┌──┌─┐┌──
──┘├─┘──┘ Presents
┐ ┌┐┐┌─┤ VMag, Issue 3, 1 January 1999
└─┘┘ ┘└─┘ ─────────────────────────────
(c) 1998 Евгений Касперский.
Глава из книги "Компьютерные вирусы". СК-Пресс, Москва, 1998.
Тяжела и неказиста
Жизнь простого программиста
Народный фольклор
Нет предела нашему интегралу
Народная мудрость
1.4. История компьютерных вирусов - от древности до наших дней
1.4.1. Самое начало - немного археологии
Мнений по поводу того, когда появился первый компьютерный вирус,
очень много. Мне доподлинно известно только одно: на машине Бебиджа его
не было, а на Univac 1108 и IBM-360/370 уже были ("Pervading Animal" и
"Christmas tree"). Таким образом, первый вирус появился где-то в самом
начале 70-х или даже в конце 60-х годов, хотя "вирусом" его пока никто
не называл. На этом разговор о вымерших ископаемых предлагаю считать
завершенным.
1.4.2. Начало пути
Поговорим о новейшей истории: "Brain", "Vienna", "Cascade" и далее.
Те, кто начал работать на IBM-PC аж в середине 80-х, еще не забыли
повальную эпидемию этих вирусов в 1987-89 годах. Буквы сыпались по
экранам, а толпы пользователей неслись к специалистам по ремонту
дисплеев (сейчас все наоборот: винчестер сдох от старости, а валят на
неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный
гимн "Yankee Doodle", но чинить динамики уже никто не бросился - очень
быстро разобрались, что это - вирус, да не один, а целый десяток.
Так вирусы начали заражать файлы. Вирус "Brain" и скачущий по экрану
шарик вируса "Ping-pong" ознаменовали победу вируса и над Boot-сектором.
Все это очень не нравилось пользователям IBM-PC, и - появились
противоядия. Первым попавшимся мне антивирусом был отечественный
ANTI-KOT: это легендарный Олег Котик выпустил в свет первые версии своей
программы, которая уничтожала целых 4 (четыре) вируса (американский SCAN
появился у нас в стране несколько позднее). Кстати, всем, кто до сих пор
сохранил копию этого антивируса, предлагаю немедленно ее стереть (да
простит меня Олег Котик!), как программу вредную, и ничего, кроме траты
лишних нервов и ненужных телефонных звонков, не приносящую. К сожалению,
ANTI-KOT определяет вирус "Time" ("Иерусалимский") по комбинации "MsDos"
в конце файла, а некоторые другие антивирусы эти самые буквы аккуратно
прицепляют ко всем файлам с расширением COM или EXE.
Следует обратить внимание на то, что истории завоевания вирусами
России и Запада отличаются между собой - первым вирусом, стремительно
распространившимся на Западе был загрузочный вирус "Brain", и только
потом появились файловые вирусы "Vienna" и "Cascade". В России же
наоборот, сначала появились файловые вирусы, а годом позже -
загрузочные.
Время шло, вирусы плодились. Все они были чем-то похожи друг на
друга, лезли в память, цеплялись к файлам и секторам, периодически
убивали файлы, дискеты и винчестеры. Одним из первых "откровений" стал
вирус "Frodo.4096" - первый из известных мне файловых вирусов-невидимок
(стелс). Этот вирус перехватывал INT 21h и, при обращении через DOS к
зараженным файлам, изменял информацию таким образом, что файл появлялся
перед пользователем в незараженном виде. Но это была только надстройка
вируса над MS-DOS. Не прошло и года, как электронные тараканы полезли
внутрь ядра DOS (вирус-невидимка "Beast.512"). Идея невидимости
продолжала приносить свой плоды и далее: летом 1991 года пронесся, кося
компьютеры как бубонная чума, вирус "Dir_II". "Да-a-a!" сказали все, кто
в нем копался.
Но с невидимками было бороться довольно просто: почистил RAM - и будь
спокоен, ищи гада и лечи его на здоровье. Побольше хлопот доставляли
самошифрующиеся вирусы, которые иногда всречались в очередных
поступлениях в коллекции. Ведь для их идентификации и удаления
приходилось писать специальные подпрограммы, отлаживать их. Но на это
никто тогда не обращал внимания пока... Пока не появились вирусы нового
поколения, те, которые носят название полиморфик-вирусы. Эти вирусы
используют другой подход к невидимости: они шифруются (в большинстве
случаев), а в расшифровщике используют команды, которые могут не
повторяться при заражении различных файлов.
1.4.3. Полиморфизм - мутация вирусов
Первый полиморфик-вирус появился в начале 90-х кодов - "Chameleon",
но по настоящему серьезной проблема полиморфик-вирусов стала лишь год
спустя - в апреле 1991, когда практически весь мир был охвачен эпидемией
полиморфик-вируса "Tequila" (насколько мне известно, эта эпидемия
практически не затронула Россию, а первая Российская эпидемия, вызванная
полиморфик-вирусом, произошла аж три года спустя - год 1994, вирус
"Phantom1").
Популярность идеи самошифрующихся полиморфик-вирусов вылилась в
появление генераторов полиморфик-кода - в начале 1992 появляется
знаменитый вирус "Dedicated", базирующийся на первом известном
полиморфик-генераторе MtE и открывший серию MtE-вирусов, а через
довольно короткое время появляется и сам полиморфик-генератор.
Представляет он из себя объектный модуль (OBJ-файл), и теперь, чтобы из
самого обычного нешифрованного вируса получить полиморфик-мутанта
достаточно лишь слинковать их объектные модули - OBJ-файл
полиморфик-генератора и OBJ-файлом вируса. Теперь автору вируса, если он
желает создать настоящий полиморфик-вирус, не придется корпеть над
кодами собственного за/расшифровщика. При желании он может подключить к
своему вирусу полиморфик-генератор и вызывать его из кодов вируса.
К счастью, первый MtE-вирус не попал в "живую природу" и не вызвал
эпидемии, а разработчики антивирусных программ, соответственно, имели
некоторый запас времени для подготовки к отражению новой напасти.
Всего год спустя производство полиморфик-вирусов становится уже
"ремеслом", и в 1993 году произошел их "обвал". В поступающих в
коллекцию вирусах удельный вес самошифрующихся полиморфик-вирусов
становится все больше и больше. Создается впечатление, что одним из
основных направлений в трудном деле создания вирусов становится
разработка и отладка полиморфик-механизма, а конкуренция среди авторов
вирусов сводится не к тому, кто из них напишет самый крутой вирус, а чей
полиморфик-механизм окажется круче всех.
Вот далеко не полный список тех из них, которые можно назвать
стопроцентно полиморфичными (конец 1993):
Bootache, CivilWar (4 версии), Crusher, Dudley, Fly, Freddy, Ginger,
Grog, Haifa, Moctezuma (2 версии), MVF, Necros, Nukehard, PcFly (3
версии), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger,
Uruguay (8 версий).
Для детектирования этих вирусов приходится использовать специальные
методы, к которым можно отнести эмуляцию выполнения кода вируса,
математические алгоритмы восстановления участков кода и данных в вирусе
и т.д. К не-стопроцентным полиморфикам (т.е. к вирусам, которые шифруют
себя, но в расшифровщике вируса всегда существуют постоянные байты)
можно отнести еще десяток новых вирусов:
Basilisk, Daemaen, Invisible (2 версии), Mirea (несколько версий),
Rasek (3 версии), Sarov, Scoundrel, Seat, Silly, Simulation.
Однако и они требуют расшифровки кода для их детектирования и
восстановления пораженных объектов, поскольку длина постоянного кода в
рассшифровщике этих вирусов слишком мала.
Параллельно с полиморфик-врусами развиваются полиморфик-генераторы -
появляется несколько новых, использующих более сложные методы генерации
полиморфик-кода, они распространяются по станциям BBS в виде архивов,
содержащих объектные модули, документацию и примеры использования. В
конце 1993 года было известно уже семь генераторов полиморфик-кода. Это:
MTE 0.90 (Mutation Engine),
четыре различные версии TPE (Trident Polymorphic Engine),
NED (Nuke Encryption Device),
DAME (Dark Angel's Multiple Encryptor)
С тех пор новые полиморфные генераторы появлялись по несколько штук в
год, и приводить их полный список вряд ли имеет смысл.
1.4.4. Автоматизация производства и конструкторы вирусов
Лень - движущая сила прогресса. Эта народная мудрость не нуждается в
комментариях. Но только в середине 1992 года прогресс в виде
автоматизации производства дошел и до вирусов. Пятого июля 1992 года
объявлен к выпуску в свет первый конструктор вирусного кода для IBM-PC
совместимых компьютеров - пакет VCL (Virus Creation Laboratory) версии
1.00.
Этот конструктор позволяет генерировать исходные и хорошо
откомментированные тексты вирусов (файлы, содержащие ассемблерный
текст), объектные модули и непосредственно зараженные файлы. VCL снабжен
стандартным оконным интерфейсом. При помощи системы меню можно выбрать
тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие
самошифровки, противодействие отладчику, внутренние текстовые строки,
подключить до 10 эффектов, сопровождающих работу вируса и т.п. Вирусы
могут использовать стандартный способ поражения файлов в их конец или
записывать себя вместо файлов, уничтожая их первоначальное содержимое,
или являться вирусами-спутниками (международный термин -
компаньон-вирусы [companion]).
И все сразу стало значительно проще: захотел напакостить ближнему -
садись за VCL и, за 10-15 минут настрогав 30-40 разных вирусов, запусти
их на неприятельском компьютере(ах). Каждому компьютеру - отдельный
вирус!
Дальше - больше. 27 июля появилась первая версия конструктора PS-MPC
(Phalcon/Skism Mass-Produced Code Generator). Этот конструктор не
содержит в себе оконного интерфейса и генерирует исходные тексты вирусов
по конфигурационному файлу. Конфигурационный файл содержит в себе
описание вируса: тип поражаемых файлов (COM или EXE); резидентность
(PS-MPC создает также и резидентные вирусы, чего не позволяет
конструктор VCL); способ инсталляции резидентной копии вируса;
возможность использования самошифрования; возможность поражения
COMMAND.COM и массу другой полезной информации.
На основе PS-MPC был создан конструктор G2 (Phalcon/Skism's G2 0.70
beta), который поддерживает конфигурационные файлы стандарта PS-MPC,
однако при генерации вируса использует большее количество вариантов
кодирования одних и тех же функций.
Имеющаяся у меня версия G2 помечена первым января 1993 года. Видимо,
новогоднюю ночь авторы G2 провели за компьютерами. Лучше бы они вместо
этого попили шампанского, хотя одно другому не мешает.
Итак, каким же образом повлияли конструкторы вирусов на электронную
фауну? В коллекции вирусов, которая хранится на моем "складе",
количество "сконструированных" вирусов следующее:
на базе VCL и G2 - по несколько сотен;
на базе PS-MPC - более тысячи;
Так проявилась еще одна тенденция в развитии компьютерных вирусов:
все большую часть в коллекциях начинают занимать "сконструированные"
вирусы, а в ряды их авторов начинают вливаться откровенно ленивые люди,
которые сводят творческую и уважаемую профессию вирусописания к весьма
заурядному ремеслу.
1.4.5. За пределы DOS
Год 1992 принес больше, чем полиморфик-вирусы и вирус-конструкторы. В
конце этого года появился первый вирус для Windows, открывший, таким
образом, новую страницу в истории вирусописания. Небольного размера
(менее 1K), совершенно безвредный и нерезидентный вирус вполне грамотно
заражал выполняемые файлы нового формата Windows (NewEXE) и, таким
образом, пробил для вирусов окно в мир Windows.
Через некоторое время появились вирусы для OS/2, а в январе 1996 и
первый вирус для Windows95. На сегодняшний день не проходит и месяца без
появления новых вирусов, заражающих не-DOS системы, и, видимо, проблема
не-DOS вирусов в скором времени выйдет на первый план, перекрыв проблему
DOS-вирусов. Скорее всего, это произойдет эквивалентно постепенному
умиранию DOS и распространению новых операционных систем и программ для
них. Как скоро все существующие DOS-приложения будут замещены их
аналогами для Windows, Win95 и OS/2, так проблема DOS-вирусов сойдет на
нет и оставит после себя лишь теоретический интерес для компьютерного
социума.
В том же 1993 году появилась и первая попытка написать вирус,
работающий в защищенном режиме процессора Intel386. Это был загрузочный
вирус "PMBS", названный так по строке текста внутри кода вируса. При
загрузке с зараженного диска вирус переходил в защищенный режим,
устанавливал себя как супервизор системы и затем загружал DOS в режиме
виртуального окна V86. К счастью, вирус этот оказался "не жильцом" - его
второе поколение напрочь отказывалось размножаться по причине нескольких
ошибок в коде вируса. К тому же вирус завешивал систему, если какая-либо
из программ пыталась выйти за пределы V86, например, определить наличие
расширенной памяти.
Эта неудачная попытка написать вирус-супервизор так и оставалась
единственной известной вплоть до весны 1997 года, когда один московский
умелец выпустил вирус "PM.Wanderer" - вполне "удачную" реализацию
вируса, работающего в защищенном режиме.
Пока непонятно, вызовут ли в дальнейшем вирусы-супервизоры
действительную проблему для пользователей и разработчиков антивирусных
программ. Скорее всего нет, так как такие вирусы должны "засыпать" на
время работы новых операционных систем (Windows, Win95/NT, OS/2), что
позволяет их (вирусы) легко обнаружить и удалить. Однако полноценный
вирус-супервизор, использующий технологию "стелс" может принести немало
неприятностей пользователям "чистой" DOS, ведь обнаружить такой
стелс-вирус под DOS не представляется возможным.
1.4.6. Эпидемия макро-вируса
Год 1995, август. Все прогрессивное человечество, компания Microsoft
и Билл Гейтс лично празднуют выход новой операционной системы Windows95.
На фоне шумного торжества практически незамеченным прошло сообщение о
появлении вируса, использующего принципиально новые методы заражения -
вируса, заражающего документы Microsoft Word.
Честно говоря, это был не первый вирус, заражающий документы Word. До
этого момента антивирусные фирмы уже имели на руках первый опытный
образец вируса, который переписывал себя из документа в документ. Однако
никто не обратил серьезного внимания на этот не вполне удачный
эксперимент. В результате практически все антивирусные фирмы оказались
не готовы к последующему развитию событий - эпидемии макро-вируса, - и
начали спешно предпринимать полу-меры. Например, несколько фирм
практически одновременно выпустили в свет документы-антивирусы,
действовавшие примерно по тем же принципам, что и вирус, однако
уничтожавшие его вместо размножения.
Кстати, спешно пришлось править антивирусную литературу - ведь она
раньше на вопрос "Можно ли заразить компьютер при чтении файла?"
отвечала "Однозначно - нет!" и приводила длинные доказательства на эту
тему.
А вирус, получивший к тому времени имя "Concept", продолжал победное
движение по планете. Появившись, скорее всего, в каком-то из
подразделений фирмы Microsoft, "Concept" в мгновение ока завладел
тысячами (если не миллионами) компьютеров. Это неудивительно, ведь
передача текстов в формате MS Word стала де-факто одним из стандартов, а
для того, чтобы заразиться вирусом требуется всего-лишь открыть
зараженный документ, - и все остальные документы, редактируемые в
зараженном Word'e также оказываются зараженными. В результате, получив
по Internet зараженный файл и прочитав его, пользователь, не зная того
сам, оказывался "разносчиком заразы", и вся его переписка (если, конечно
же она велась при помощи MS Word) также оказывалась зараженной! Таким
образом, возможность заражения MS Word, помноженная на скорость
Internet, стала одной из самых серьезных проблем за всю историю
существования вирусов.
Не прошло и года, как летом 1996 года появился вирус "Laroux"
("Лару"), заражающий таблицы MS Excel. Как и в случае с вирусом
"Concept", новый макро-вирус был обнаружен "в природе" практически
одновременно в разных фирмах. Кстати, в 1997 году этот вирус стал
причиной эпидемии в Москве.
В том же 1996 году появились первые конструкторы макро-вирусов, а в
начале 1997 года появились первые полиморфик-макро-вирусы для MS-Word и
первые вирусы для MS Office97. Плюс к тому непрерывно росло число
разнообразных макро-вирусов, достигшее нескольких сотен к лету 1997-го.
Открыв новую страницу в августе 1995-го, опираясь на весь опыт,
накопленный вирусописательством за почти десятилетие непрерывной работы
и совершенствования, макро-вирусы, пожалуй, являются самой большой
проблемой современной вирусологии.
1.4.7. Хронология событий
Пора перейти к более детальному описанию событий. Начнем с самого
начала.
конец 1960 - начало 1970-х
На мейнфреймах этого времени периодически появлялись программы,
которые получили название "кролик" (the rabbit). Эти программы
клонировали себя, занимали системные ресурсы и, таким образом, снижали
производительность системы. Скорее всего, "кролики" не передавались от
системы к системе и являлись сугубо местными явлениями - ошибками или
шалостями системных программистов, обслуживавших компьютер. Первый же
инцидент, который смело можно назвать эпидемией "компьютерного вируса"
произошел на системе Univax 1108. Вирус, получивший название "Pervading
Animal", дописывал себя к выполняемым файлам - практически то же самое,
что делают тысячи современных компьютерных вирусов.
первая половина 1970-х
Под операционную систему Tenex создан вирус "The Creeper",
использовавший для своего распространения глобальные компьютерные сети.
Вирус был в состоянии самостоятельно войти в сеть через модем и передать
свою копию удаленной системе. Для борьбы с этим вирусом была создана
программа "The Reeper" - первая известная антивирусная программа.
Начало 1980-х
Компьютеры становятся все более и более попуярными. Появляется все
больше и больше программ, авторами которых являются не софтверные фирмы,
а частные лица, причем эти программы имеют возможность свободного
хождения по различным серверам общего доступа - BBS. Результатом этого
является появление большого числа разнообразных "троянских коней" -
программ, которые при их запуске наносят системе какой-либо вред.
1981
Эпидемия загрузочного вируса "Elk Cloner" на компьютерах Apple II.
Вирус записывался в загрузочные сектора дискет, к которым шло обращение.
Вирус содержал большое количество разнообразных проявлений -
переворачивал экран, заставлял мигать текст на экране и выводил
разнообразные сообщения.
1986
Пандемия первого IBM-PC вируса "Brain". Вирус, заражающий 360K
дискеты, практически мгновенно разошелся по всему миру. Причиной такого
"успеха" является, скорее всего, неготовность компьютерного общества к
встрече с таким явлением как компьютерный вирус.
Вирус был написан в Пакистане братьями Basit и Amjad Farooq Alvi,
оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и
телефонный номер. Как утверждали авторы вируса, они являлись владельцами
компании по продаже программных продуктов и решили выяснить уровень
пиратского копирования в их стране. К сожалению, их эсперимент вышел за
рамки Пакистана.
Что интересно, вирус "Brain" являлся также и первым стелс-вирусом -
при попытке чтения зараженного сектора вирус "подставлял" его
незараженный оригинал.
В том же 1996 году программист по имени Ральф Бюргер (Ralf Burger)
обнаружил, что программа может делать свои копии путем добавления своего
кода к выполняемым DOS-файлам. Его первый вирус, названный "VirDem",
демонстрировал эту возможность. Этот вырус был проаннонсирован в декабре
1996 на форуме компьютерного андеграунда - хакеров, специализировавшихся
в то время на взломе VAX/VMS-систем (Chaos Computer Club in Hamburg).
1987
Появление вируса "Vienna". Копия этого вируса попадает в руки все
того же Ральфа Бюргера, который дизассемблирует вирус и помещает
результат в свою книгу "Computer Viruses: A High Tech Desease" (русский
аналог - "Пишем вирус и антивирус" г. Хижняка). Книга Бюргера
популяризировала идею написания вирусов, объясняла как это происходит и
служила, таким образом, толчком для написения сотен или даже тысяч
компьютерных вирусов, частично использовавших идеи из этой книги.
В том же году независимо друг от друга появляются еще несколько
вирусов для IBM-PC. Это знаменитые в прошлом "Lehigh", заражающий только
COMMAND.COM, "Suriv-1" (другое название - "April1st"), заражающий
COM-файлы, "Suriv-2", заражающий (впервые) EXE-файлы и "Suriv-3",
заражающий как COM-, так и EXE-файлы. Появляются также несколько
загрузочных вирусов ("Yale" в США, "Stoned" в Новой Зеландии и
"PingPong" в Италии) и первый самошифрующийся файловый вирус "Cascade".
Не остались в стороне и не-IBM компьютеры - обнаружены были несколько
вирусов для Apple Macintosh, Commodore Amiga и Atari ST.
В декабре 1987 произошла первая известная повальная эпидемия сетевого
вируса "Cristmas Tree", написанного на языке REXX и распрастранявшего
себя в сперационной среде VM/CMS. 9-го декабря вирус был запущен в сеть
Bitnet в одном из университетов Западной Германии, проник через гейт в
European Academic Research Network (EARN) и затем в сеть IBM VNet и
через 4 дня (13 декабря) вирус парализовал ее - сеть была забита копиями
вируса (см. пример про клерка несколькими страницами выше). При запуске
вирус выводил на экран изображение новогодей (вернее, рождественской)
елочки и рассылал свои копии всем пользователям сети, чьи адреса
присутствовали в соответствующих системных файлах NAMES и NETLOG.
1988
В пятницу 13-го мая 1988-го года сразу несколько фирм и университетов
нескольких стран мира "познакомились" с вирусом "Jerusalem" - в этот
день вирус уничтожал файлы при их запуске. Этот вирус, пожалуй, являлся
одним из первых MS-DOS-вирусов, ставший причиной настоящей пандемии -
сообщения о зараженных компьютерах поступали из Европы, Америки и
Ближнего Востока. Название, кстати, вирус получил по месту одного из
инцидентов - университета в Иерусалиме.
Вместе с несколькими другими вирусами ("Cascade", "Stoned",
"Vienna"), вирус "Jerusalem" распространился по тысячам компьютеров,
оставаясь незамеченным - антивирусные программы еще не были
распространены в то время так же широко как сегодня, а многие
пользователи и даже профессионалы еще не верили в существование
компьютерных вирусов. Показателен тот факт, что в том же году
компьютерный гуру и человек-легенда Питер Нортон высказался против
существования вирусов. Он объявил их несуществующим мифом и сравнил со
сказками о существовании крокодилов в канализации Нью-Йорка. Этот казус,
однако, не помешал фирме Симантек через некоторое время начать
собственный антивирусный проект - Norton Anti-Virus.
Начали появляться заведомо ложные сообщения о компьютерных вирусах,
никакой действительно реальной информации не содержащими, но вносившими
панику в стройные ряды компьютерных пользователей. Одна из первых таких
"злых шуток" (современный термин - "virus hoax") принадлежит некому Mike
RoChenle (псевдоним похож на "Microchannel"), который разослал на
станции BBS большое количество сообщений о якобы сужествующем вирусе,
который передается от модема к модему и использует для этого частоту
2400 бод. Как это ни смешно, большое количество пользователей отказались
от стандарта тех дней 2400 и снизили скорость своих модемов до 1200 бод.
Подобные "hoax"-ы появляются и сейчас. Наиболее известными на
сегодняшний день являются GoodTimes и Aol4Free.
Ноябрь 1988: повальная эпидемия сетевого вируса Морриса (другое
название - Internet Worm). Вирус заразил более 6000 компьютерных систем
в США (включая, например, NASA Research Institute) и практически
парализовал их работу. По причине ошибки в коде вируса он, как и
вирус-червь "Cristmas Tree", неограниченно рассылал свои копии по другим
компьютьерам сети и, таким образом, полностью забрал под себя ее
ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов
долларов.
Вирус использовал для своего размножения ошибки в операционной
системе Unix для VAX и Sun Microsystems. Помимо ошибок в Unix вирус
использовал несколько других оригинальных идей, папример, подбор паролей
пользователей. Подробнее об этом вирусе и связанным с ним инцидентом
можно прочитать в достаточно подробной и интересной статье Игоря
Моисеева в журнале Компьютер Пресс, 1991, N8,9.
Декабрь 1988: сезон вирусов-червей продолжается, на этот раз в сети
DECNet. Вирус-червь HI.COM выводил на экран изображение елочки и извещал
пользователей, что им следует "stop computing and have a good time at
home!!!"
Появляются новые антивирусные программы - Dr.Solomon's Anti-Virus
Toolkit, являющийся на сегодняшний день одним из самых мощных
антивирусов.
1989
Появляются новые вирусы "Datacrime", "FuManchu" и целое семейство
вирусов "Vacsina" и "Yankee". Первый из перечисленных вирусов имел
крайне опасное проявление - с 13 октября по 31 декабря вирус
форматировал винчестер. Этот вирус вырвался "на свободу" и вызвал
повальную истерию в средствах массовой информации в Голландии и
Великобритании.
Сентябрь 1989: на рынок выходит еще одна антивирусная программа - IBM
Anti-Virus.
Октябрь 1989: в сети DECNet зафиксирована еще одна эпидемия
вируса-червя - "WANK Worm".
Декабрь 1989: инцидент с троянским конем "Aids", который был разослан
в количестве 20.000 копий на дискетах, помеченных как "AIDS Information
Diskette Version 2.0". После 90 загрузок системы троянец шифровал мена
всех файлов на диске, делал их невидимыми (атрибут "hidden") и оставлял
на диске только один читаемый файл - инвойс на $189, который следовало
послать на PO Box 7, Panama. Автор троянца был пойман и приговорен к
тюремному заключению.
Следует отметить тот факт, что год 1989 являлся началом повальной
эпидемии компьютерных вирусов в России - все те же вирусы "Cascade",
"Jerusalem" и "Vienna" заполонили компьютеры российских пользователей. К
счастью, российские программисты довольно быстро разобрались с пинципами
работы вирусов и практически сразу появилось несколько отечественных
противоядий-антивирусов.
Мое первое знакомство с вирусом (это был вирус "Cascade") произошло в
октябре 1989 года - вирус оказался обнаруженным на моем рабочем
компьютере. Именно это и послужило толчком для моей профессиональной
переориентации на создание программ-антивирусов. Кстати, тот первый
вирус я вылечил популярной в те времена антивирусной программой ANTI-KOT
Олега Котика. Месяцем позже второй инцидент (вирус "Vacsina") был закрыт
при помощи первой версии моего антивируса -V (который несколькими годами
позже был переименован в AVP - AntiViral Toolkit Pro). К концу 1989 года
на просторах России паслось уже около десятка вирусов (перечислены в
порядке их появления): две версии "Cascade", несколько вирусов "Vacsina"
и "Yankee", "Jerusalem", "Vienna", "Eddie", "PingPong".
1990
Этот год принес несколько довольно заметных событий. Первым из них
является появление первых полиморфик-вирусов "Chameleon" (другое
название - "V2P1", "V2P2" и "V2P6"). До этого момента антивирусные
программы для поиска вирусов пользовались так называемыми "масками" -
кусками вирусного кода. После появления вирусов "Chameleon" разработчики
антивирусов были вынуждены искать другие методы детектирования вирусов.
Вторым событием являлось появление болгарского "завода по
производству вирусов" - огромное количество новых вирусов имели
болгарское происхождение. Это были целые семейства вирусов "Murphy",
"Nomenclatura", "Beast" (или "512", "Number-of-Beast"), новые
модификации вируса "Eddie" и несколько других. Особенную активность
проявлял некто Dark Avenger, выпускавший в год по несколько новых
вирусов, использовавших принципиально новые алгоритмы заражения и
скрытия себя в системе. Также в Болгарии впервые появлась первая BBS,
ориентированная на обмен вирусами и информацией для вирусописателей.
В июле 1990 произошел инцидент с компьютерным журналом PC Today
(Великобретания). Он содержал флоппи-диск, зараженный вирусом
"DiskKiller". Продано было более 50.000 копий журнала.
Во второй половине 1990-го появились два стелс-монстра - "Frodo" и
"Whale". Оба вируса использовали крайне сложные стелс-алгоритмы, а
девятикилобайтный "Whale" к тому же применял несколько уровней шифровки
и анти-отладочных приемов.
Появились и первые известные мне отечественные вирусы: "Peterburg",
"Voronezh" и ростовский "LoveChild".
1991
Популяция компьютерных вирусов непрерывно растет, достигая уже
нескольких сотен. Также растет и антивирусная активность - сразу два
софтверных монстра Symantec и Central Point выпускают собственные
антивирусные программы - Norton Anti-Virus и Central Point Anti-Virus.
Следом появляются менее известные антивирусы от Xtree и Fifth
Generation.
В апреле разразилась настоящая эпидемия файлово-загрузочного
полиморфик-вируса "Tequila", а в сентябре подобная же эпидемия произошла
с вирусом "Amoeba". Россию эти эпидемии практически не затронули.
Лето 1991: эпидемия вируса "Dir_II", использовавшего принципиально
новые способы заражения файлов (link-вирус).
В целом, год 1991 был достаточно спокойным - этакое затишье перед
бурей, разразившейся в 1992.
1992
Вирусы для не-IBM-PC и не-MS-DOS практически забыты - "дыры" в
глобальных сетях закрыти, ошибки исправлены и сетевые вирусы-черви
потеряли возможность для распространения. Все большую и большую
значимость начинают приобретать файловые, загрузочные и
файлово-загрузочные вирусы для наиболее распространенной в мире
операционной системы (MS-DOS) на самом популярном в мире компьютере
(IBM-PC). Количество вирусов растет в геометрической прогрессии,
различные инциденты с вирусами происходят чуть ли не ежедневно.
Развиваются различные антивирусные программы, выходят десятки кних и
несколько регулярных журналов, посвященных вирусам. На этом фоне
выделяются несколько основных моментов:
Начало 1992: первый полиморфик-генератор MtE, на базе которого через
некоторое время появляется сразу несколько полиморфик-вирусов. MtE
явился также прообразом нескольких последующих полиморфик-генераторов.
Март 1992: эпидемия вируса "Michelangelo" ("March6") и связанная с
этим истерия. Наверное, это первый известный случай, когда антивирусные
компании раздували шумиху вокруг вируса не для того, чтобы защитить
пользователей от какой-либо опасности, а для того, чтобы привлечь
внимание к своему продукту, т.е. в целях извлечения коммерческой выгоды.
Так одна из американских антивирусных компаний заявила, что 6-го марта
будет разрушена информация более чем на 5 миллионах компьютеров. В
результате поднявшейся после этого шумихи прибыли различных антивирусных
фирм поднялись в несколько раз, а от вируса в дейтсвительности
пострадали всего около 10.000 машин.
Июль 1992: появление первых конструкторов вирусов VCL и PS-MPC,
которые увеличили и без того немаленький поток новых вирусов и, как и
MtE в своей области, подтолкнули вирусописателей к созданию других более
мощных конструкторов.
Конец 1992: первый вирус для Windows, заражающий выполняемые файлы
этой операционной системы, открыл новую страницу в вирусописательстве.
1993
Вирусописатели серьезно взялись за работу: помимо сотен рядовых
вирусов, принципиально не отличающихся от своих собратьев, помимо целого
ряда новых полиморфик-генераторов и конструкторов, помимо новых
электронных изданий врусописателей появляется все большее и большее
число вирусов, использующих крайне необычные способы заражения файлов,
проникновения в систему и т.д. Основными примерами являются:
"PMBS", работающий в защищенном режиме процессора Intel 80386.
"Strange" (или "Hmm") - сольное выступление на тему "стелс-вирус",
однако выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h.
"Shadowgard" и "Carbuncle", значительно расширившие диапазон
алгоритмов компаньон-вирусов;
"Emmie", "Metallica", "Bomber", "Uruguay" и "Cruncher" -
использование принципиально новых приемов "спрятывания" своего кода в
зараженных файлах.
Весной 1993 Microsoft выпустил свой собственный антивирус MSAV,
основой которого послужил CPAV от Central Point.
1994
Все большее значение приобретает проблема вирусов на CD-дисках.
Быстро став популярными, CD-диски оказались одним из основных путей
распространения вирусов. Зафиксировано сразу несколько инцидентов, когда
вирус попадал на мастер-диск при подготовке партии CD-дисков. В
результате на компьютерный рынок были выпущены довольно большие тиражи
(десятки тысяч) зараженных CD-дисков. Естественно, что о лечении
CD-диска говорить не приходиться - его придется просто уничтожить.
В начале года в Великобритании появились два крайне сложных
полиморфик-вируса "SMEG.Pathogen" и "SMEG.Queeg" (до сих пор не все
антивирусные программы в состоянии достичь 100%-го результата при
детектировании этих вирусов). Автор вирусов помещал зараженные файлы на
станции BBS, что явилось причиной настоящей эпидемии и паники в
средствах массовой информации.
Еще одну панику вызвало сообщение о якобы существующем вирусе
"GoodTimes", распространяющем себя по сети Интернет и заражающем
компьютер при получении электронной почты. Накакого такого вируса на
самом деле не существовало, однако через некоторое время появился
обычный DOS-вирус с текстом "Good Times", вирус этот получил название
"GT-Spoof".
Активизируются правоохранительные органы: летом 1994 автор SMEG был
"вычислен" и арестован. Примерно в то же самое время в той же
Великобритании арестована целая группа вирусописателей, называвшая себя
ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще
один автор вирусов был арестован в Норвегии.
Появляются несколько новых достаточно необычных вирусов:
Январь 1994: "Shifter" - первый вирус, заражающий объектные модули
(OBJ-файлы). "Phantom1" - эпидемия первого полиморфик-вируса в Москве.
Апрель 1994: "SrcVir" - семейство вирусов, заражающих исходные тексты
программ (C и Pascal).
Июнь 1994: "OneHalf" - начало повальной эпидемии вируса, до сих пор
являющегося самым популярным вирусом в России.
Сентябрь 1994: "3APA3A" - эпидемия файлово-загрузочного вируса,
использующего крайне необычный способ внедрения в MS-DOS. Ни один
антивирус не оказался готовым к встрече с подобного типа монстром.
В 1994 году (весна) перестал существовать один из антивирусных
лидеров того времени - Central Point. Он был приобретен фирмой Симантек,
которая до того уже успела "проглотить" несколько небольших фирм,
занимавшихся антивирусными разработками: Peter Norton Computing, Certus
International и Fifth Generation Systems.
1995
Ничего дейтсвительно заметного в области DOS-вирусами не произошло,
хотя появляется несколько достаточно сложных вирусов-монстров типа
"NightFall", "Nostardamus", "Nutcracker" и забавных вирусов, например,
"двуполый" вирус "RMNS" и BAT-вирус "Winstart". Широкое распространение
получили вирусы "ByWay" и "DieHard2" - сообщения о зараженных
компьютерах были получены практически со всего мира.
Февраль 1995: произошел инцидент с Microsoft - на диске, содержащем
демонстрационную версию Windows95, обнаружен вирус "Form". Копии этого
диска был разослан Microsoft'ом бета-тестерам, один из которых не
поленился проверить диск на вирусы...
Весна 1995: аннонсирован альянс двух антивирусных компаний - ESaSS
(ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control).
Эти компании, выпускающие достаточно сильные антивирусы, соединили
усилия и приступили у разработке единой антивирусной системы.
Август 1995: один из поворотных моментов в истории вирусов и
антивирусов - в "живом виде" обнаружен первый вирус для Microsoft Word
("Concept"). Буквально за месяц вирус "облетел" весь Земной шар,
заполонил компьютеры пользователей MS-Word и прочно занял первое место в
статистических исследованиях, проводимых различными компьютерными
изданиями.
1996
Январь 1996: два достаточно заметных события - появился первый вирус
для Windows95 ("Win95.Boza") и эпидемия крайне сложного
полиморфик-вируса "Zhengxi" в Санкт-Петербурге.
Март 1996: первая эпидемия вируса для Windows 3.x. Имя вируса -
"Win.Tentacle". Этот вирус заразил компьютерную сеть в госпитале и
несколько других учреждений во Франции. Интересность этого события
состояла в том, что это был ПЕРВЫЙ Windows-вирус, вырвавшийся на
свободу. До той поры (насколько мне известно) все Windows-вирусы жили
только в коллекциях и электронных журналах вирусописателей, а в "живом
виде" встречались только загрузочные, DOS- и Macro-вирусы.
Июнь 1996: "OS2.AEP" - первый вирус для OS/2, корректно заражающий
EXE-файлы. До этого в OS/2 встречались только вирусы, которые
записывались вместо файла, уничтожая его или действуя методом
"компаньон".
Июль 1996: "Laroux" - первый вирус для Microsoft Excel, к тому же
пойманный в "живом виде" (практически одновременно в двух
нефтедобывающих компаниях на Аляске и в ЮАР). Как и у MS-Word-вирусов,
принцип действия "Laroux" основывается на наличии в файлах так
называемых макросов - программ на языке Basic. Такие программы могут
быть включены в электронные таблицы Excel так же, как и в документы
MS-Word, и, как оказалось, встроенный в Excel язык Basic также позволяет
создавать вирусы. Этот же вирус стали причиной эпидемии в компьютерных
фирмах Москвы в апреле 1997.
1997
Февраль 1997: "Linux.Bliss" - первый вирус для Linux (разновидность
юникса). Так вирусы заняли еще одну "биологическую" нишу.
Февраль-апрель 1997: Макро-вирусы перебрались и в Office97. Первые из
них оказались всего лишь "отконвертированными" в новый формат
макро-вирусами для Word 6/7, однако практически сразу появились вирусы,
ориентированные только на документы Office97.
Март 1997: "ShareFun" - макро-вирус, поражающий MS Word 6/7. Для
своего размножения использует не только стандартные возможности MS Word,
но также рассылает свои копии по электронной почте MS-Mail.
Апрель 1997: "Homer" - первый сетевой вирус-червь, использующий для
своего размножения File Transfer Protocol (ftp).
Июнь 1997: Появление первого самошифрующегося вируса для Windows95.
Вирус имеет российское происхождение и был разослан на несколько BBS в
Москве, что стало причиной эпидемии.