Современный криминальный этап эволюции компьютерных вирусов

Январь 2001-го. Ramen — первый известный червь, заражавший системы Red Hat Linux. Распространял свои копии (заражал удаленные Linux-системы) через уязвимости в модулях Red Hat Linux (так называемая ошибка переполнения буфера). На зараженных системах он искал стартовые страницы веб-сайтов и заменял их содержимое. Поскольку Linux-системы часто используются как веб-серверы, то многие веб-сайты изменили свой внешний вид.

Февраль 2001-го. Первый червь, использующий для своего распространения сети обмена файлами (Р2Р-сети). Получил название Mandragore, для заражения использовал Р2Р-сеть Gnutella. Применял достаточно необычный метод: регистрировал себя как сервер сети и при каждом обращении (при поиске какого-либо конкретного файла удаленным пользователем сети) посылал ответ, что такой файл есть — и в качестве файла отдавал пользователю свою копию.

В феврале также произошла очередная глобальная эпидемия почтового VBS-червя Lee, более известного под именем Kournikova. Вирус подделывался под информацию о популярной российской теннисистке Анне Курниковой и распространялся в виде вложений в письмо с именем AnnaKournikova.jpg.vbs. Инцидент получил широкую огласку в прессе — фактически он стал главной новостью дня.

Март 2001-го. Эпидемия крайне сложного полиморфного вируса-червя Magistr. Для своего распространения он использовал электронную почту, копировал себя на доступные сетевые диски и заражал исполняемые файлы.

В мае произошла первая известная атака на интернет-кошельки пользователей российской платежной системы WebMoney (троянская программа Eurosol). Повторная атака на WebMoney была зафиксирована в октябре того же года. Троянская программа KWM также охотилась за персональными данными пользователей этой си­стемы.

13 июля (по другим источникам — 12 июня) 2001 года. Эпидемия пакетного («безфай-лового») червя CodeRed. Используя ошибку в обработке сетевых пакетов Microsoft IIS (Internet Information Services), червь передавал свой код на другие серверы в Сети и запускал себя на выполнение. При этом никакие файлы на диске не создавались: червь существовал только в оперативной памяти зараженных компьютеров и в сетевых пакетах. Пострадали тысячи компьютеров по всему миру — при этом под удар попали только компьютеры под управлением Windows 2000. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например Windows NT и Windows XP. Ситуацию осложнял также тот факт, что антивирусные компании оказались не готовы к предотвращению подобной атаки. Для защиты от червя необходим был брандмауэр, что в те времена еще не являлось стандартом защиты от сетевых вирусов.

Червь, помимо того, что заражал компьютеры, производил и другие побочные действия. Во-первых, он перехватывал обращения посетителей к веб-сайту, который управлялся зараженным IIS-сервером, и вместо оригинального содержимого передавал им текст Hacked by Chinese!

Во-вторых, между 20 и 27 числами каждого месяца включительно червь осуществлял сетевую атаку (DDoS) на сайт Белого дома США. Атака оказалась успешной — 20 июля 2001 года сайт перестал отвечать на запросы.

Следом за CodeRed появляются еще два червя, использующие для своего распространения аналогичные методы, — CodeGreen и BlueCode (обнаружены 4 и 6 сентября соответственно). Особенность CodeGreen — его антивирусный функционал: он искал и удалял из системы код червя CodeRed, затем скачивал и устанавливал обновление Windows, закрывающее дыру, через которую проникали перечисленные выше черви. Таким образом, червь «лечил» зараженные компьютеры и «латал» дыру в системе безопасности.

18 июля 2001 года. Начало глобальной эпидемии почтового червя SirCam. Особенность этого червя заключалась в том, что он прицеплял к своему коду случайно выбранные на зараженном компьютере файлы Microsoft Office (документы Word и таблицы Excel). При запуске на очередном компьютере червь «показывал» эти файлы и таким образом маскировал факт своего внедрения в систему. В результате эпидемии в электронной почте можно было найти самые разнообразные документы, включая строго конфиденциальные — банковскую информацию, коммерческие договоры; был обнаружен даже проект бюджета одного восточноевропейского государства.

18 сентября 2001 года. Зафиксирована глобальная эпидемия червя Nimda, который распространялся по Сети тремя разными способами: через электронную почту, через веб-сайты и копируя себя на доступные сетевые ресурсы. При этом червь для автозапуска из зараженных писем использовал дыру в Internet Explorer, а для проникновения на веб-сайты — новую дыру в программах от Microsoft — уязвимость в IIS (Internet Information Services).

Ноябрь 2001-го. Очередные эпидемии почтовых вирусов — Aliz, обнаруженного еще в мае 2001-го, и BadTransII. Для проникновения оба червя также использовали дыру в системе безопасности Internet Explorer.

В целом, 2001 год характеризуется первыми и весьма масштабными эпидемиями сетевых червей, проникающих в систему через различные дыры в операционных системах и установленном программном обеспечении. При этом распространение идет не только через традиционную электронную почту, но и через веб-сайты, интернет-пейджеры (ICQ), сетевые ресурсы, IRC-чаты и Р2Р-сети.

Следует также отметить массовую атаку на Linux. Первым был червь Ramen, обнаруженный 19 января и за считанные дни поразивший большое количество крупных корпоративных систем. Вслед появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты. Практически все вредоносные программы для этой операционной системы использовали известные уязвимости в системах безопасности Linux. Считая эту операционную систему абсолютно защищенной, пользователи недостаточно ответственно отнеслись к необходимости своевременной установки «заплаток» и повсеместного внедрения антивирусных программ — и в результате многие из них оказались жертвами Linux-червей.

По Интернету также «гуляли» шутки про «рукописные вирусы». Это были электронные почтовые сообщения, в которых говорилось, например, следующее: «Этот вирус написан в Албании. Но у нас в Албании мало программистов, и написать полноценный вирус не получилось. По этой причине для дальнейшего распространения вируса вам следует переслать это письмо по всем адресам из вашей адресной книги». Иногда такие письма оживлялись картинками, как, например, в «Ирландском вирусе».

2001 год также оказался необычайно богатым на вирусные мистификации. Всего за два первых месяца было зафиксировано около 10 «предупреждений» о «новом опасном вирусе», массово пересылаемых друг другу напуганными пользователями. Наиболее заметными и получившими широкое распространение стали мистификации California IBM, Girl Thing и SULFNBK.EXE. Также большой переполох наделало заявление некоторых западных информационных агентств о том, что 14 февраля, в День святого Валентина, случится эпидемия нового варианта червя ILoveYou. Некоторые из мистификаций оказались настолько удачными, что с ними можно было столкнуться и в последующие годы.

К мистификациям, судя по всему, следует отнести и слухи про планы Федерального бюро расследований (ФБР) США разработать собственную троянскую программу под кодовым названием «Волшебный фонарь», которая будет использоваться для слежки за лицами, подозреваемыми в совершении разного рода преступлений. От самого ФБР так и не последовало никаких комментариев по этому поводу. Вместе с тем, по сведениям из прессы, две американские антивирусные компании согласились не заносить «Волшебный фонарь» в свои антивирусные базы данных, что вызвало неоднозначную реакцию среди их пользователей.

Январь 2002 года. Появление почтового червя Myparty, искусно маскировавшегося под ссылку на веб-сайт. Червь мастерски пользовался тем, что .com является распространенной доменной зоной и совпадает со стандартным окончанием исполняемых файлов Windows.

Март 2002-го — эпидемия червя Zircon, июль — Lentin, сентябрь — Tanatos (BugBear), октябрь — Opasoft: всего за год было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов.

Но несомненным лидером по количеству вызванных в 2002 году инцидентов является интернет-червь Klez, впервые обнаруженный 26 октября 2001 года. Модификации этого червя поставили своеобразный рекорд: еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться в лидерах вирусных «top-листов». Особо «свирепствовали» две разновидности этого червя — Klez.h (обнаружен 17 апреля 2002 года) и Klez.e (обнаружен 11 января 2002 года). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны тем или иным вариантом червя Klez.

В середине мая был обнаружен сетевой червь Spida, заражающий SQL-серверы. Для проникновения в сервер червь пользовался очередной уязвимостью. В мае также появился Benjamin — первый червь, распространяющийся по файлообменной сети KaZaA.

Не прекращались атаки на пользователей Linux. Червь Slapper всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.

Таким образом, год 2002 являлся логическим продолжением года 2001 — многочисленные эпидемии, проникновение через уязвимости в программном обеспечении, атаки как на Windows, так и на другие операционные системы.

Следует отметить стремительный рост вредоносных программ, которые преследуют конкретные коммерческие цели — похищают конфиденциальные данные, финансовые средства, пароли доступа в Интернет — или производят другие действия, наносящие какой-либо материальный ущерб пользователям зараженных компьютеров. Это стало началом стремительной криминализации Интернета в последующие годы.

Быстро росло также число разнообразных систем принудительного показа рекламы (Adware). Агрессивные (часто — откровенно хакерские) методы их внедрения, вызванные ими сбои работы компьютеров, многочисленные рекламные «поп-апы» — все это стало причиной возникновения специализированных антирекламных продуктов. В 2002 году появилась первая версия Ad-Aware от компании Lavasoft.

Многие Adware-системы передавали своему «хозяину» персональные данные с зараженных компьютеров. Практически всегда это ограничивалось названиями посещаемых веб-ресурсов, поисковыми запросами, прочей информацией об активности в Интернете — для того, чтобы в дальнейшем показывать рекламу в соответствии с интересами данного конкретного пользователя. На основе этого факта был намеренно раздут термин Spyware — и рекламные системы стали называть «шпионскими», что, в целом, не совсем соответствовало истине. Adware не занимались шпионажем с целью хищения конфиденциальной информации, которая потом используется против атакованного пользователя. Они всего лишь «подглядывали» за его действиями, чтобы увеличить вероятность срабатывания показываемой рекламы.

25 февраля 2003 года. Глобальная эпидемия сетевого вируса Slammer. Как и CodeRed, этот вирус распространялся только в виде сетевых пакетов (файлы на диске не создавались) и в заражаемый компьютер проникал через дыру в сетевом программном обеспечении — в Microsoft SQL Server 2000. Размер вируса был чрезвычайно мал — всего 376 байт, однако распространялся он так активно, что буквально забил интернет-каналы своими копиями. Нагрузка на Интернет возросла в среднем на 25 %, а в отдельных случаях Сеть была почти полностью парализована. В результате фактически отрезанной от «внешнего мира» оказалась Южная Корея, прекратили работу часть банкоматов Bank of America, чуть не было сорвано первое электронное голосование на выборах главы одной из партий в Канаде.

11 августа 2003 года. Очередная эпидемия, нанесшая значительный урон пользователям Интернета. Червь Lovesan (также известный под именами Blaster, MSBlast) проникал на компьютеры-жертвы через незадолго до того обнаруженную уязвимость в службе DCOM RPC операционной системы Windows. В результате атаки червя пострадали индивидуальные пользователи, мелкие и крупные компании, исследовательские центры и учебные заведения. Сообщалось о проблемах в работе сети европейского офиса IBM, пострадали также Motorola, American Express и многие другие. В тот же день на северо-востоке США и частично в Канаде произошло крупнейшее веерное отключение электроснабжения: полностью без электричества остались Нью-Йорк, Детройт, Кливленд, Оттава и Торонто. Было ли это результатом заражения сети энергетических компаний или случайным совпадением нескольких факторов, включая факт заражения, — неизвестно, однако официальное расследование отвергло связь этой технологической катастрофы с массовой эпидемией червя.

18 августа разразилась эпидемия «антивирусного» червя Welchia, который использовал сразу две дыры в продуктах Microsoft: в службе DCOM RPC и WebDAV в системе IIS 5.O. Особенностью этого червя было то, что он удалял из системы червя Lovesan, скачивал обновления Windows и устанавливал их в систему — фактически лечил компьютеры от нашумевшего Lovesan и закрывал критические дыры Windows (метод, которым червь CodeGreen лечил компьютеры от CodeRed в 2001 году). Однако червь был не столь безобиден: заражение компьютеров компании Air Canada вызвало сбои в работе ее сети.

На фоне глобальных эпидемий сетевых червей периодически случались и эпидемии новых почтовых червей. В начале года стали появляться модификации почтового червя Sobig. К лету 2003 года точечные инциденты с ним переросли в полномасштабную эпидемию: червь вышел на первые места в рейтингах вредоносных программ. Для массового распространения его новых версий, видимо, использовались спам-технологии — рассылка множества копий с анонимных «зомби»-машин. Некоторые варианты червя фальсифицировали адреса отправителя (подставляли «чужой адрес» в поле От) — червь заметал свои следы и затруднял локализацию источника эпидемии. Кроме того, это вводило пользователей в заблуждение и порождало большое количество вопросов.

Август 2003-го. Эпидемия почтового червя Mimail, атаковавшего систему интернет-платежей e-gold. Червь следил за активностью приложений e-gold, установленными на зараженном компьютере, считывал из них конфиденциальные данные и отсылал на несколько анонимных почтовых адресов. Таким образом, была зафиксирована очередная интернет-атака с откровенно криминальными целями.

Следует упомянуть также о червях Avron, Dumaru, Roron, Sober, Swen, эпидемии которых произошли в том же году.

В 2003 году также начинает набирать обороты новый вид электронного мошенничества — так называемый фишинг — рассылка поддельных писем с просьбой подтвердить персональные коды доступа к банковскому счету. Чуть позже фишинг стал использоваться для атак и на пользователей других интернет-сервисов.

10 июля 2003 года антивирусная индустрия испытала серьезное потрясение. Корпорация Microsoft объявила о покупке антивирусных технологий и интеллектуальной собственности у румынской компании GeCAD Software, производившей антивирус RAV. В пресс-релизе, опубликованном Microsoft, было объявлено, что данное приобретение поможет усилить безопасность операционной системы Windows и улучшить поддержку, оказываемую прочим антивирусным компаниям. О том, что Microsoft планирует разработать собственный антивирус, речь не шла. Однако при виде софтверного гиганта, положившего глаз на антивирусные технологии, антивирусные компании замерли, как бандерлоги при виде Каа.

18 января 2004 года. Обнаружен почтовый червь Bagle, положивший начало целому семейству червей с явной криминальной направленностью: он устанавливал троянский прокси-сервер для дальнейшей рассылки спама.

В ночь с 26 на 27 января (по европейскому времени) разразилась эпидемия первой версии почтового червя Mydoom. Эпидемия практически моментально достигла своего пика: очевидно, что изначально червь распространялся, используя спам-технологии, — с помощью массовой рассылки зараженных писем через «зомби»-сети. Количество писем было настолько велико, что почтовые серверы многих компаний не выдержали нагрузки и прекратили работу или резко снизили свою производительность. К особенностям этого червя следует отнести то, что он имел криминальную сущность. Так же, как и Bagle, он устанавливал троянский прокси-сервер для рассылки спама. Плюс к тому на компьютеры внедрялся бэкдор-троянец, позволявший полностью контролировать зараженные машины. И в завершение — с 1 февраля червь организовал DDoS-атаку на сайт производителя UNIX-систем SCO. В результате атаки сайт «отключился» и компания была вынуждена временно использовать альтернативный сайт.

9 февраля 2004 года. Эпидемия сетевого червя Doomjuice. Интересен тот факт, что распространялся этот червь через компьютеры, уже зараженные червем Mydoom. В систему Doomjuice проникал через сетевой порт, открываемый троянским компонентом Mydoom для приема удаленных команд. Если зараженный компьютер отвечал на запрос червя, то Doomjuice создавал соединение и пересылал свою копию. В свою очередь, установленная червем Mydoom троянская программа принимала данный файл и запускала его на исполнение. Таким образом, Doomjuice паразитировал на сети компьютеров, зараженных червем Mydoom.

15 февраля 2003 года. Эпидемия первого червя из серии NetSky. Одна из основных функций этого червя — удаление из системы известных версий червя Mydoom. В последующие варианты NetSky были также добавлены процедуры удаления червя Bagle. В результате в марте 2003 года в Интернете развернулась настоящая война между авторами червей NetSky с одной стороны — и Mydoom и Bagle с другой. Так, 3 марта 2004 года всего за 3 часа было зафиксировано сразу 5 новых модификаций этих червей. В марте и апреле 2004 года наиболее «популярные» представители этих семейств составляли 80-90 % всего вредоносного трафика в Сети. Они удаляли из системы «противника», а в коде червя можно было обнаружить «послания» к противостоящей группировке. С другой линии фронта поступают ответные «реверансы».

30 апреля 2004 года разразилась сильнейшая эпидемия сетевого червя Sasser. Проникновение в систему шло через дыру в службе LSASS Microsoft Windows, при этом в некоторых случаях компьютеры перегружались. В результате Sasser парализовал работу миллионов компьютеров по всему миру, от него пострадали тысячи крупных и мелких компаний, университеты, государственные учреждения. Некоторые авиакомпании отложили или даже отменили рейсы (British Airways, Delta Air Lines), прекратили работу несколько банков (Goldman Sachs и Westpac Bank), а финский банк Samp закрыл все 130 своих отделений в качестве профилактической меры. На Тайване червь парализовал работу технической выставки Computex и трети почтовых отделений, в Гонконге оставил без компьютеров государственные больницы, остановил железную дорогу Австралии.

Компания Microsoft объявила о готовности заплатить по $250 тыс. за информацию, которая поможет привести к поимке авторов червей Mydoom и Sasser. В результате за создание и распространение червей NetSky и Sasser в мае 2004 года в Германии был арестован 18-летний студент Свен Яшан. Кто стоял за Mydoom — до сих пор неизвестно.

В 2004 году появляются сразу несколько «концептуальных» вирусов, которые никакой «полезной нагрузки» не несут (авторы таких вирусов не извлекают из них никакой пользы), а только демонстрируют новые методы заражения. Практически все они были написаны членами международной группы вирусописателей «29А» и были разосланы непосредственно в антивирусные компании.

27 мая 2004 года. Rugrat — первый вирус, заражающий исполняемые файлы 64-битной версии операционной системы Windows.

14 июня 2004 года. Cabir — первый вирус-червь для смартфонов под управлением операционной системы Symbian. Распространялся через Bluetooth-соединение: сканировал доступные смартфоны и пересылал на них свой код. Через некоторое время сообщения о заражении вирусом стали поступать из разных стран мира. Таким образом, вирусы «переселились» в совершенно новую для себя «зону обитания».

17 июля 2004 года. Duts — первый компьютерный вирус для Windows Mobile — одной из наиболее популярных платформ среди мобильных устройств (карманных компьютеров, смартфонов).

5 августа 2004 года. Brador — первый троянец-бэкдор для карманных персональных компьютеров PocketPC на базе Windows СЕ или более новых версий Windows Mobile. Первый пример вредоносной программы для мобильных устройств, разработанной в злоумышленных целях.

В конце года появляется первая версия троянской программы Gpcode. Троянец шифровал пользовательские данные и требовал выкуп за утилиту расшифровки.

В целом, начиная с 2004 года в тех же злоумышленных целях создается подавляющее количество червей и троянских программ. «Классические вирусы» практически незаметны на фоне постоянно появляющихся новых версий разнообразных криминальных программ, созданных для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и для распространения спама. Особый размах приобретают банковские атаки — троянские программы, ворующие коды доступа к банковским счетам, и фишинг-атаки, преследующие ту же цель — получить доступ к персональным банковским счетам.

Год 2004 также отмечен активизацией полицейских расследований, которые нередко заканчивались арестами. Всего за разнообразные компьютерные преступления в разных странах на основании информации из открытых источников было арестовано около ста человек.

С точки зрения «эпидемиологической ситуации» год 2004 можно разделить на две половины. Первая половина года характеризуется многочисленными эпидемиями почтовых червей, а с лета их количество и размах заметно спадает. Что привело к таким резким изменениям — можно только догадываться. Скорее всего, сказалось сразу несколько факторов.

■ Антивирусные компании научились оперативно реагировать и выпускать защитные обновления, а интернет-провайдеры — не только устанавливать антивирус в обязательном порядке, но и дополнять антивирусную проверку различными фильтрами, и в результате эпидемии почтовых червей не достигали своего возможного пика.

■ Многочисленные аресты вирусописателей и объявление денежных премий за поимку наиболее «зарвавшихся» из них широко освещались прессой — в результате у компьютерного андеграунда заметно уменьшился интерес к «громким делам».

■ Низкая эффективность массовых эпидемий с точки зрения интересов компьютерного криминала: постоянное и контролируемое заражение относительно небольшого числа компьютеров (тысячи, десятки тысяч машин) большим числом разных троянских программ эффективнее, чем заражение миллионов компьютеров одной или несколькими программами.

Тенденции второй половины 2004 года сохранились и в последующих 2005 и 2006 годах. «Громких» инцидентов практически не происходит, но зато двукратно растет число разнообразных троянских программ, которые распространяются самыми разными способами: через интернет-пейджеры, веб-сайты, с помощью сетевых червей или традиционной электронной почты. При этом растет «популярность» именно сетевых непочтовых червей, которые проникают на компьютеры через различные дыры в программном обеспечении, например черви Mytob и Zotob (Bozori), авторы которых были арестованы в августе 2005-го.

С этими червями произошел курьез. Они проникли в сети и практически парализовали работу нескольких американских СМИ (ABCNews, CNN, New York Times), которые, обнаружив червя в своих собственных сетях, раздули истерию о якобы глобальной эпидемии, по силе сравнимой с эпидемиями сетевых червей 2003-2004 годов. Сказался, видимо, информационный голод на ставшие уже привычными глобальные инциденты прошлых лет, когда главными новостными темами были всплески эпидемий червей Mydoom, Bagle, Sasser и т. д.

Продолжали появляться новые вирусы и троянские программы для мобильных платформ, особенно часто — для операционной системы Symbian. Помимо ставшего уже обычным метода заражения через Bluetooth-соединения, они использовали и принципиально новые методы. 10 января — Lasco — первый пример вируса, не только рассылавшего себя на другие телефоны, но и заражавшего исполняемые файлы Symbian; 4 марта — Comwar рассылает себя в MMS-сообщениях по контактам из адресной книги (аналогично первым компьютерным почтовым червям); 13 сентября — Cardtrap — троянская программа, пытавшаяся установить другие вредоносные файлы для Windows, то есть пыталась использовать кроссплатформенное заражение.

Октябрь-ноябрь 2005 года. Скандал с троянскими технологиями Rootkit, обнаруженными на дисках от Sony Entertainment (Sony BMG). Rootkit-компоненты использовались в защите от копирования данных дисков и скрывали ее компоненты. Однако такие технологии «двойного применения» вполне могли быть использованы в злонамеренных целях, что и произошло практически сразу. 10 ноября обнаружен первый троянец-бэкдор, который задействовал для своей маскировки систему Rootkit от Sony.

Происходят изменения и в антивирусной индустрии. Корпорация Microsoft активно готовится к выходу на антивирусный рынок и покупает сразу две антивирусные компании. 8 февраля 2005 года она объявляет о покупке компании Sybari, которая специализируется на технологиях для защиты электронной почты Microsoft Exchange, a 20 июля объявлено о покупке FrontBridge Technologies, которая разрабатывала технологии фильтрации сетевого трафика, — в дополнение к антивирусу RAV (приобретенному в 2003 году) и Anti-Spyware компании GIANT (о покупке этой компании было объявлено 16 декабря 2004 года).

5 июля 2005 года сообщено о слиянии Symantec и производителя систем резервного копирования Veritas. Рынок и индустрия расценивают данный шаг как превентивные защитные меры Symantec перед появлением на рынке решений от Microsoft.

В 2005 году разразился очередной скандал с новой уязвимостью в приложениях Windows. На этот раз дыру обнаружили в обработчике графического формата Windows Meta Files (WMF). Ситуация осложнилась тем, что информацию об этой уязвимости опубликовали до выхода соответствующего обновления Windows — пользователи оказались беззащитными перед сотнями троянских программ, которые тут же задействовали дыру для проникновения в компьютеры. Вторая неприятность: про уязвимость стало известно 26 декабря — в начале рождественских каникул и быстрая реакция от Microsoft была маловероятна. Так и произошло: после нескольких дней молчания, 3 января 2006 года, Microsoft сообщает о том, что обновление Windows выйдет согласно «утвержденному графику», а именно 10 января. Мир IT-безопасности буквально взорвался огромным количеством критических, гневных, а порой и оскорбительных статей в адрес Microsoft. В конце концов под валом критики Microsoft не выдержал и 6 января 2006 года выпустил обновление MS06-001, исправляющее уязвимость в обработке WMF-файлов.

Криминальный бизнес в Сети можно считать сформировавшимся. Практически полностью отсутствуют глобальные инциденты: многие виновники эпидемий прошлых лет обнаружены и изолированы от общества, новые не стремятся составить им компанию. При этом безопаснее Интернет не становится: непрерывно растет количество и качество троянских программ и червей, созданных с откровенно преступными намерениями.

Продолжают формироваться криминальные программы для мобильных телефонов. 27 февраля 2006 года обнаружен RedBrowser — первая вредоносная программа для мобильных телефонов, способных исполнять Java-приложения (J2ME). Потенциальную опасность этот троянец представляет не только для смартфонов, но и для всех мобильных телефонов, поддерживающих платформу Java. «Полезная нагрузка» у троянца — рассылка SMS-сообщений на платные мобильные сервисы.

Появляются также «концептуальные» вирусы пока еще в некриминализированных зонах.

13 февраля 2006 года. Leap — первый червь для Mac OS X. Червь рассылает себя по пейджинговым интернет-сетям и заражает файлы этой операционной системы.

Год 2006 также войдет в историю как год выхода корпорации Microsoft на антивирусный рынок. В конце мая начались продажи интегрированного решения Windows Live OneCare: в единый пакет объединены антивирус, брандмауэр, система резервного копирования (бэкап) и утилиты тонкой настройки Windows. А в июле начались продажи продуктов линейки Antigen (на базе приобретенных ранее технологий Sybari) — пакет для Microsoft Exchange и SMTP Gateways, предназначенный для защиты электронной почты от вредоносных программ и спама.

В ноябре 2006 появляется очередная версия операционной системы от Microsoft — Windows Vista, позиционирующаяся как система повышенной безопасности.

В Windows Vista включено сразу несколько новых «безопасных» технологий. Однако решить проблему защиты от вредоносных программ удалось лишь частично: встроенные в Vista технологии блокируют лишь некоторые «зловредности», проникающие в компьютер и использующие его в злоумышленных целях.