Зміст
Введення
1. Історія комп'ютерних вірусів - від давнини до наших днів
1.1. Трохи археології
1.2. Початок шляху
1.3. Поліморфізм - мутація вірусів
1.4. Автоматизація виробництва і конструктори вірусів
2. Хронологія подій
3. Перспективи: що буде завтра і післязавтра
3.1. Що буде завтра?
3.2. Що буде післязавтра?
4. Класифікація комп'ютерних вірусів
5. Методи боротьби з вірусами.
5.1. Методи виявлення і видалення комп'ютерних вірусів
5.2. DOCTOR WEB - одна з найпопулярніших антивірусних програм.
Висновок
Список літератури
Введення
Комп'ютерні віруси. Що це таке і як з цим боротися? На цю тему вже написано десятки книг і сотні статей, боротьбою з комп'ютерними вірусами професійно займаються сотні (або тисячі) фахівців в десятках (а можливо, сотні) компаній. Здавалося б, ця тема не настільки складна і актуальна, щоб бути об'єктом такої пильної уваги. Однак це не так. Комп'ютерні віруси були і залишаються однією з найпоширеніших причин втрати інформації. Відомі випадки, коли віруси блокували роботу організацій і підприємств. Більше того, кілька років тому був зафіксований випадок, коли комп'ютерний вірус став причиною загибелі людини - в одному з госпіталів Нідерландів пацієнт отримав летальну дозу морфію з тієї причини, що комп'ютер був заражений вірусом і видавав невірну інформацію.
Незважаючи на величезні зусилля конкуруючих між собою антивірусних фірм, збитки, принесені комп'ютерними вірусами, не падають і досягають астрономічсескіх величин в сотні мільйонів доларів щорічно. Ці оцінки явно занижені, оскільки відомо стає лише про частину подібних інцидентів.
При цьому слід мати на увазі, що антивірусні програми і «залізо» не дають повної гарантії захисту від вірусів. Приблизно так само погано йдуть справи на іншій стороні тандему «людина-комп'ютер». Як користувачі, так і професіонали-програмісти часто не мають навіть навиків «самооборони», а їхні уявлення про вірус інколи є настільки поверхневими, що краще б їх (подань) і не було.
Трохи краще йдуть справи на Заході, де і літератури побільше (видається аж три щомісячних журналу, присвячених вірусам і захисту від них), і вірусів трохи менше (оскільки «ліві» китайські компакт-диски особливо на ринок не надходять), і антивірусні компанії ведуть себе активніше (проводячи, наприклад, спеціальні конференції і семінари для фахівців і користувачів).
У нас же, на жаль, все це не зовсім так. І одним з найменш »опрацьованих» пунктів є література, присвячена проблемам боротьби з вірусами. На сьогоднішній день наявна на прилавках магазинів друкована продукція антивірусного толку або давно застаріла, або написана непрофесіоналами, або авторами типу Хижняка, що набагато гірше.
Досить неприємним моментом є також випереджає робота Російського комп'ютерного «андеграунду»: лише за два роки було випущено більше десятка електронних номерів журналу вірусописьменників «Infected Voice», з'явилося кілька станцій BBS і WWW-сторінок, орієнтовані на поширення вірусів і супровідні інформації.
Все це і послужило поштовхом до того, щоб зібрати воєдино весь матеріал, який накопичився у мене за вісім років професійної роботи з комп'ютерними вірусами, їх аналізу та розробки методів виявлення і лікування.
Обов'язковою (необхідною) властивістю комп'ютерного вірусу є можливість створювати свої дублікати (не обов'язково збігаються з оригіналом) і впроваджувати їх в обчислювальні мережі і/або файли, системні області комп'ютера та інші виконувані об'єкти. При цьому дублікати зберігають здатність до подальшого поширення.
1. Історія комп'ютерних вірусів - від давнини до наших днів
1.1. Трохи археології
Думок з приводу дати народження першого комп'ютерного вірусу дуже багато. Мені достеменно відомо лише одне: на машині Беббідж його не було, а на Univac 1108 і IBM-360/370 вони вже були ( «Pervading Animal» і «Christmas tree»). Таким чином, перший вірус з'явився десь на самому початку 70-х або навіть наприкінці 60-х років, хоча «вірусом» його ніхто ще не називав. На цьому розмова про вимерлих копалин пропоную вважати завершеним.
1.2. Початок шляху
Поговоримо про новітню історії: «Brain», «Vienna», «Cascade» і далі. Ті, хто почав працювати на IBM-PC аж у середині 80-х, ще не забули повальну епідемію цих вірусів в 1987-89 роках. Букви сипалися на екранах, а натовпи користувачів мчали до фахівців по ремонту дисплеїв (зараз усе навпаки: вінчестер здох від старості, а валять на передовій невідомий науці вірус). Потім комп'ютер заграв чужоземний гімн «Yankee Doodle", але лагодити динаміки вже ніхто не кинувся - дуже швидко розібралися, що це - вірус, та не один, а цілий десяток.
Так віруси почали заражати файли. Вірус «Brain» і що скаче по екрану кулька вірусу "Ping-pong» ознаменували перемогу вірусу і над Boot-сектором. Все це дуже не подобалося користувачам IBM-PC, і - з'явилися протиотрути. Першим попалися мені антивирусом був вітчизняний ANTI-KOT: це легендарний Олег Котик випустив в світло перші версії своєї програми, яка знищувала цілих 4 (чотири) вірусу (американський SCAN з'явився у нас в країні дещо пізніше). До речі, всім, хто до цих пір зберіг копію цього антивіруса, пропоную негайно її стерти (хай простить мене Олег Котик!) Як програму шкідливу і нічого, крім витрати зайвих нервів і непотрібних телефонних дзвінків, що не приносить. На жаль, ANTI-KOT визначає вірус «Time» ( «Єрусалимський") по комбінації «MsDos» в кінці файлу, а деякі інші антивіруси ці самі букви акуратно причіпляють до всіх файлів з розширенням COM або EXE.
Слід звернути увагу на те, що історії завоювання вірусами Росії і Заходу розрізняються між собою. Першим вірусом, стрімко поширився на Заході був завантажувальний вірус «Brain», і тільки потім з'явилися файлові віруси «Vienna» і «Cascade». У Росії ж навпаки, спочатку з'явилися файлові віруси, а роком пізніше - завантажувальні.
Час йшов, віруси плодилися. Всі вони були чимось схожі один на одного, лізли в пам'ять, чіплялися до файлів і секторів, періодично вбивали файли, дискети і вінчестери. Одним з перших «одкровень» став вірус «Frodo.4096» - перша з відомих мені файлових вірусів-невидимок (стелс). Цей вірус перехоплював INT 21h і, при зверненні через DOS до заражених файлів, змінював інформацію таким чином, що файл з'являвся перед користувачем в незараженою вигляді. Але це була тільки надбудова вірусу над MS-DOS. Не минуло й року, як електронні таргани полізли всередину ядра DOS (вірус-невидимка «Beast.512»). Ідея невидимості продовжувала приносити свій плоди і далі: влітку 1991 року пронісся, косячи комп'ютери як бубонна чума, вірус «Dir_II». «Да-aa!» Сказали всі, хто в ньому порпався.
Але боротися з невидимками було досить просто: почистив RAM - і будь спокійний, шукай гада і лікуй його на здоров'я. Більше клопотів доставляли самошіфрующіеся віруси, які іноді всречалісь в чергових надходженнях в колекції. Адже для їх ідентифікації і видалення доводилося писати спеціальні підпрограми, налагоджувати їх. Але на це ніхто тоді не звертав уваги, поки ... Поки не з'явилися віруси нового покоління, ті, які носять назву поліморфік-віруси. Ці віруси використовують інший підхід до невидимості: вони шифруються (в більшості випадків), а в розшифровувача використовують команди, які можуть не повторюватися при зараженні різних файлів.
1.3. Поліморфізм - мутація вірусів
Перший поліморфік-вірус з'явився на початку 90-х кодів - «Chameleon», але по-справжньому серйозною проблема поліморфік-вірусів стала лише рік по тому - в квітні 1991-го, коли практично весь світ був охоплений епідемією поліморфік-вірусу «Tequila» ( наскільки мені відомо, ця епідемія практично не зачепила Росію, а перший Российская епідемія, викликана поліморфік-вірусом, відбулася аж через три роки - 1994 рік, це був вірус «Phantom1»).
Популярність ідеї самошіфрующіхся поліморфік-вірусів вилилася в появу генераторів поліморфік-коду - на початку 1992 з'являється знаменитий вірус «Dedicated», що базується на першому відомому поліморфік-генераторі MtE і відкрив серію MtE-вірусів, а через досить короткий час з'являється і сам поліморфік-генератор . Представляє він собою об'єктний модуль (OBJ-файл), і тепер для того щоб з самого звичайного нешифрованих вірусу отримати поліморфік-мутанта достатньо лише слінковать їх об'єктні модулі - OBJ-файл поліморфік-генератора і OBJ-файлом вірусу. Тепер автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не доведеться сидіти над кодами власного за/розшифровувача. При бажанні він може підключити до свого вірусу поліморфік-генератор і викликати його з кодів вірусу.
На щастя, перший MtE-вірус не потрапив до «живу природу» і не викликав епідемію, а розробники антивірусних програм, відповідно, мали деякий запас часу для підготовки до відбиття нової напасті.
Всього через рік виробництво поліморфік-вірусів стає вже «ремеслом», і в 1993 році відбувся їх «обвал». У що надходять до колекції віруси питома вага самошіфрующіхся поліморфік-вірусів стає все більше і більше. Створюється враження, що одним з основних напрямків у важкій справі створення вірусів стає розробка та налагодження поліморфік-механізму, а конкуренція серед авторів вірусів зводиться не до того, хто з них напише найкрутіший вірус, а чий поліморфік-механізм виявиться крутіше всіх.
Ось далеко не повний список тих з них, які можна назвати стовідсотково ПОЛіМОРФіЧНіСТЬ (кінець 1993):
Bootache, CivilWar (чотири версії), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Moctezuma (дві версії), MVF, Necros, Nukehard, PcFly (три версії), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (вісім версій).
Для виявлення цих вірусів доводиться використовувати спеціальні методи, до яких можна віднести емуляцію виконання коду вірусу, математичні алгоритми відновлення ділянок коду й даних у вірусу і т.д. До не-стовідсотковим поліморфік (тобто які шифрують себе, але в розшифровувача вірусу завжди існують постійні байти) можна віднести ще десяток нових вірусів:
Basilisk, Daemaen, Invisible (дві версії), Mirea (кілька версій), Rasek (три версії), Sarov, Scoundrel, Seat, Silly, Simulation.
Однак і вони вимагають розшифровки коду для їх детектування і відновлення уражених об'єктів, оскільки довжина постійного коду в рассшіфровщіке цих вірусів є дуже малою.
Паралельно з поліморфік-врусамі розвиваються поліморфік-генератори. З'являється декілька нових, що використовують більш складні методи генерації поліморфік-коду, вони поширюються по станціях BBS у вигляді архівів, що містять об'єктні модулі, документацію та приклади використання. Наприкінці 1993 року було відомо вже сім генераторів поліморфік-коду. Це:
MTE 0.90 (Mutation Engine), чотири різні версії TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel's Multiple Encryptor)
З тих пір нові поліморфні генератори з'являлися по кілька штук на рік, і приводити їх повний список навряд чи має сенс.
1.4. Автоматизація виробництва і конструктори вірусів
Лінь - рушійна сила прогресу. Ця народна мудрість не потребує коментарів. Але тільки в середині 1992 року прогрес у вигляді автоматизації виробництва дійшов і до вірусів. П'ятого липня 1992 оголошений до випуску в світ перший конструктор вірусного коду для IBM PC-сумісних комп'ютерів - пакет VCL (Virus Creation Laboratory) версії 1.00.
Цей конструктор дозволяє генерувати вихідні і добре откомментірованние тексти вірусів (файли, що містять асемблерні текст), об'єктні модулі і безпосередньо заражені файли. VCL забезпечений стандартним віконним інтерфейсом. За допомогою системи меню можна вибрати тип вірусу, трупи об'єкти (COM і/або EXE), наявність або відсутність самошіфровкі, протидія відладчику, внутрішні текстові рядки, підключити до десяти ефектів, які супроводжують роботу вірусу і т.п. Віруси можуть використовувати стандартний спосіб знищення файлів в їх кінець, або записувати себе замість файлів, знищуючи їх первісний зміст, або бути вірусами-супутниками (міжнародний термін - компаньйон-віруси [companion]).
І все відразу стало значно простіше: захотів нашкодити ближньому - сідай за VCL і, за 10-15 хвилин настрогав 30-40 різних вірусів, запусти їх на ворожому комп'ютері (ах). Кожному комп'ютеру - окремий вірус!
Далі - більше. 27 липня з'явилася перша версія конструктора PS-MPC (Phalcon/Skism Mass-Produced Code Generator). Цей конструктор не містить в собі віконного інтерфейсу і генерує вихідні тексти вірусів по файлу конфігурації. Цей файл містить в собі опис вірусу: тип слабости файлів (COM або EXE); резидентність (PS-MPC створює також і резидентні віруси, чого не дозволяє конструктор VCL); спосіб інсталяції резидентного копії вірусу; можливість використання САМОШИФРУВАННЯ; можливість ураження COMMAND.COM і масу іншої корисної інформації.
На основі PS-MPC був створений конструктор G2 (Phalcon/Skism 's G2 0.70 beta), який підтримує файли конфігурації стандарту PS-MPC, однак при генерації вірусу використовує більшу кількість варіантів кодування одних і тих самих функцій.
Наявна в мене версія G2 позначена перше січня 1993 року. Мабуть, новорічну ніч автори G2 провели за комп'ютерами. Краще б вони замість цього попили шампанського, хоча одне іншому не заважає.
Отже, яким же чином вплинули конструктори вірусів на електронну фауну? У колекції вірусів, що зберігається на моєму «складі», кількість «сконструйованих» вірусів наступне: на базі VCL і G2 - по кілька сотень;
на базі PS-MPC - більше тисячі.
Так проявилася ще одна тенденція в розвитку комп'ютерних вірусів: все більшу частину в колекціях починають займати «сконструйовані» віруси, а в ряди їх авторів починають вливатися відверто ледачі люди, які зводять творчу і шановану професію вірусопісанія до вельми пересічного ремеслу.
2. Хронологія подій
Пора перейти до більш детального опису подій. Почнемо з самого початку.
кінець 1960 - початок 1970-х
На мейнфреймах цього часу періодично з'являлися програми, які отримали назву «кролик» (the rabbit). Ці програми клонували себе, займали системні ресурси і таким чином знижували продуктивність системи. Швидше за все «кролики» не передавалися від системи до системи і були суто місцевими явищами - помилками або витівками системних програмістів, що обслуговували комп'ютер. Перший же інцидент, який сміливо можна назвати епідемією «комп'ютерного вірусу», стався на системі Univax 1108. Вірус, що отримав назву «Pervading Animal», дописував себе до виконуваних файлів - робив практично те ж саме, що тисячі сучасних комп'ютерних вірусів.
перша половина 1970-х
Під операційну систему Tenex створений вірус «The Creeper», що використав для свого поширення глобальні комп'ютерні мережі. Вірус був в змозі самостійно увійти в мережу через модем і передати свою копію віддаленій системі. Для боротьби з цим вірусом була створена програма «The Reeper» - перша відома антивірусна програма.
Початок 1980-х
Комп'ютери стають все більш і більш попуярнимі. З'являється все більше і більше програм, авторами яких є не софтверні фірми, а приватні особи, причому ці програми мають можливість вільного ходіння по різних серверів загального доступу - BBS. Результатом цього є поява великої кількості різноманітних «троянських коней» - програм, які при їх запуску наносять системі якої-небудь шкоду.
1981
Епідемія завантажувального вірусу «Elk Cloner» на комп'ютерах Apple II. Вірус записувався в завантажувальні сектори дискет, до яких йшло звернення. Виявляв він себе досить багатосторонньо - перевертав екран, примушував блимати текст на екрані і виводив різноманітні повідомлення.
1986
Пандемія першого IBM-PC вірусу «Brain». Вірус, що заражає 360Kб дискети, практично миттєво розійшовся по всьому світу. Причиною такого «успіху» була швидше за все неготовність комп'ютерного суспільства до зустрічі з таким явищем, як комп'ютерний вірус.
Вірус був написаний в Пакистані братами Basit і Amjad Farooq Alvi, які залишили у вірусу текстове повідомлення, що містить їх імена, адресу та номер телефону. Як стверджували автори вірусу, вони були власниками компанії з продажу програмних продуктів і вирішили з'ясувати рівень піратського копіювання в їхній країні. На жаль, їх есперімент вийшов за кордону Пакистану.
Цікаво, що вірус «Brain» був також і перший стелс-вірусом - при спробі читання зараженого сектора він «підставляв» його незаражений оригінал.
У тому ж 1986 програміст на ім'я Ральф Бюргер (Ralf Burger) виявив, що прог?? Амма може робити власні копії шляхом додавання свого коду до виконуваних DOS-файлів. Його перший вірус, названий «VirDem», демонстрував цю можливість. Цей вирус був проаннонсірован в грудні 1986 на форумі комп'ютерного «андеграунду» - хакерів, які спеціалізувалися в той час на зломі VAX/VMS-систем (Chaos Computer Club in Hamburg).
1987
Поява вірусу «Vienna». Копія цього вірусу потрапляє в руки все того ж Ральфа Бюргера, який дізассемблірует вірус і поміщає результат в свою книгу «Computer Viruses: A High Tech Desease» (російський аналог - «Пишемо вірус і антивірус» м. Хижняка). Книга Бюргера популяризувала ідею написання вірусів, пояснювала як це відбувається і служила таким чином поштовхом до напісенію сотень чи навіть тисяч комп'ютерних вірусів, частково використовували ідеї з цієї книги.
У тому ж році незалежно один від одного з'являється ще кілька вірусів для IBM-PC. Це відомі в минулому «Lehigh», що заражає тільки COMMAND.COM, «Suriv-1» (інша назва - «April1st»), що заражає COM-файли, «Suriv-2», що заражає (вперше) EXE-файли, і «Suriv -3 », що заражає як COM-, так і EXE-файли. З'являються також кілька завантажувальних вірусів ( «Yale» у США, «Stoned» в Новій Зеландії та «PingPong» в Італії) і перший самошіфрующійся файловий вірус «Cascade».
Не залишилися осторонь і не-IBM-комп'ютери: було виявлено декілька вірусів для Apple Macintosh, Commodore Amiga і Atari ST.
У грудні 1987 відбулася перша відома повальна епідемія мережевого вірусу «Cristmas Tree», написаного на мові REXX і распрастранявшего себе в спераціонной середовищі VM/CMS. 9-го грудня вірус був запущений у мережу Bitnet в одному з університетів Західної Німеччини, проник через шлюз в European Academic Research Network (EARN) і потім - у мережу IBM VNet. Через чотири дні (13 грудня) вірус паралізував мережа - вона була забита його копіями (див. приклад про клерка кількома сторінками вище). При запуску вірус виводив на екран зображення новогодей (вірніше, різдвяної) ялинки і розсилав свої копії всім користувачам мережі, чиї адреси були присутні у відповідних системних файлах NAMES і NETLOG.
1988
У п'ятницю 13-го травня 1988-го року відразу кілька фірм та університетів кількох країн світу «познайомилися» з вірусом "Jerusalem» - цього дня вірус знищував файли при їх запуску. Це, мабуть, одна з перших MS-DOS-вірусів, що став причиною цієї пандемії - повідомлення про заражених комп'ютерах надходили з Європи, Америки і Близького Сходу. Назва, до речі, вірус отримав за місцем одного з інцидентів - університету в Єрусалимі.
Разом з кількома іншими вірусами ( «Cascade», «Stoned», «Vienna»), вірус «Jerusalem» поширився за тисячами комп'ютерів, залишаючись непоміченим - антивірусні програми ще не були поширені в той час так само широко як сьогодні, а багато користувачів і навіть професіонали ще не вірили в існування комп'ютерних вірусів. Показовим є той факт, що в тому ж році комп'ютерний гуру і людина-легенда Пітер Нортон висловився проти існування вірусів. Він оголосив їх неіснуючим міфом і порівняв з казками про крокодилів, що живуть у каналізації Нью-Йорка. Цей казус, однак, не завадив фірмі Symantec через деякий час почати власний антивірусний проект - Norton Anti-Virus.
Почали з'являтися свідомо помилкові повідомлення про комп'ютерні віруси, ніякої реальної інформації не містять, але які вносили паніку в стрункі ряди комп'ютерних користувачів. Одна з перших таких «злих жартів» (сучасний термін - «virus hoax») належить нікому Mike RoChenle (псевдонім схожий на «Microchannel»), який розіслав на станції BBS велика кількість повідомлень про нібито існуючий вірус, що передається від модему до модему і використовує для цього швидкість 2400 бод. Як це не смішно, багато пользоватеілі відмовилися від стандарту тих днів 2400 і знизили швидкість своїх модемів до 1200 бод. Подібні «hoax»-и з'являються і зараз. Найбільш відомі на сьогоднішній день - GoodTimes і Aol4Free.
Листопад 1988: повальна епідемія мережевого вірусу Морріса (інша назва - Internet Worm). Вірус уразив понад 6000 комп'ютерних систем в США (включаючи NASA Research Institute) і практично паралізував їхню роботу. Через помилки в коді вірусу він, як і вірус-хробак «Cristmas Tree», необмежено розсилав свої копії по інших компьютьерам мережі і, таким чином, повністю забрав під себе її ресурси. Загальні збитки від вірусу Морріса були оцінені в 96 мільйонів доларів.
Вірус використав для свого розмноження помилки в операційній системі Unix для VAX і Sun Microsystems. Крім помилок у Unix вірус використовував кілька інших оригінальних ідей, наприклад, підбір паролів користувачів. Докладніше про це вірус і пов'язаних з ним інцидентом можна прочитати в досить докладної й цікавої статті Ігоря Моісеєва в журналі КомпьютерПресс, 1991, N8, 9.
Грудень 1988: сезон вірусів-хробаків триває, цього разу в мережі DECNet. Вірус-черв'як HI.COM виводив на екран зображення ялинки і сповіщав користувачів, що їм слід «stop computing and have a good time at home !!!»< br />
З'являються нові антивірусні програми, наприклад, Dr.Solomon 's Anti-Virus Toolkit, що є на сьогоднішній день одним із самих потужних антивірусів.
1989
З'являються нові віруси - «Datacrime», «FuManchu» й цілі сімейства - «Vacsina» і «Yankee». Перший мав вкрай небезпечне прояв - з 13 жовтня по 31 грудня він форматувати вінчестер. Цей вірус вирвався «на свободу» і викликав повальну істерію в засобах масової інформації в Голландії і Великобританії.
Вересень 1989: на ринок виходить ще одна антивірусна програма - IBM Anti-Virus.
Жовтень 1989: в мережі DECNet зафіксована ще одна епідемія вірусу-хробака - «WANK Worm».
Грудень 1989: інцидент з «троянським конем» «Aids». Було розіслано 20.000 його копій на дискетах, позначених як «AIDS Information Diskette Version 2.0». Після 90 завантажень системи «РОДОВИД БАНК» шифрували імена всіх файлів на диску, робив їх невидимими (атрибут «hidden») і залишав на диску тільки один файл читається - рахунок на 189 доларів, який слід надіслати за адресою PO Box 7, Panama. Автор «Трої» був спійманий і засуджений до тюремного ув'язнення.
Слід відзначити той факт, що 1989 був початком повальної епідемії комп'ютерних вірусів в Росії - всі ті ж віруси «Cascade», «Jerusalem» та «Vienna» заполонили комп'ютери російських користувачів. На щастя, російські програмісти досить швидко розібралися з принципами їх роботи і практично відразу з'явилося кілька вітчизняних протиотрут-антивірусів.
Моє перше знайомство з вірусом (це був вірус «Cascade») відбулося в жовтні 1989 року - вірус виявився виявленим на моєму робочому комп'ютері. Саме це і послужило поштовхом для моєї професійної переорієнтації на створення програм-антивірусів. До речі, той перший вірус я вилікував популярної в ті часи антивірусною програмою ANTI-KOT Олега Котика. Місяцем пізніше другий інцидент (вірус «Vacsina») був закритий за допомогою першої версії мого антивіруса-V (який кількома роками пізніше був перейменований в AVP - AntiViral Toolkit Pro). До кінця 1989 року на теренах Росії паслося вже близько десятка вірусів (перераховані в порядку їх появи): дві версії «Cascade», кілька вірусів «Vacsina» і «Yankee», «Jerusalem», «Vienna», «Eddie», «PingPong ».
1990
Цей рік приніс кілька досить помітних подій. Першим з них є поява перших поліморфік-вірусів «Chameleon» (інша назва - «V2P1», «V2P2» і «V2P6»). До цього моменту антивірусні програми для пошуку вірусів користувалися так званими «масками» - шматками вірусного коду. Після появи вірусів «Chameleon» розробники антивірусних програм були змушені шукати інші методи їх виявлення.
Другою подією була поява болгарського «заводу з виробництва вірусів»: величезна кількість нових вірусів мали болгарське походження. Це були цілі сімейства вірусів «Murphy», «Nomenclatura», «Beast» (або «512», «Number-of-Beast»), нові модифікації вірусу «Eddie» та ін Особливу активність виявляв такий собі Dark Avenger, що випускав на рік по кілька нових вірусів, які використали принципово нові алгоритми зараження і сховати себе в системі. У Болгарії ж вперше з'явилися і перші BBS, орієнтована на обмін вірусами й інформацією для вірусів.
У липні 1990 відбувся інцидент з комп'ютерним журналом PC Today (Великобританія). Він містив флоппі-диск, заражений вірусом «DiskKiller». Було продано більше 50.000 копій журналу.
У другій половині 1990-го з'явилися два стелс-монстра - «Frodo» і «Whale». Обидва вірусу використовували вкрай складні стелс-алгоритми, а девятікілобайтний «Whale» до того ж застосовував кілька рівнів шифрування та анти-налагоджувальних прийомів.
З'явилися і перші відомі мені вітчизняні віруси: «Peterburg», «Voronezh» і ростовський «LoveChild».
1991
Популяція комп'ютерних вірусів безперервно зростає, досягаючи вже кількох сотень. Зростає і антивірусна активність: відразу дві софтверних монстра (Symantec і Central Point) випускають власні антивірусні програми - Norton Anti-Virus і Central Point Anti-Virus. Слідом з'являються менш відомі антивіруси від Xtree і Fifth Generation.
У квітні вибухнула справжня епідемія файлово-завантажувального поліморфік-вірусу «Tequila», а у вересні подібна ж «історія» сталася з вірусом "Amoeba». Росію ці події практично не торкнулися.
Літо 1991: епідемія вірусу «Dir_II», який використав принципово нові способи зараження файлів (link-вірус).
В цілому, 1991 рік був досить спокійним - таке собі затишшя перед бурею, що вибухнула в 1992-му.
1992
Віруси для не-IBM-PC і не-MS-DOS практично забуті: «дірки» в глобальних мережах закриття, помилки виправлені, і мережні віруси-хробаки втратили можливість для розповсюдження. Все більшу і більшу значимість починають набувати файлові, завантажувальні та файлово-завантажувальні віруси для найбільш поширеною операційної системи (MS-DOS) на найпопулярнішому комп'ютері (IBM-PC). Кількість вірусів зростає в геометричній прогресії, різні інциденти з вірусами відбуваються мало не щодня. Розвиваються різні антивірусні програми, виходять десятки кніх і кілька регулярних журналів, присвячених вірусів. На цьому фоні виділяються кілька основних моментів:
Початок 1992: перший поліморфік-генератор MtE, на базі якого через деякий час з'являється відразу кілька поліморфік-вірусів. MtE з'явився також прообразом кількох наступних поліморфік-генераторів.
Березень 1992: епідемія вірусу «Michelangelo» ( «March6») і пов'язана з цим істерія. Напевно, це перший відомий випадок, коли антивірусні компанії роздмухували галас навколо вірусу не для того, щоб захистити користувачів від будь-якої небезпеки, а для того, щоб привернути увагу до свого продукту, тобто з метою отримання комерційної вигоди. Так одна американська антивірусна компанія заявила, що 6-го березня буде зруйнована інформація більш ніж на п'ять мільйонів комп'ютерів. В результаті що піднялася після цього галасу прибутку різних антивірусних фірм піднялися в кілька разів, а від вірусу в дейтсвітельності постраждали всього близько 10.000 машин.
Липень 1992: поява перших конструкторів вірусів VCL і PS-MPC, які збільшили і без того немаленький потік нових вірусів і, як і MtE у своїй області, підштовхнули вірусів до створення інших, більш потужних конструкторів.
Кінець 1992: перший вірус для Windows, що заражає виконувані файли цієї операційної системи, відкрив нову сторінку в вірусопісательстве.
1993
Вірусописьменники серйозно взялися за роботу: крім сотень рядових вірусів, принципово не відрізняються від своїх побратимів, крім цілої низки нових поліморфік-генераторів і конструкторів, крім нових електронних видань врусопісателей з'являється все більше і більше вірусів, що використовують вкрай незвичайні способи зараження файлів, проникнення в систему і т.д. Основними прикладами є:
«PMBS», що працює в захищеному режимі процесора Intel 80386.
«Strange» (або «Hmm») - сольний виступ на тему «стелс-вірус», однак виконане на рівні апаратних переривань INT 0Dh і INT 76h.
«Shadowgard» і «Carbuncle», значно розширили діапазон алгоритмів компаньйон-вірусів;
«Emmie», «Metallica», «Bomber», «Uruguay» і «Cruncher» - використання принципово нових прийомів «спрятиванія» свого коду в заражених файлах.
Навесні 1993 Microsoft випустив свій власний антивірус MSAV, основою якого послужив CPAV від Central Point.
1994
Все більшого значення набуває проблема вірусів на компакт-дисках. Швидко ставши популярними, ці диски виявилися одним з основних шляхів поширення вірусів. Зафіксовано відразу кілька інцидентів, коли вірус потрапляв на майстер-диск при підготовці партії компакт-дисків. У результаті на комп'ютерний ринок були випущені досить великі тиражі (десятки тисяч) заражених дисків. Природно, що про їх лікуванні говорити не доводиться - їх доведеться просто знищити.
На початку року у Великій Британії з'явилися дві вкрай складних поліморфік-вірусу - «SMEG.Pathogen» і «SMEG.Queeg» (до цих пір не всі антивірусні програми в змозі досягти 100%-го результату при їх детектуванні). Автор вірусів поміщав заражені файли на станції BBS, що стало причиною цієї епідемії і паніки в засобах масової інформації.
Ще одну хвилю паніки викликало повідомлення про нібито існуючий вірус «GoodTimes», що поширює себе по мережі Інтернет і заражає комп'ютер при отриманні електронної пошти. Жодних такого вірусу насправді не існувало, проте через деякий час з'явився звичайний DOS-вірус з текстом «Good Times», вірус цей отримав назву «GT-Spoof».
Активізуються правоохоронні органи: влітку 1994 від SMEG «обчислили» і заарештований. Приблизно в той же самий час в тій же Великобританії заарештована ціла група вірусів, називала себе ARCV (Assotiation for Really Cruel Viruses). Через деякий час ще один від вірусів був арештований в Норвегії.
З'являються декілька нових досить незвичних вірусів:
Січень 1994: «Shifter» - перший вірус, що заражає об'єктні модулі (OBJ-файли). «Phantom1» - епідемія перший поліморфік-вірусу в Москві.
Квітень 1994: «SrcVir» - сімейство вірусів, що заражають вихідні тексти програм (C й Pascal).
Червень 1994: «OneHalf» - початок повальної епідемії вірусу, до сих пір є найбільш популярним вірусом в Росії.
Вересень 1994: «3APA3A» - епідемія файлово-завантажувального вірусу, який використовує вкрай незвичайний спосіб впровадження в MS-DOS. Жоден антивірус не виявився готовим до зустрічі з подібного типу монстром.
У 1994 році (весна) перестав існувати одна з антивірусних лідерів того часу - Central Point. Він був придбаний фірмою Сімантек, яка до того вже встигла «проковтнути» кілька невеликих фірм, що займалися антивірусними розробками - Peter Norton Computing, Certus International і Fifth Generation Systems.
1995
Нічого справді помітного в області DOS-віруси не відбулося, хоча з'являється кілька досить складних вірусів-монстрів типу «NightFall», «Nostradamus», «Nutcracker» і таких забавних вірусів, як «двостатеві» вірус «RMNS» та BAT-вірус «Winstart ». Широкого поширення набули віруси «ByWay» і «DieHard2» - повідомлення про заражених комп'ютерах було отримано майже з усіх країн світу.
Лютий 1995: стався інцидент з Microsoft: на диску, що містить демонстраційну версію Windows95, виявлений вірус «Form». Копії цього диска Microsoft розіслав бета-тестерів, один з яких не полінувався перевірити диск на віруси.
Весна 1995: аннонсірован альянс двох антивірусних компаній - ESaSS (ThunderBYTE anti-virus) і Norman Data Defence (Norman Virus Control). Ці компанії, що випускають досить сильні антивіруси, об'єднали зусилля і приступили до розробки єдиної антивірусної системи.
Серпень 1995: один з поворотних моментів в історії вірусів і антивірусів: в «живому вигляді» виявлений перший вірус для Microsoft Word ( «Concept»). Буквально за місяць вірус «облетів» всю земну кулю, заполонив комп'ютери користувачів MS-Word і міцно зайняв перше місце в статистичних дослідженнях, що проводяться різними комп'ютерними виданнями.
1996
Січень 1996: дві досить помітних події - з'явився перший вірус для Windows95 ( «Win95.Boza») і епідемія вкрай складного поліморфік-вірусу «Zhengxi» в Санкт-Петербурзі.
Березень 1996: перша епідемія вірусу для Windows 3.x. Його ім'я - «Win.Tentacle». Цей вірус уразив комп'ютерну мережу в госпіталі та кількох інших установах у Франції. Цікавість цієї події полягала в тому, що це був ПЕРШИЙ Windows-вірус, що вирвався на волю. До того часу (наскільки мені відомо) всі Windows-віруси жили тільки в колекціях та електронних журналах вірусів, а в «живому вигляді» зустрічалися тільки завантажувальні, DOS-і Macro-віруси.
Червень 1996: «OS2.AEP» - перший вірус для OS/2, коректно заражає EXE-файли цієї операційної системи. До цього в OS/2 зустрічалися тільки віруси, які записувалися замість файлу, знищуючи його або діючи методом «компаньйон».
Липень 1996: «Laroux» - перший вірус для Microsoft Excel, до того ж спійманий у «живому вигляді» (практично одночасно в двох нафтовидобувних компаніях на Алясці і в ПАР). Як і у MS-Word-вірусів, принцип дії «Laroux» грунтується на наявності?? у файлах так званих макросів - програмування на мові Basic. Такі програми можуть бути включені в електронні таблиці Excel так само, як і в документи MS-Word. Як виявилося, вбудований в Excel мова Basic також дозволяє створювати віруси. Цей же вірус у квітні 1997 став причиною епідемії в комп'ютерних фірмах Москви.
Грудень 1996: «Win95.Punch» - перший «резидентний» вірус для Win95. Завантажується в систему як VxD-драйвер, перехоплює звернення до файлів і заражає їх.
У цілому 1996 рік можна вважати початком широкомасштабного наступу комп'ютерного андеграунду на операційну систему Windows32 (Windows95 і Windows NT) і на додатки Microsoft Office. За цей і наступний рік з'явилося кілька десятків вірусів для Windows95/NT і кілька сотень макро-вірусів. У багатьох з них Вірусописьменники застосовували зовсім нові прийоми та методи зараження, додавали стелс-і поліморфік-механізми і т.п. Таким чином комп'ютерні віруси вийшли на новий виток свого розвитку - на рівень 32-бітових операційних систем. За два роки віруси для Windows32 повторили приблизно ті самі стадії, що рівно 10 років до того пройшли DOS-віруси, проте на зовсім новому технологічному рівні.
1997
Лютий 1997: «Linux.Bliss» - перший вірус для Linux (різновид юнікс). Так віруси зайняли ще одну «біологічну» нішу.
Лютий-квітень 1997: Макро-віруси перебралися і в Office97. Перші з них виявилися всього лише «відконвертований» в новий формат макро-вірусами для Word 6/7, однак практично відразу з'явилися віруси, орієнтовані тільки на документи Office97.
Березень 1997: «ShareFun» - макро-вірус, що вражає MS Word 6/7. Для свого розмноження використовує не тільки стандартні можливості MS Word, але також розсилає свої копії по електронній пошті MS-Mail.
Квітень 1997: «Homer» - перший мережевий вірус-хробак, що використовує для свого розмноження File Transfer Protocol (ftp).
Червень 1997: Поява першого самошіфрующегося вірусу для Windows95. Вірус, який має російське походження, був розісланий на кілька BBS в Москві, що стало причиною епідемії.
Листопад 1997: Вірус «Esperanto». Спроба створення (на щастя, невдале) багатоплатформного вірусу, який працює не тільки під DOS і Windows, але може заражати та файли Mac OS (Макінтош).
Грудень 1997: з'явилася нова форма вірусу - черв'яки mIRC. Виявилося, що найбільш популярна утиліта Windows IRC (Internet Relay Chat), відома як mIRC, містила «дірку», що дозволяє на вірусний скриптам передавати себе по IRC-каналах. У черговий версії IRC діра була закрита, і mIRC-черв'яки канули в лету.
Основним антивірусним подією в 1997 році стало, звичайно ж, відділення антивірусного підрозділу фірми КАМІ в незалежну компанію «Лабораторія Касперського», яка зарекомендувала себе на сьогоднішній день як визнаний технічний лідер антивірусної індустрії. Починаючи з 1994 року основний продукт компанії - антивірусний сканер AntiViral Toolkit Pro (AVP) - стабільно показує високі результати в численних тестах, що проводяться різними тестовими лабораторіями усього світу. Відділення в незалежну компанію дозволило з початку невеликій групі розробників стати першою за значущістю антивірусної компані