрованным файлам вирус временно расшифровывал их. В результате доступ к данным можно было получить только на зараженной машине, а для лечения компьютера требовалось не только удалить код вируса из системы, но и корректно расшифровать зашифрованную информацию. В июне 1994 года перестал существовать один из антивирусных лидеров того времени — Central Point. Компанию приобрела фирма Symantec, которая до того уже успела «проглотить» несколько небольших фирм, занимавшихся антивирусными и другими разработками, — Peter Norton Computing, Certus International и Fifth Generation Systems.

Ничего действительно заметного в области MS-DOS-вирусов не произошло, хотя появилось несколько достаточно сложных вирусов-монстров типа NightFall, Nostradamus, Nutcracker и достаточно забавного «двуполого» вируса RMNS, заражавшего файлы, только если в системе активизированы его обе части — «мужская» и «женская».

Февраль 1995-го. Инцидент с компанией Microsoft: на диске, содержащем демонстрационную версию операционной системы Windows 95, обнаружен загрузочный вирус Form. Копии этого диска Microsoft разослала 160 бета-тестерам, один из которых не поленился провести антивирусную проверку.

Весна 1995-го. Анонсирован альянс двух антивирусных компаний — ESaSS (разработчик ThunderBYTE Anti-Virus) и Norman Data Defence Systems (Norman Virus Control). Эти компании, выпускающие достаточно мощные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы. Позднее, в феврале 1998 года, это сотрудничество вылилось в банальное поглощение норвежцами голландской компании ESaSS.

Август 1995-го. Один из поворотных моментов в истории вирусов и антивирусов: в «живом» виде обнаружен первый вирус для текстового процессора Microsoft Word. Вирус, получивший название Concept, буквально за месяц «облетел» весь земной шар, заполонил компьютеры пользователей Word и прочно занял первые места в статистических исследованиях, проводимых различными компьютерными изданиями.

До появления первого вируса для Microsoft Word все антивирусные компании и эксперты утверждали, что заразить компьютер можно только при запуске зараженного файла или загрузки с зараженной дискеты, а просто открыв файл с текстом — нельзя. Макровирус Concept заставил нас пересмотреть это утверждение — ведь заражение происходило при открытии для чтения файлов-документов.

Чуть меньший резонанс также имело появление первого компьютерного вируса для достаточно популярного в те годы текстового редактора AmiPro.

Появление макровирусов заставило антивирусные компании еще раз серьезно задуматься, поскольку для защиты от этого класса вирусов требовалась разработка специального дополнения к программному ядру антивирусной программы, способного искать макровирусы в документах Word, а позднее и Excel, Access, PowerPoint и других приложений.

Январь 1996-го. Появился первый вирус для операционной системы Windows 95 — Boza. Так вирусы освоили новую революционную систему менее чем через полгода после ее выхода.

Март 1996-го. Первая для Windows 3.x эпидемия вируса — Tentacle. Его отличительная черта в том, что это был первый Windows-вирус, вырвавшийся «на свободу». До той поры все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в «живом» виде встречались только загрузочные, MS-DOS- и макровирусы.

Июнь 1996-го. 0S2.AEP — первый вирус для OS/2, корректно заражающий ЕХЕ-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом «компаньон».

Июль 1996-го. Laroux — первый вирус для Microsoft Excel, к тому же пойманный в «живом» виде практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР. Как и у Word-вирусов, принцип действия Laroux основывается на наличии в файлах макросов — программ на языке программирования Visual Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы Word. Как оказалось, встроенный в Excel Visual Basic также позволяет создавать вирусы.

В середине октября в Microsoft произошел очередной инцидент, связанный с компьютерными вирусами: на сайте компании, в одном из документов Word, посвященных технической поддержке программных продуктов Microsoft в Швейцарии, был обнаружен макровирус Wazzu. Позднее этот же вирус был найден на компакт-дисках, распространенных компанией на одной из компьютерных выставок. Однако на этом проблемы Microsoft с Wazzu не закончились: в сентябре вирус попал на компакт-диск Microsoft Solution Provider.

В целом, год 1996 можно считать началом широкомасштабного наступления компьютерного андеграунда на операционные системы Windows 95 и Windows NT, а также на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows 95/NT и несколько сотен макровирусов. Во многих из них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс- и полиморфик-механизмы и т. п. Таким образом, компьютерные вирусы вышли на новый виток своего развития — уровень 32-битных операционных систем. За два года вирусы для 32-битных Windows повторили примерно те же стадии, что за 10 лет до того прошли MS-DOS-вирусы, однако на совершенно новом технологическом уровне.

В феврале появляется первый вирус для операционной системы Linux — Bliss. Так вирусы проникли еще в одну «биологическую» нишу. Одновременно с выходом очередной версии пакета офисных приложений Microsoft Office 97 отмечается постепенное «переползание» макровирусов на эту платформу. Первые макровирусы для Office 97 на поверку оказались полными аналогами своих предшественников, всего лишь конвертированными в новый формат. Несмотря на это, очень скоро появились настоящие макровирусы, нацеленные на работу исключительно в Office 97.

Март ознаменовался появлением макровируса ShareFun для Microsoft Word 6/7, открывшего новую страницу в истории компьютерной индустрии. Он стал первым вирусом, который использовал для своего внедрения возможности современной электронной почты, в частности почтовую программу Microsoft Mail. К счастью, вирус не получил широкого распространения.

В апреле обнаружен вирус Homer — первый сетевой вирус-червь, использовавший для своего распространения протокол передачи данных FTP.

Ноябрь 1997-го. Вирус Esperanto. Попытка создания (к счастью, неудачная) многоплатформенного вируса, который не только работает в MS-DOS и Windows, но и в состоянии заражать файлы операционной системы Mac OS.

Декабрь 1997-го. Вирусы начинают все более активно использовать возможности Интернета: появляются первые вирусы для IRC. Обнаружена дыра в безопасности клиента mIRC (один из нескольких конкурирующих IRC-приложений). Пользуясь этой дырой, вирусы проникали в системные файлы mIRC и активизировали свой код. Это упущение разработчиков mIRC быстро исправили, и подобные IRC-черви канули в лету. Однако позднее появились многокомпонентные черви и троянские программы, которые использовали IRC-клиенты как свою «среду обитания» с помощью более сложных приемов.

Год 1997 также отмечен несколькими скандалами между крупными игроками рынка антивирусных продуктов. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили «закладку» в программах одного из своих основных конкурентов — в антивирусе фирмы Dr.Solomon's. Заявление от McAfee гласило, что если антивирус Dr.Solomon's при сканировании обнаруживает несколько вирусов различных типов, то в дальнейшем он работает в усиленном режиме. Другими словами, если на незараженных компьютерах антивирус от Dr.Solomon's работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee, cheat mode — «режим обмана»), позволяющий детектировать вирусы, невидимые для Dr.Solomon's при сканировании в «неопасных» условиях. В результате при тестировании на незараженных дисках антивирус от Dr.Solomon's показывает хорошие скоростные результаты, а при тестировании вирусных коллекций — неплохие результаты детектирования.

Ответный удар Dr.Solomon's не заставил себя ждать, и вскоре эта фирма подала иск на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись к тексту «The Number One Choice Worldwide. No Wonder The Doctor's Left Town». Понятно, что под прозвищем Doctor подразумевался Алан Соломон — основатель компании Dr.Solomon's. Однако больше всех отличился тайваньский разработчик Trend Micro, обвинивший сразу две ведущие антивирусные компании — McAfee и Symantec — в нарушении его патента на технологию сканирования данных, передаваемых по Интернету и электронной почте. Позднее в драку ввязался Symantec и предъявил иск McAfee по обвинению в использовании кодов из Norton Antivirus Symantec в продуктах McAfee.

Закончился год еще одним заметным событием, связанным с именем McAfee. Фирмы McAfee Associates и Network General объявили, что объединяются в единую компанию Network Assotiates Inc. (NAI) и диверсифицируют бизнес в направлении разработки не только антивирусных продуктов, но и других систем компьютерной безопасности: программ для шифрования, межсетевых экранов, сетевых сканеров и др. Однако на рубеже 1999-2000 годов руководство NAI вновь принимает решение о реанимации бренда McAfee — и линейка антивирусных продуктов компании получает свое старое имя.

В июне этого же года появился на свет еще один игрок антивирусного рынка — «Лаборатория Касперского». Компания тогда состояла из 15 сотрудников и представляла рынку три продукта для защиты от вирусов в операционных системах MS-DOS, Windows 95 и Novell Netware.

Вирусная атака на Microsoft Windows, Microsoft Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов, на арену выходят также многочисленные троянские программы, ворующие пароли доступа в Интернет, и несколько утилит скрытого администрирования (Backdoor). Зафиксированы инциденты с зараженными компакт-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами CIH и Marburg.

Начало 1998-го. Эпидемия целого семейства вирусов DeTroie, не только заражающих исполняемые файлы Windows, но и способных передать своему «хозяину» информацию о зараженном компьютере. Из-за использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франкоговорящие страны.

В феврале зафиксировано появление нового типа вируса для документов Excel — Paix. Данный тип макровируса для своего внедрения в таблицы Excel использовал не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. Позже, в этом же месяце, зарегистрированы HPS и Marburg — первые полиморфные Windows-вирусы, обнаруженные к тому же в «живом» виде. Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на MS-DOS-вирусы.

В марте был обнаружен AccessiV — первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами для Word и Excel (Concept и Laroux), он не стал, поскольку все уже привыкли к тому, что приложения Microsoft Office одно за другим становятся жертвами компьютерных вирусов. Примерно в то же время зафиксировано появление вируса Cross — первого многоплатформенного макровируса, заражающего документы одновременно двух приложений — Access и Word. Следом за ним появились еще несколько макровирусов, переносящих свой код из одного Office-приложения в другое. Наиболее заметным из них стал Triplicate (также известный под именем Tristate), способный заражать Word, Excel и PowerPoint.

Май 1998-го. Вирус RedTeam, заражающий ЕХЕ-файлы Windows. Стал первым вирусом, который пытался распространяться по электронной почте с помощью почтового клиента Eudora. Широкого распространения не получил.

Июнь 1998-го. Эпидемия вируса CIН, сначала массовая, а затем глобальная: сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные электронные конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных веб-серверов: они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течение всего года.

Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты он стирал Flash BIOS, что в некоторых случаях могло привести к замене материнской платы. Исключительно сложные процедуры работы СIH с оперативной памятью потребовали от разработчиков антивирусов значительных усилий и очередной модернизации «движков» своих продуктов.

Август 1998-го. Появление нашумевшего BackOrifice (Backdoor.BO) — утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за ним появилось несколько других аналогичных программ: NetBus, Phase и прочие.

В августе также появился первый вирус, заражающий исполняемые модули Java, — StangeBrew. Данный вирус не представлял какой-либо опасности для пользователей Интернета, поскольку на удаленном компьютере невозможно задействовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами могут быть также и приложения, активно используемые при просмотре файлов с веб-серверов.

Осенью 1998 года мною и моими коллегами проводились исследования безопасности сетевых приложений того времени — чтобы оценить возможности будущих сетевых червей. А именно — была поставлена задача создать электронное письмо или веб-страницу, при открытии которых на диске создавался и запускался на исполнение файл, выводящий сообщение Hello World— и не ничего более. При этом запуск файла должен был произойти без каких-либо действий пользователя.

На решение данной задачи ушло около недели. Результатом стало электронное письмо в формате HTML и вложение в виде файла Excel, при этом вложение отображалось размером 1x1 пиксел, то есть было совершенно незаметно в теле письма.

Для автоматического открытия вложения использовалась одна из возможностей HTML-файлов, а именно — ссылка IFRAME. Приложение Excel при этом запускалось невидимо для пользователя (в фоновом режиме). Самое интересное — это было XLS-вложение. В одной из ячеек файла-таблицы была помещена программа на встроенном в Excel языке формул, которая, пользуясь документированными возможностями Excel, создавала и запускала на исполнение файл Hello World. Таким образом, при открытии письма автоматически срабатывала вложенная в IFRAME -ссылка на XLS-файл, загружалось приложение Excel и. также автоматически срабатывала программа, встроенная в файл-таблицу.

В результате файл Hello World создавался и запускался всего лишь при открытии письма — без каких-либо дополнительных действий пользователя. Поставленная задача была выполнена: стало очевидно, что последующие годы откроют эру сетевых червей нового поколения — эру интернет-червей. Каково же было наше удивление, когда «эра червей» была открыта в 1999 году технически примитивными почтовыми червями Нарру99 и Melissa, которые не использовали никаких уязвимостей в системах безопасности Windows и в почтовых приложениях — да они были и не нужны. Пользователи самостоятельно щелкали на вложениях, вызывая тем самым первые глобальные интернет-эпидемии. Сетевые черви, активно использующие дыры в системах безопасности, появились позже — в 2001 году.

Ноябрь 1998-го. Интернет-экспансия компьютерных паразитов продолжилась тремя вирусами, заражающими сценарии Visual Basic (VBS-файлы), которые активно применяются при написании веб-страниц, — семейство вирусов Rabbit. Логическим следствием развития VBScript-вирусов стало появление полноценного HTML-вируса — Internal. Становится очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений и дело идет к появлению полноценного сетевого вируса-червя, который использует возможности Windows, Office, заражает удаленные компьютеры, веб-серверы и/или активно распространяется по электронной почте.

Жертвой компьютерных вирусов становится еще одно приложение из состава Microsoft Office. Им стала популярная программа для создания презентаций — PowerPoint. В декабре 1998 года неизвестным выпускается первый вирус этого типа — Attach. За ним немедленно следуют два других — ShapeShift и ShapeMaster, авторство которых, по всей видимости, принадлежит одному и тому же лицу.

Произошли также заметные перестановки в антивирусном мире. В мае Symantec и IBM объявляют об объединении усилий в разработке антивирусов: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, a IBM Anti-Virus прекращает свое существование. В конце сентября Symantec объявляет, что выкупает антивирусный бизнес корпорации Intel (LANDesk Virus Protect). Спустя всего две недели Symantec приобретает еще одну компанию — Quarterdeck, в арсенале которой, помимо утилит общего назначения, также присутствовали продукты для защиты от вирусов (ViruSweep). На это моментально отреагировали основные конкуренты: Dr.Solomon's и NAI (ранее — McAfee) тут же выпустили пресс-релизы с предложениями о льготном апдейте бывших пользователей IBM AV своими собственными антивирусами.

Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon's. Он был куплен компанией NAI (McAfee) за рекордную сумму $640 млн путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.

Интересен и факт приобретения в декабре фирмой Aladdin Knowledge Systems известного производителя оборудования и программ для компьютерной безопасности — израильской компании EliaShim, разработчика линейки антивирусных продуктов eSafe.

В январе разразилась глобальная эпидемия почтового интернет-червя Нарру99, также известного как Ska. По сути дела, это был первый современный червь, открывший новый этап в развитии вредоносных программ. Он использовал для своего распространения программу Microsoft Outlook, являющуюся корпоративным стандартом в США и во многих странах Европы.

Практически одновременно с этим был обнаружен весьма интересный макровирус для Word — Caligula. Он просматривал системный реестр, находил ключи, соответствующие популярной программе шифрования PGP, вычислял каталоги возможного нахождения программы и искал в них базы данных ключей шифрования PGP версии 5.x. Обнаружив эту базу данных, вирус копировал ее на удаленный FTP-сервер.

В конце февраля были зарегистрированы инциденты с участием SK — первого вируса, заражающего файлы с помощью Windows (HLP-файлы).

26 марта 1999 года. Глобальная эпидемия почтового червя Melissa — первого макровируса для Word; автор заложил в него также функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы Outlook и рассылал свои копии по первым 50 найденным адресам. В автоматизированных системах документооборота письма с червем обрабатывались без участия человека — в результате эпидемия Melissa моментально достигла своего пика и нанесла ощутимый ущерб компьютерным системам мира: такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin, были вынуждены временно отключить свои корпоративные службы электронной почты.

7 мая 1999 года. Первый вирус для графического пакета CorelDRAW. Вирус Gala (также известный как GaLaDRieL), написанный на языке сценариев CorelSCRIPT, стал первым, который оказался способен заражать файлы как самого CorelDRAW, так и CorelPHOTO-PAINT и CorelVENTURA.

В самом начале лета грянула эпидемия весьма опасного интернет-червя ZippedFiles (также известного как ExploreZip). Он представлял собой ЕХЕ-файл Windows, который после внедрения в систему уничтожал исходные тексты программ и файлы Microsoft Office.

Октябрь 1999 года принес компьютерному сообществу еще три неприятных сюрприза. Во-первых, был обнаружен вирус Infis, который стал первым вирусом, внедряющимся на самый низкий уровень безопасности — в область системных драйверов Windows. Эта особенность делала вирус труднодоступным, антивирусные программы того времени были неспособны удалить вирус из системной памяти. Во-вторых, в конце месяца антивирусные компании сообщили о первом компьютерном вирусе, заражавшем файлы Microsoft Project. В-третьих, проявился вирус-сценарий Freelinks, привлекший внимание вирусописателей к языку программирования Visual Basic Script (VBS) и ставший одним из предшественников печально известного вируса LoveLetter.

В ноябре 1999 года — еще одна новинка. Появление поколения червей, распространявшихся по электронной почте — уже без использования вложенных файлов — и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал КаkWorm. Все вирусы этого типа использовали дыру в системе безопасности Internet Explorer.

7 декабря 1999 года стал примечательным из-за обнаружения очередного творения бразильского вирусописателя по кличке Vecna — крайне сложного и опасного вируса Babylonia, который также открыл новую страницу в области создания вирусов. Это был первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящимся в Японии, и загрузить оттуда список вирусных модулей. Если в этом списке находился более «свежий» модуль, нежели уже установленный на зараженном компьютере, то вирус автоматически его загружал. Позднее технология удаленного самообновления была применена в червях Sonic, Hybris и многих других.

Ближе к Новому году по Интернету разошлись слухи, что компьютерный андеграунд в лице злых хакеров и вирусописателей всего мира приготовил мировому сообществу «сюрприз» в виде сотен тысяч исключительно опасных вирусов, способных нанести мировым сетям непоправимый ущерб. Антивирусные компании делятся на два лагеря. Один подтверждает возможность атаки, представители второго успокаивают пользователей, утверждая, что вероятность такой атаки крайне мала. К счастью, интернет-катастрофа не состоялась. Этот Новый год ничем не отличался от остальных.

Очередные подвижки среди производителей антивирусных программ: софтверный гигант Computer Associates (CA) приобретает австралийского разработчика антивирусных программ Cybec (VET Antivirus). Таким образом, в «копилке» СА, вслед за поглощенным в конце 1996 года Cheyenne Software, оказался еще один антивирусный проект.

В самом начале года жертвами компьютерных вирусов стали поочередно Windows 2000 и Visio — популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы Windows 2000, как участники подпольной группы вирусописателей под названием «29А» представили вирус Inta, который оказался первым вирусом, корректно заражающим эту систему. Чуть позже практически одновременно появились вирусы Unstable и Radiant, успешно размножавшиеся в файлах Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления Unstable и Radiant компания Visio Corporation, производящая пакет Visio, была куплена Microsoft.

5 мая 2000 года грянула попавшая в Книгу рекордов Гиннесса эпидемия вируса-сценария LoveLetter. Сразу же после запуска он уничтожал на дисках файлы нескольких типов и незаметно рассылал свои копии по всем адресам, найденным в адресной книге Outlook. Открытость исходного кода вирусов-сценариев предопределила то, что на протяжении всего года на свет появлялись новые модификации вируса — всего их было зафиксировано около сотни.

5 июня 2000 года был обнаружен Timofonica — первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Вирус не только распространялся по электронной почте, но и посылал сообщения на случайные номера мобильных телефонов испанской сотовой сети MoviStar, принадлежащей телекоммуникационному гиганту Telefonica. Более никаким образом вирус на мобильные телефоны не влиял. Несмотря на это, многие СМИ поспешили назвать Timofonica первым «сотовым» вирусом.

В июле хакерская группа Cult of Death Cow представила новую версию известной утилиты для несанкционированного удаленного администрирования Back Orifice 2000 (В02К). Это произошло на ежегодной конференции DefCon (названной в пику конференции DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности новая версия программы представляла никак не большую опасность, нежели ее предшественница, и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой В02К стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже процедурой инсталляции. Несмотря на это, она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как троянец класса Backdoor.

В июле появились сразу три исключительно интересных вируса.

Star стал первым вирусом для пакета AutoCAD.

Вирус Dilber отличился тем, что содержал коды сразу пяти вирусов, среди которых CIH, SK, Bolzano и др. В зависимости от текущей даты Dilber активизировал деструктивные процедуры того или иного компонента, из-за чего вирус получил прозвище «Шаттл, полный вирусов».

Третьим стал интернет-червь Jer, использовавший новый метод проникновения на компьютер — через веб-сайт. Автор червя поместил на одну из веб-страниц программу-сценарий (с телом червя), которая автоматически активизировалась при открытии этой страницы. Система безопасности интернет-браузера при этом выдавала сообщение о возможной опасности и предлагала разрешить или запретить выполнение данного действия. Расчет был сделан на то, что какая-то часть пользователей положительно ответит на предупреждение, чем даст возможность червю проникнуть в компьютер. А для того, чтобы привлечь больше пользователей, зараженный веб-сайт был «разрекламирован» автором червя в IRC-каналах. Появление Jer стало сигналом о вхождении в моду новой технологии «раскрутки» вируса в сети Интернет. Сначала червь помещается на веб-сайт, а потом проводится массированная рекламная кампания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдутся хотя бы несколько десятков, кто пропустит его на свой компьютер.

В августе был обнаружен Liberty — первая троянская программа для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске троянец стирал файлы, но не имел никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS — Phage, который стирал исполняемые файлы и на их место записывал свой код.

В начале сентября был обнаружен первый известный компьютерный вирус (Stream), способный манипулировать дополнительными потоками (Alternate Data Streams — ADS) файловой системы NTFS. Как оказалось, практически все антивирусные продукты не были подготовлены к такому развитию событий: ни один сканер не был способен обнаружить вредоносный код, спрятанный в дополнительных потоках NTFS.

В октябре появились Fable — первый вирус, скрывающийся в информационных файлах PIF, и Pirus — первый вирус, написанный на языке сценариев РНР. Оба вируса так и остались достоянием вирусных коллекций и не были обнаружены в «живом» виде.

В ноябре обнаружен опасный и технологически совершенный вирус Hybris, основной отличительной чертой которого было использование модульной архитектуры с возможностью обновления модулей. Главным нововведением был необычный способ загрузки модулей вируса на зараженные компьютеры. Для этого задействовались не только веб-сайты, но и электронная конференция, в частности конференция alt.comp.viras. Если веб-сайт можно было оперативно закрыть, то электронная конференция стала идеальным вариантом для распространения обновлений — уж ее-то закрыть не так просто.

В 2000 году основным средством транспортировки вредоносных кодов стала электронная почта: около 85 %всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно через этот источник. 2000 год также отметился всплеском активности создателей вирусов к Linux. В целом было зарегистрировано 37 новых вирусов и троянских программ для этой операционной системы, причем только за один год их количество возросло более чем в 7 раз. Наконец, произошли существенные изменения в вирусных «чартах». Если раньше все верхние места наиболее распространенных вирусов прочно удерживали макровирусы, то в 2000 году их место заняли вирусы-сценарии.