Введення
Комп'ютерні віруси. Що це таке і як з цим боротися? На цю тему написано десятки книг і сотні статей, боротьбою з комп'ютерними вірусами професійно займаються сотні (або тисячі) фахівців в десятках (а може бути, сотнях) компаній. Здавалося б, тема ця не настільки складна і актуальна, щоб бути об'єктом такої пильної уваги. Однак це не так. Комп'ютерні віруси були і залишаються однією з найбільш поширених причин втрати інформації. Відомі випадки, коли віруси блокували роботу організацій і підприємств. Більше того, кілька років тому був зафіксований випадок, коли комп'ютерний вірус став причиною загибелі людини - в одному з госпіталів Нідерландів пацієнт отримав летальну дозу морфію з тієї причини, що комп'ютер був заражений вірусом і видавав невірну інформацію.
Незважаючи на величезні зусилля конкуруючих між собою антивірусних фірм, збитки, принесені комп'ютерними вірусами, не падають і досягають астрономічних величин в сотні мільйонів доларів щорічно. Ці оцінки явно занижені, оскільки відомо стає лише частину подібних інцидентів.
При цьому слід мати на увазі, що антивірусні програми і "залізо" не дають повної гарантії захисту від вірусів. Приблизно так само погано йдуть справи на іншій стороні тандему "людина-комп'ютер". Як користувачі, так і професіонали-програмісти часто не мають навіть навичок "самооборони", а їхні уявлення про вірус часом є настільки поверхневими, що краще б їх (подань) і не було.
Трохи краще йдуть справи у країнах, де і літератури побільше (видається аж три щомісячні журналу, присвячених вірусам і захист від них), і вірусів менше (оскільки "ліві" китайські компакт-диски особливо на ринок не надходять), і антивірусні компанії ведуть себе активніше (проводячи, наприклад, спеціальні конференції та семінари для фахівців і користувачів).
У нас же, на жаль, все це не зовсім так. І одним з найменш "опрацьованих" пунктів є література, присвячена проблемам боротьби з вірусами. На сьогоднішній день що є в продажу друкована продукція антивірусного штибу або давно застаріла, або написана непрофесіоналами, або авторами типу Хижняка, що набагато гірше.
Досить неприємним моментом є й випереджальна робота Російського комп'ютерного "андеграунду": тільки за два роки було випущено більше десятка електронних номерів журналу вірусописьменників "Infected Voice", з'явилося кілька станцій BBS і WWW-сторінок, орієнтовані на поширення вірусів та супутньої інформації.
Все це і послужило поштовхом до того, щоб зібрати воєдино весь матеріал, який скупчився в мене за вісім років професійної роботи з комп'ютерними вірусами, їх аналізу та розробці методів виявлення та лікування.
Варто мені що-небудь проковтнути, як тут же відбувається що-небудь цікаве. Подивимося, що буде на цей раз!
Льюїс Керрол. "Аліса в країні чудес"
1. Феномен комп'ютерних вірусів
20-е сторіччя безсумнівно є одним з поворотних етапів у житті людства. Як сказав один з письменників-фантастів, "людство понеслося вперед, як стимульована кінь", і, визначивши себе як технократичну цивілізацію, всі свої сили наші діди, батьки і ми самі кинули на розвиток техніки у найрізноманітніших його обличиях - від медичних приладів до космічних апаратів, від сільськогосподарських комбайнів до атомних електростанцій, від транспорту до систем зв'язку, - список нескінченний, оскільки вкрай складно привести область діяльності людства, не порушену розвитком техніки. / / Що було причиною настільки широкомасштабного і стрімкого розвитку - військове протистояння політичних систем, еволюційне "поумненіе" людини або його патологічна лінь (винайти колесо, щоб не тягати мамонта на плечах) - поки неясно. Залишимо цю загадку для істориків наступних століть.
Людство захоплено технікою і вже навряд чи відмовиться від зручностей, що надаються нею (мало хто забажає поміняти сучасний автомобіль на гужову тягу). Вже дуже багатьма геть забута звичайна пошта з її конвертами і листоношами - замість неї прийшла електронна пошта з її приголомшуючою швидкістю доставки (до декількох хвилин незалежно від відстані) і дуже високою надійністю. Не уявляю собі існування сучасного суспільства без комп'ютера, здатного багаторазово підвищити продуктивність праці та доставити будь-яку мислиму інформацію (щось на кшталт принципу "піди туди, не знаю куди, знайди те, не знаю що"). Вже не дивуємося мобільному телефону на вулиці - я і сам до нього звик всього за один день.
20-е сторіччя також є одним з найбільш суперечливих, принесли історії людства чимало парадоксів, основною з яких, як мені здається, є ставлення людини до природи. Переставши жити в дружбі з природою, перемігши її і довівши собі, що легко може її знищити, людина раптом зрозумів, що загине і сам, - і помінялися ролі в драмі "Людина-Природа". Раніше людина захищав себе від природи, тепер же він все більше і більше захищає природу від самого себе. Іншим феноменом 20-го століття є ставлення людини до релігії. Ставши технократом, людина не перестав вірити в Бога (або його аналогів). Більше того, з'явилися і зміцніли інші релігії.
До основних технічних феноменам 20-го століття відносяться, на мій погляд, поява людини в космосі, утилізація атомної енергії речовини, грандіозний прогрес систем зв'язку і передачі інформації і, звичайно ж, приголомшуюче розвиток мікро-і макро-комп'ютерів. І як скоро з'являється згадка про феномен комп'ютерів, так тут же виникає ще один феномен кінця нашого століття - феномен комп'ютерних вірусів.
Бути може, багатьом здасться смішним чи легковажним те, що факт виникнення комп'ютерних вірусів поставлений в один ряд з дослідженнями космосу, атомного ядра і розвитком електроніки. Можливо, що я неправий у своїх міркуваннях, проте дайте можливість порозумітися.
По-перше, комп'ютерні віруси - це серйозна і досить помітна проблема, виникнення якої ніхто не очікував. Навіть всевидющі фантасти-футурологи минулого не говорять про це нічого (наскільки це мені відомо). У їхніх численних творах з тією або іншою точністю передбачити практично всі технічні досягнення справжнього (згадаймо, наприклад, Уеллса з його ідеєю польоту з гармати на Місяць і марсіан, озброєних якоюсь подобою лазера). Якщо ж говорити про обчислювальних машинах, то тема ця вилизана донезмоги - однак немає жодного пророцтва, присвяченого комп'ютерним вірусам. Тема вірусу у творах письменників з'явилася вже після того, як перший реальний вірус вразив свій перший комп'ютер.
По-друге, комп'ютерні віруси - це перша цілком вдала спроба створити життя. Спроба вдала, але не можна сказати, що корисна - сучасні комп'ютерні "мікроорганізми" найбільше нагадують комах-шкідників, що приносять тільки проблеми і неприємності.
Але все таки - життя, оскільки комп'ютерним вірусам властиві всі атрибути живого - здатність до розмноження, пристосування до середовища, руху і т.д. (Природно, тільки в межах комп'ютерів - так само як все вищесказане вірно для біологічних вірусів в межах клітин організму). Більше того, існують "двостатеві" віруси (див. вірус RMNS), а прикладом "многоклеточности" можуть служити, наприклад, макро-віруси, що складаються з декількох незалежних макросів.
І по-третє, тема вірусів стоїть дещо окремо від усіх інших завдань, що вирішуються за допомогою комп'ютера (забудемо про такі специфічних завданнях, як злом захисту від копіювання і криптографію). Практично всі проблеми, які вирішуються за допомогою обчислювальної техніки, є продовженням цілеспрямованої боротьби людини з навколишнім його природою. Природа ставить людині довге нелінійне диференціальне рівняння в тривимірному просторі - людина набиває комп'ютер процесорами, пам'яттю, обважує курними проводами, багато палить і в підсумку вирішує це рівняння (або перебуває в стані впевненості, що вирішив). Природа дає людині шматок дроту з цілком певними характеристиками - людина вигадує алгоритми передачі якомога більшого обсягу інформації з цього проводу, терзає його модуляціями, стискає байти в біти й терпляче чекає надпровідності при кімнатній температурі. Природа (в особі фірми IBM) дає людині чергове обмеження у вигляді чергової версії IBM PC - і людина не спить ночами, знову багато курить, оптимізуючи коди черговий бази даних, щоб вмістити її в надані йому ресурси оперативної і дискової пам'яті. І так далі.
А ось боротьба з комп'ютерними вірусами є боротьбою людини з людським же розумом (в певному сенсі теж проявом природних сил, хоча на цей рахунок є більше одного думки). Ця боротьба є боротьбою умів, оскільки завдання, які стоять перед вірусологами, ставлять такі ж люди. Вони придумують новий вірус - а нам з ним розбиратися. Потім вони придумують вірус, в якому розібратися дуже важко - але ми з ним розбираємося. І зараз напевно десь сидить за комп'ютером хлопець, який не дурніші за мене, що страждає над черговим монстром, в якому мені доведеться розбиратися цілий тиждень, а потім ще один тиждень налагоджувати алгоритм антивіруса. До речі, чому не еволюція живих організмів?
Отже, поява комп'ютерних вірусів - один з найбільш цікавих моментів в історії технічного прогресу 20-го століття, і настав момент закінчити з околофілософскімі міркуваннями і перейти до конкретних питань. І питання про визначення поняття "комп'ютерний вірус" буде стояти на першому місці.
Так що ж таке комп'ютерний вірус?
На горі лежить дискета
У неї пошкоджений пляшок
Через дірочку в конверті
Її віруси гризуть
(Народний фольклор)
2. Що таке комп'ютерний вірус
Пояснень, що таке комп'ютерний вірус, можна навести декілька. Найпростіше - побутове пояснення для домогосподарки, яка жодного разу в житті комп'ютера не бачила, але знає, що Він є, і що в Ньому водяться Віруси. Таке пояснення дається досить легко, чого не можна сказати про другий поясненні, розрахованому на фахівця в області програм. Мені поки не представляється можливим дати точне визначення комп'ютерного вірусу і провести чітку грань між програмами за принципом "вірус - невірус".
2.1. Пояснення для домогосподарки
Пояснення буде дано на прикладі клерка, що працює виключно з паперами. Ідея такого пояснення належить Д. Н. Лозинському, одному з найвідоміших "докторів".
Уявімо собі акуратного клерка, який приходить на роботу до себе в контору і кожен день виявляє у себе на столі стос аркушів паперу зі списком завдань, які він повинен виконати за робочий день. Клерк бере верхній лист, читає вказівки начальства, пунктуально їх виконує, викидає "відпрацьований" лист у відро для сміття і переходить до наступного аркуша. Припустимо, що якийсь зловмисник потайки прокрадається в контору і підкладає в стос паперів лист, на якому написано наступне:
"Переписати цей лист два рази і покласти копії в стопку завдань сусідів"
Що зробить клерк? Двічі перепише лист, покладе його сусідам на стіл, знищить оригінал і перейде до виконання другого листа з стопки, тобто продовжить виконувати свою справжню роботу. Що зроблять сусіди, будучи такими ж акуратними клерками, виявивши нове завдання? Те ж, що й перший: перепишуть його по два рази і роздадуть іншим клеркам. Разом, в конторі бродять вже чотири копії первинного документа, які й далі будуть копіюватися і лунати на інші столи.
Приблизно так само працює і комп'ютерний вірус, тільки стопками паперів-вказівок є програми, а клерком - комп'ютер. Так само як і клерк, комп'ютер акуратно виконує всі команди програми (листи завдань), починаючи з першої. Якщо ж перша команда звучить як "скопіюй мене у дві інші програми", то комп'ютер так і зробить, - і команда-вірус потрапляє в дві інші програми. Коли комп'ютер перейде до виконання інших "заражених" програм, вірус тим же способом буде розходитися все далі і далі по всьому комп'ютеру.
У наведеному вище прикладі про клерка і його контору лист-вірус не перевіряє, заражена чергова папка завдань чи ні. У цьому випадку до кінця робочого дня контора буде завалена такими копіями, а клерки тільки і будуть що переписувати один і той же текст і роздавати його сусідів - адже перший клерк зробить дві копії, чергові жертви вірусу - уже чотири, потім 8, 16, 32 , 64 і т.д., тобто кількість копій кожного разу буде збільшуватися в два рази.
Якщо клерк на переписування одного листа витрачає 30 секунд і ще 30 секунд на роздачу копій, то через годину по конторі буде "бродити" більш 1.000.000.000.000.000.000 копій вірусу! Швидше за все, звичайно ж, не вистачить паперу, і поширення вірусу буде зупинено по настільки банальної причини.
Як це не смішно (хоча учасникам цього інциденту було зовсім не смішно), саме такий випадок стався в 1988 році в Америці - кілька глобальних мереж передачі інформації виявилися переповненими копіями мережного вірусу (вірус Морріса), який розсилав себе від комп'ютера до комп'ютера. Тому "правильні" віруси роблять так:
"Переписати цей лист два рази і покласти копії в стопку завдань сусідів, якщо у них ще немає цього листа".
Проблема вирішена - "перенаселення" немає, але кожна стопка містить по копії вірусу, при цьому клерки ще встигають справлятися і з звичайною роботою.
"А як же знищення даних?" - Запитає добре ерудована домогосподарка. Все дуже просто - досить дописати на лист приблизно наступне:
"1. Переписати цей лист два рази і покласти копії в стопку завдань сусідів, якщо у них ще немає цього листа.
2. Подивитися на календар - якщо сьогодні п'ятниця, потрапила на 13-е число, викинути всі документи в кошик для сміття "
Приблизно це і виконує добре відомий вірус "Jerusalem" (інша назва - "Time").
До речі, на прикладі клерка дуже добре видно, чому в більшості випадків не можна точно визначити, звідки в комп'ютері з'явився вірус. Всі клерки мають однакові (з точністю до почерку) КОПІЇ, але оригінал-то з почерком зловмисника вже давно в кошику!
Ось таке просте пояснення роботи вірусу. Плюс до нього хотілося б навести дві аксіоми, які, як це не дивно, не для всіх є очевидними:
По-перше, віруси не виникають самі собою - їх створюють дуже злі і нехороші програмісти-хакери і розсилають потім по мережі передачі даних або підкидають на комп'ютери знайомих. Вірус не може сам собою з'явитися на Вашому комп'ютері - яка його підсунули на дискетах або навіть на компакт-диску, або Ви його випадково скачали з комп'ютерної мережі передачі даних, або вірус жив у Вас в комп'ютері з самого початку, або (що найжахливіше) програміст-хакер живе у Вас в будинку.
По-друге: комп'ютерні віруси заражають тільки комп'ютер і нічого більше, тому не треба боятися - через клавіатуру і мишу вони не передаються.
2.2. Спроба дати "нормальне" визначення
Перші дослідження саморозмножуються штучних конструкцій проводилися в середині нинішнього сторіччя. У роботах фон Неймана, Вінера й інших авторів дані визначення і проведене математичний аналіз кінцевих автоматів, у тому числі і що самовідтворюються. Термін "комп'ютерний вірус" з'явився пізніше - офіційно вважається, що його вперше ужив співробітник Лехайскогоуніверситету (США) Ф. Коен в 1984 р. на 7-й конференції з безпеки інформації, яка проводилася в США. З тих пір пройшло чимало часу, гострота проблеми вірусів багаторазово зросла, однак строгого визначення, що ж таке комп'ютерний вірус, так і не даний, незважаючи на те, що спроби дати таке визначення починалися неодноразово.
Основні труднощі, що виникають при спробах дати строге визначення вірусу, полягає в тому, що практично усі відмітні риси вірусу (впровадження в інші об'єкти, скритність, потенційна небезпека і проч.) Або властиві іншим програмам, що в жодному разі вірусами не є, або існують віруси , які не містять зазначених вище відмітних рис (за винятком можливості поширення).
Наприклад, якщо як відмітну характеристику вірусу приймається скритність, те лекго привести приклад вірусу, що не ховає свого поширення. Такий вірус перед зараженням будь-якого файлу виводить повідомлення, з якого випливає, що в комп'ютері знаходиться вірус і цей вірус готовий вразити черговий файл, потім виводить ім'я цього файлу і запитує дозвіл користувача на упровадження вірусу у файл.
Якщо як відмітну рису вірусу приводиться можливість знищення їм програм і даних на дисках, то в якості контрпримера до даної відмітної риси можна привести десятки зовсім нешкідливих вірусів, що крім свого поширення нічим більше не відрізняються.
Основна ж особливість комп'ютерних вірусів - можливість їхнього мимовільного впровадження в різні об'єкти операційної системи - властива багатьом програмам, які не є вірусами. Наприклад, найпоширеніша операційна система MS-DOS має в собі все необхідне, щоб мимовільно встановлюватися на не-DOS'овскіе диски. Для цього досить на завантажувальний флоппі-диск, що містить DOS, записати файл AUTOEXEC.BAT наступного змісту:
SYS A:
COPY *.* A:
SYS B:
COPY *.* B:
SYS C:
COPY *.* C:
...
Модифікована в такий спосіб DOS сама стане самим дійсним вірусом з погляду практично будь-якого існуючого визначення комп'ютерного вірусу.
Таким чином, першої з причин, що не дозволяють дати точне визначення вірусу, є неможливість однозначно виділити відмітні ознаки, які відповідали б тільки вірусам.
Другий же труднощами, що виникають при формулюванні визначення комп'ютерного вірусу є те, що дане визначення повинне бути прив'язане до конкретної операційної системи, у якій цей вірус поширюється. Наприклад, теоретично можуть існувати операційні системи, в яких наявність вірусу просто неможливо. Таким прикладом може служити система, де заборонено створювати і змінювати області виконуваного коду, тобто заборонено змінювати об'єкти, які або вже виконуються, або можуть виконуватися системою при яких-небудь умовах.
Тому представляється можливим сформулювати тільки обов'язкова умова для того, щоб деяка послідовність виконуваного коду була вірусом.
ОБОВ'ЯЗКОВИМ (НЕОБХІДНИМ) ВЛАСТИВІСТЮ КОМП'ЮТЕРНОГО ВІРУСУ є можливість створювати свої дублікати (не обов'язково збігаються з оригіналом) і впроваджувати їх в обчислювальні мережі і / чи файли, системні області комп'ютера та інші виконувані об'єкти. При цьому дублікати зберігають здатність до подальшого поширення.
Слід зазначити, що ця умова не є достатнім (тобто остаточним), оскільки випливаючи вищенаведеному прикладу операційна система MS-DOS задовольняє даній властивості, але вірусом, швидше за все, не є.
Ось чому точного визначення вірусу немає дотепер, і навряд чи воно з'явиться в доступному для огляду майбутньому. Отже немає точно визначеного закону, по якому "хороші" файли можна відрізнити від "вірусів". Більше того, іноді навіть для конкретного файлу досить складно визначити, є він вірусом чи ні.
Ось два приклади: вірус KOH і програма ALREADY.COM.
Приклад 1. Є ... вірус? утиліта? з назвою KOH. Ця програма шифрує / розшифровує диски тільки по запиту користувача. Виконана вона у вигляді завантажувальної дискети - boot-cекторі містить bootstrap loader KOH, а десь в інших секторах лежить основний код KOH. При завантаженні з дискети KOH задає користувачеві питання типу: "А можна, я сам себе встановлю на вінчестер?" (Якщо він вже на вінчестері, то запитує те ж саме про дискету). При позитивному відповіді KOH переносить себе з диска на диск.
У результаті KOH переносить (копіює) сам себе з дискети на вінчестер, а з вінчестера на дискети, але тільки з дозволу господаря комп'ютера.
Потім KOH виводить текст про своїх hot-keys ("гарячі" клавіші), за якими він шифрує / розшифровує диски - запитує пароль, читає сектора, шифрує їх і робить недоступними, якщо не знати пароля. Є у нього, до речі, ключ деінсталяції, по якому він сам себе з диска прибирає (розшифрувавши, природно, все, що було зашифровано).
Разом, KOH - це якась утиліта захисту інформації від несанкціонованого доступу. Додана до неї, правда, одна особливість: Ця утиліта сама себе може копіювати з диска на диск (з дозволу користувача). Вірус це? .. Так чи ні? Швидше за все - ні ...
І все-б було нічого, і ніхто б цю утиліту по імені KOH вірусом не обізвав, але тільки bootstrap loader у цього KOH практично на 100% збігається з досить "популярним" вірусом "Havoc" ("StealthBoot ")... "І все - і кришка свята". Вірус! І офіційна назва є - "StealthBoot.KOH".
Якщо б, звичайно, автором KOH був би добре відомий програміст, а, скажімо, Сімантек, або Sierra, або навіть Сам Microsoft, то ніхто б і не посмів назвати це вірусом ...
Приклад 2. Є якась програма ALREADY.COM, яка сама себе копіює в різні підкаталоги на диску в залежності від системної дати. Вірус? Звичайно так - типовий вірус-хробак, сам себе розповзаються по дисках (включаючи мережеві). Так? .. Так!
"Ви грали - але не вгадали жодної букви!" Hе вірус це, як виявилося, а компонента від якогось софтвера. Однак, якщо цей файл висмикнути з цього софтвера, то веде він себе як типовий вірус.
Разом були приведені два живих прикладу:
1. не-вірус - вірус
2. вірус - не-вірус
Уважний читач, який не проти посперечатися, може заперечити:
Стоп. Hазвание "віруси" по відношенню до програм прийшло з біології саме по ознаці саморозмноження. КОH цій умові відповідає, отже це є вірус (чи комплекс, що включає вірусний компонент) ...
У такому випадку DOS є вірусом (чи комплексом, що включає вірусний компонент), оскільки в ньому є команда SYS і COPY. А якщо на диску присутній файл AUTOEXEC.BAT, приведений декількома абзацами вище, те для розмноження не буде потрібно навіть утручання користувача. Плюс до цього: якщо прийняти за необхідний і достатній ознаку вірусу можливість саморозмноження, то тоді будь-яка програма, що має інсталятор, є вірусом. Разом: аргумент не проходить.
... що, якщо під вірусом розуміти не просто "саморозмножуються код", але "саморозмножуються код, який не виконує корисних дій або навіть приносить шкоду, без залучення / інформування користувача" ...
Вірус KOH є програмою, що шифрує диски по паролю, що вводиться користувачем. _все_ Свої дії KOH коментує на екрані і запитує дозволу користувача. Плюс до того має дєїнсталлятор - розшифровує диски і видаляє з них свій код. Проте все одно - вірус!
Якщо у випадку з ALREADY.COM залучити суб'єктивні критерії (корисна / не корисна, входить у комплект / самостійна і т.п.), то, можливо, це і не варто називати вірусом / черв'яком. Але чи варто залучати ці самі суб'єктивні критерії?
А які можуть бути об'єктивні критерії вірусу? Саморозмноження, скритність і деструктивні властивості? Але адже на кожен об'єктивний критерій можна привести два контрприкладу - a) приклад вірусу, що не підходить під критерій, і b) приклад не-вірусу, що підходить під критерій:
Саморозмноження:
Intended-віруси, що не вміють розмножуватися через велику кількість помилок, або розмножуються тільки при дуже обмежених умовах.
MS-DOS і варіації на тему SYS + COPY.
Скритність:
Віруси "KOH", "VirDem", "Macro.Word.Polite" і деякі інші інформують користувача про свою присутність і розмноження.
Скільки приблизно (з точністю до десятка) драйверів сидить під стандартної Windows95? Потай сидить, між іншим.
Деструктивні властивості:
Нешкідливі віруси, типу "Yankee", які прекрасно живуть у DOS, Windows 3.x, Win95, NT і нічого нікуди не гадять.
Старі версії Norton Disk Doctor'а на диску з довгими іменами файлів. Запуск NDD в цьому випадку перетворює Disk Doctor'а в Disk Destroyer'а.
Тому тема "нормального" визначення комп'ютерного вірусу залишається відкритою. Є тільки кілька точних віх: наприклад, файл COMMAND.COM вірусом не є, а сумно відома програма з текстом "Dis is one half" є стовідсотковим вірусом ("OneHalf"). Все, що лежить між ними, може як виявитися вірусом, так і немає.
Не гарячіться, Шура, - ви ще не відсиділи за минуле справу.
з Жванецького
3. Хто і чому пише віруси?
Сам я написанням вірусів не займався, з їх авторами перетинаюся досить рідко, і, отже, мої міркування з цього приводу можуть бути лише суто теоретичними.
Так хто ж пише віруси? На мій погляд, основну їх масу створюють студенти та школярі, які тільки що вивчили мову асемблера, хочуть спробувати свої сили, але не можуть знайти для них більш гідного застосування. Тішить той факт, що значна частина таких вірусів їх авторами часто не поширюється, і віруси через деякий час "вмирають" разом з дискетами, на яких зберігаються. Такі віруси пишуться швидше за все тільки для самоствердження.
Другу групу складають також молоді люди (частіше - студенти), які ще не повністю оволоділи мистецтвом програмування, але вже вирішили присвятити себе написанню та розповсюдженню вірусів. Єдина причина, що штовхає подібних людей на написання вірусів, це комплекс меншовартості, який проявляє себе в комп'ютерному хуліганстві.
З-під пера подібних "умільців" часто виходять або численні модифікації "класичних" вірусів, або віруси вкрай примітивні і з великою кількістю помилок (такі віруси я називаю "студентськими"). Значно полегшилася життя подібних вірусописьменників після виходу конструкторів вірусів, за допомогою яких можна створювати нові віруси навіть при мінімальних знаннях про операційну систему та асемблері, або навіть взагалі не маючи про це жодного уявлення. Їх життя стало ще легше після появи макро-вірусів, оскільки замість складного мови Асемблер для написання макро-вірусів досить вивчити досить простий Бейсік.
Ставши старше і досвідченіше, але так і не подорослішавши, багато хто з подібних вірусописьменників потрапляють у третю, найбільш небезпечну групу, яка створює і запускає в світ "професійні" віруси. Ці дуже ретельно продумані і налагоджені програми створюються професійними, часто дуже талановитими програмістами. Такі віруси нерідко використовують досить оригінальні алгоритми, недокументовані і мало кому відомі способи проникнення в системні області даних. "Професійні" віруси часто виконані за технологією "стелс" і (або) є поліморфік-вірусами, заражають не тільки файли, але і завантажувальні сектори дисків, а іноді і виконувані файли Windows і OS / 2.
Досить значну частину в моїй колекції займають "сімейства" - групи з декількох (інколи більше десятка) вірусів. Представників кожної з таких груп можна виділити по одній відмітної риси, яка називається "почерком": у кількох різних віруси зустрічаються одні і ті ж алгоритми і прийоми програмування. Часто всі або майже всі представники сімейства належать одному автору, і іноді досить забавно стежити за "становленням пера" подібного митця - від майже "студентських" спроб створити хоч що-небудь, схоже на вірус, до цілком працездатною реалізації "професійного" вірусу.
На мою думку, причина, що змушує таких людей направляти свої здібності на таку безглузду роботу все та ж - комплекс неповноцінності, іноді поєднується з неврівноваженою психікою. Показовим є факт, що подібне вирусописательстве часто поєднується з іншими згубними пристрастями. Так, навесні 1997 року один з найбільш відомих у світі авторів вірусів по кличці Talon (Австралія) помер у віці 21 року від летальної дози героїну.
Дещо окремо стоїть четверта група авторів вірусів - "дослідники". Ця група складається з досить кмітливих програмістів, які займаються винаходом принципово нових методів зараження, приховування, протидії антивірусам і т.д. Вони ж придумують способи впровадження в нові операційні системи, конструктори вірусів і поліморфік-генератори. Ці програмісти пишуть віруси не заради власне вірусів, а швидше ради "дослідження" потенціалів "комп'ютерної фауни".
Часто автори подібних вірусів не запускають свої роботи у життя, проте дуже активно пропагують свої ідеї через численні електронні видання, присвячені створенню вірусів. При цьому небезпека від таких "дослідницьких" вірусів не падає - потрапивши до рук "професіоналів" з третьої групи, нові ідеї дуже швидко реалізуються в нові віруси.
Ставлення до авторів вірусів в мене потрійне. По-перше, всі, хто пише віруси або сприяє їх поширенню, є "годувальниками" антивірусної індустрії, річний оборот якої я оцінюю як мінімум дві сотні мільйонів доларів або навіть більше того (при цьому не варто забувати, що збитки від вірусів становлять кілька сотень мільйонів доларів щорічно і в рази перевищують витрати на антивірусні програми). Якщо загальна кількість вірусів до кінця 1997 року швидше за все досягне 20.000, то неважко підрахувати, що дохід антивірусних фірм від кожного вірусу щорічно складає мінімум 10 тисяч доларів. Звичайно ж, авторам вірусів не слід сподіватися на матеріальну винагороду: як показує практика, їх праця була і залишається безкоштовним. До того ж на сьогоднішній день пропозиція (нові віруси) цілком задовольняє попит (можливості антивірусних фірм з обробки нових вірусів).
По-друге, мені кілька шкода авторів вірусів, особливо "професіоналів". Адже для того, щоб написати подібний вірус, необхідно: a) затратити досить багато сил і часу, причому набагато більше, ніж потрібно для того, щоб розібратися у вірусі занести його до бази даних або навіть написати спеціальний антивірус; і б) не мати іншого , більш привабливого, заняття. Отже, вирусописатели - "професіонали" досить працездатні і одночасно з цим маються від неробства - ситуація, як мені здається, дуже сумна.
І по-третє, до мого ставлення до авторів вірусів досить сильно підмішані почуття нелюбові і презирства як до людей, свідомо і безцільно витрачають себе на шкоду всім іншим.
Важке і непоказне
Життя простого програміста
(Народний фольклор)
Немає межі нашому інтегралу.
(Народна мудрість)
4. Історія комп'ютерних вірусів - від давнини до наших днів
4.1. Трохи археології
Думок з приводу дати народження першого комп'ютерного вірусу дуже багато. Мені достеменно відомо лише одне: на машині Беббідж його не було, а на Univac 1108 і IBM-360/370 вони вже були ("Pervading Animal" і "Christmas tree"). Таким чином, перший вірус з'явився десь на самому початку 70-х або навіть наприкінці 60-х років, хоча "вірусом" його ніхто ще не називав. На цьому розмова про вимерлих копалин пропоную вважати завершеним.
4.2. Початок шляху
Поговоримо про новітню історію: "Brain", "Vienna", "Cascade" і далі. Ті, хто почав працювати на IBM-PC аж у середині 80-х, ще не забули повальну епідемію цих вірусів у 1987-89 роках. Літери сипалися на екранах, а натовпу користувачів мчали до фахівців з ремонту дисплеїв (зараз усе навпаки: вінчестер здох від старості, а валять на невідомий передовій науці вірус). Потім комп'ютер заграв чужоземний гімн "Yankee Doodle", але лагодити динаміки вже ніхто не кинувся - дуже швидко розібралися, що це - вірус, та не один, а цілий десяток.
Так віруси почали заражати файли. Вірус "Brain" і скаче по екрану кулька вірусу "Ping-pong" ознаменували перемогу вірусу і над Boot-сектором. Все це дуже не подобалося користувачам IBM-PC, і - з'явилися протиотрути. Першим ліпшим мені антивірусом був вітчизняний ANTI-KOT: це легендарний Олег Котик випустив у світ перші версії своєї програми, яка знищувала цілих 4 (чотири) вірусу (американський SCAN з'явився у нас в країні дещо пізніше). До речі, всім, хто до цих пір зберіг копію цього антивіруса, пропоную негайно її стерти (хай вибачить мене Олег Котик!) Як програму шкідливу і нічого, крім витрати зайвих нервів і непотрібних телефонних дзвінків, не приносить. На жаль, ANTI-KOT визначає вірус "Time" ("Єрусалимський") по комбінації "MsDos" наприкінці файлу, а деякі інші антивіруси ці самі букви акуратно причіпляють до всіх файлів з розширенням COM або EXE.
Слід звернути увагу на те, що історії завоювання вірусами Росії і Заходу різняться між собою. Першим вірусом, стрімко поширився на Заході був завантажувальний вірус "Brain", і лише потім з'явилися файлові віруси "Vienna" і "Cascade". У Росії ж навпаки, спочатку з'явилися файлові віруси, а роком пізніше - завантажувальні.
Час йшов, віруси плодилися. Всі вони були чимось схожі один на одного, лізли в пам'ять, чіплялися до файлів і секторів, періодично вбивали файли, дискети і вінчестери. Одним з перших "одкровень" став вірус "Frodo.4096" - перший з відомих мені файлових вірусів-невидимок (стелс). Цей вірус перехоплював INT 21h і, при зверненні через DOS до заражених файлів, змінював інформацію таким чином, що файл з'являвся перед користувачем в незараженою вигляді. Але це була тільки надбудова вірусу над MS-DOS. Не минуло й року, як електронні таргани полізли всередину ядра DOS (вірус-невидимка "Beast.512"). Ідея невидимості продовжувала приносити свій плоди і далі: влітку 1991 року пронісся, косячи комп'ютери як бубонна чума, вірус "Dir_II". "Так-aa!" Сказали всі, хто в ньому рився.
Але боротися з невидимками було досить просто: почистив RAM - і будь спокійний, шукай гада і лікуй його на здоров'я. Побільше клопоту доставляли самошіфрующіеся віруси, які іноді зустрічалися у чергових надходженнях до колекції. Адже для їх ідентифікації та видалення доводилося писати спеціальні підпрограми, налагоджувати їх. Але на це ніхто тоді не звертав уваги, поки ... Поки не з'явилися віруси нового покоління, ті, які носять назву поліморфік-віруси. Ці віруси використовують інший підхід до невидимості: вони шифруються (в більшості випадків), а в розшифровувача використовують команди, які можуть не повторюватися при зараженні різних файлів.
4.3. Поліморфізм - мутація вірусів
Перший поліморфік-вірус з'явився на початку 90-х кодів - "Chameleon", але по-справжньому серйозною проблема поліморфік-вірусів стала лише рік по тому - у квітні 1991-го, коли практично весь світ був охоплений епідемією поліморфік-вірусу "Tequila" ( наскільки мені відомо, ця епідемія практично не торкнулася Росію, а перша Російська епідемія, викликана поліморфік-вірусом, сталася аж три роки по тому - рік 1994, це був вірус "Phantom1").
Популярність ідеї самошіфрующіхся поліморфік-вірусів вилилася в появу генераторів поліморфік-коду - на початку 1992 з'являється знаменитий вірус "Dedicated", що базується на першому відомому поліморфік-генераторі MtE і відкрив серію MtE-вірусів, а через досить короткий час з'являється і сам поліморфік-генератор . Представляє він з себе об'єктний модуль (OBJ-файл), і тепер для того щоб з самого звичайного нешифрованому вірусу отримати поліморфік-мутанта достатньо лише злінкувати їх об'єктні модулі - OBJ-файл поліморфік-генератора і OBJ-файлом вірусу. Тепер автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не доведеться сидіти над кодами власного за / розшифровувача. При бажанні він може підключити до свого вірусу поліморфік-генератор і викликати його з кодів вірусу.
На щастя, перший MtE-вірус не потрапив в "живу природу" і не викликав епідемії, а розробники антивірусних програм, відповідно, мали деякий запас часу для підготовки до відбиття нової напасті.
Вже через рік виробництво поліморфік-вірусів стає вже "ремеслом", і в 1993 році відбувся їх "обвал". У надходять до колекції віруси питома вага самошіфрующіхся поліморфік-вірусів стає все більше і більше. Створюється враження, що одним з основних напрямків у важкій справі створення вірусів стає розробка та налагодження поліморфік-механізму, а конкуренція серед авторів вірусів зводиться не до того, хто з них напише найкрутіший вірус, а чий поліморфік-механізм виявиться крутішим за всіх.
Ось далеко не повний список тих з них, які можна назвати стовідсотково поліморфічнимі (кінець 1993):
Bootache, CivilWar (чотири версії), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Moctezuma (дві версії), MVF, Necros, Nukehard, PcFly (три версії), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (вісім версій).
Для виявлення цих вірусів доводиться використовувати спеціальні методи, до яких можна віднести емуляцію виконання коду вірусу, математичні алгоритми відновлення ділянок коду і даних у вірусі і т.д. До не-стовідсотковим поліморфіків (тобто які шифрують себе, але в розшифровувача вірусу завжди існують постійні байти) можна віднести ще десяток нових вірусів:
Basilisk, Daemaen, Invisible (дві версії), Mirea (кілька версій), Rasek (три версії), Sarov, Scoundrel, Seat, Silly, Simulation.
Однак і вони вимагають розшифровки коду для їх детектування і відновлення уражених об'єктів, оскільки довжина постійного коду в рассшіфровщіке цих вірусів занадто мала.
Паралельно з поліморфік-врусамі розвиваються поліморфік-генератори. З'являється кілька нових, що використовують більш складні методи генерації поліморфік-коду, вони поширюються по станціях BBS у вигляді архівів, що містять об'єктні модулі, документацію та приклади використання. В кінці 1993 року було відомо вже сім генераторів поліморфік-коду. Це:
MTE 0.90 (Mutation Engine), чотири різні версії TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel's Multiple Encryptor)
З тих пір нові поліморфні генератори з'являлися по кілька штук на рік, і приводити їх повний список навряд чи має сенс.
4.4. Автоматизація виробництва та конструктори вірусів
Лінь - рушійна сила прогресу. Ця народна мудрість не потребує коментарів. Але тільки в середині 1992 року прогрес у вигляді автоматизації виробництва дійшов і до вірусів. П'ятого липня 1992 оголошено до випуску у світ перший конструктор вірусного коду для IBM-PC сумісних комп'ютерів - пакет VCL (Virus Creation Laboratory) версії 1.00.
Цей конструктор дозволяє генерувати вихідні і добре відкоментованими тексти вірусів (файли, що містять асемблерний текст), об'єктні модулі і безпосередньо заражені файли. VCL забезпечений стандартним віконним інтерфейсом. За допомогою системи меню можна вибрати тип вірусу, що вражаються об'єкти (COM і / або EXE), наявність або відсутність самошіфровкі, протидія відладчику, внутрішні текстові рядки, підключити до десяти ефектів, які супроводжують роботу вірусу і т.п. Віруси можуть використовувати стандартний спосіб поразки файлів в їх кінець, або записувати себе замість файлів, знищуючи їх початкове вміст, або бути вірусами-супутниками (міжнародний термін - компаньйон-віруси [companion]).
І все відразу стало значно простіше: захотів накапостити ближньому - сідай за VCL і, за 10-15 хвилин настругати 30-40 різних вірусів, запусти їх на ворожому комп'ютері (ах). Кожному комп'ютеру - окремий вірус!
Далі - більше. 27 липня з'явилася перша версія конструктора PS-MPC (Phalcon / Skism Mass-Produced Code Generator). Цей конструктор не містить в собі віконного інтерфейсу і генерує вихідні тексти вірусів по файлу конфігурації. Цей файл містить у собі опис вірусу: тип слабости файлів (COM або EXE); резидентність (PS-MPC створює також і резидентні віруси, чого не дозволяє конструктор VCL); спосіб інсталяції резидентної копії вірусу; можливість використання самошифрування; можливість ураження COMMAND.COM і масу іншої корисної інформації.
На основі PS-MPC був створений конструктор G2 (Phalcon / Skism 's G2 0.70 beta), який підтримує файли конфігурації стандарту PS-MPC, однак при генерації вірусу використовує більшу кількість варіантів кодування одних і тих самих функцій.
Наявна в мене версія G2 позначена першим січня 1993 року. Мабуть, новорічну ніч автори G2 провели за комп'ютерами. Краще б вони замість цього попили шампанського, хоча одне іншому не заважає.
Отже, яким же чином вплинули конструктори вірусів на електронну фауну? У колекції вірусів, яка зберігається на моєму "складі", кількість "сконструйованих" вірусів наступне:
на базі VCL і G2 - по кілька сотень;
на базі PS-MPC - більше тисячі.
Так проявилася ще одна тенденція в розвитку комп'ютерних вірусів: дедалі більшу частину в колекціях починають займати "сконструйовані" віруси, а до лав їх авторів починають вливатися відверто ледачі люди, які зводять творчу і шановану професію вірусопісанія до вельми пересічному ремеслу.
4.5. За межі DOS
Рік 1992-й приніс більше, ніж поліморфік-віруси і вірус-конструктори. В кінці цього року з'явився перший вірус для Windows, який відкрив, таким чином, нову сторінку в історії вірусопісанія. Невеликого розміру (менше 1K), абсолютно нешкідливий і нерезидентний вірус цілком грамотно заражав виконувані файли нового формату Windows (NewEXE) і своєю появою пробив для вірусів вікно у світ Windows.
Через деякий час з'явилися віруси для OS / 2, а в січні 1996 - і перший вірус для Windows95. На сьогоднішній день не проходить і тижня без появи нових вірусів, що заражають не-DOS системи, і, мабуть, проблема не-DOS вірусів незабаром вийде на перший план, перекривши проблему DOS-вірусів. Швидше за все, це відбудеться еквівалентно поступового вмирання DOS та поширенню нових операційних систем та програм для них. Коль скоро всі існуючі DOS-додатки будуть заміщені їх аналогами для Windows, Win95 і OS / 2, проблема DOS-вірусів зійде нанівець і залишить після себе лише теоретичний інтерес для комп'ютерного соціуму.
У тому ж 1993 році з'явилася і перша спроба написати вірус, що працює в захищеному режимі процесора Intel386. Це був завантажувальний вірус "PMBS", названий так по рядку тексту всередині його коду. При завантаженні з зараженого диска вірус переходив у захищений режим, встановлював себе як супервізор системи і потім завантажував DOS в режимі віртуального вікна V86. На щастя, вірус цей виявився "не мешканцем" - його друге покоління геть відмовлялося розмножуватися через декількох помилок в коді вірусу. До того ж він "завішував" систему, якщо яка-небудь з програм намагалася вийти за межі V86, наприклад, визначити наявність розширеної пам'яті.
Ця невдала спроба написати вірус-супервізор так і залишалася єдиною відомою аж до весни 1997 року, коли один московський умілець випустив вірус "PM.Wanderer" - цілком "вдалу" реалізацію вірусу, що працює в захищеному режимі.
Поки незрозуміло, чи стануть надалі віруси-супервізори справжньою проблемою для користувачів і розробників антивірусних програм. Швидше за все ні, тому що такі віруси повинні "засипати" на час роботи нових операційних систем (Windows, Win95/NT, OS / 2), що дозволяє їх (віруси) легко виявити і видалити. Однак повноцінний вірус-супервізор, що використовує технологію "стелс" може принести чимало неприємностей користувачам "чистої" DOS, адже виявити такий стелс-вірус під DOS не представляється можливим.
4.6. Епідемія макро-вірусу
Рік 1995-й, серпень. Все прогресивне людство, компанія Microsoft і Білл Гейтс особисто святкують вихід нової операційної системи Windows95. На тлі гучного урочистості практично непоміченим пройшло повідомлення про появу вірусу, що використовує принципово нові методи зараження, вірусу, що заражає документи Microsoft Word.
Чесно кажучи, це був не перший вірус, що заражає документи Word. До цього моменту антивірусні фірми вже мали на руках перший дослідний зразок вірусу, який переписував себе з документа в документ. Однак ніхто не звернув серйозної уваги на цей не зовсім вдалий експеримент. У результаті практично всі антивірусні фірми виявилися не готовими до подальшого розвитку подій - епідемії макро-вірусу - і почали спішно робити напів-заходи. Наприклад, кілька фірм практично одночасно випустили в світло документи-антивіруси, діяли приблизно за тими ж принципами, що й вірус, однак знищували його замість розмноження.
До речі, спішно довелося ред антивірусну літературу - адже вона раніше на питання "Чи можна заразити комп'ютер при читанні файлу?" Відповідала "Однозначно - ні!" І приводила довгі докази цього.
А вірус, що отримав до того часу ім'я "Concept", продовжував переможний рух по планеті. З'явившись швидше за все в якомусь з підрозділів фірми Microsoft, "Concept" в одну мить заволодів тисячами (якщо не мільйонами) комп'ютерів. Це не дивно, адже передача текстів у форматі MS Word стала де-факто одним із стандартів, а для того, щоб заразитися вірусом, потрібно всього-лише відкрити заражений документ, і всі інші документи, що редагуються в зараженому Word'e також виявляються зараженими. У результаті, отримавши по Internet заражений файл і прочитавши його, користувач, не знаючи того сам, опинявся "рознощиком зарази", і вся його листування (якщо, звичайно ж, вона велася за допомогою MS Word) також виявлялася зараженої! Таким чином, можливість зараження MS Word, помножена на швидкість Internet, стала однією з найсерйозніших проблем за всю історію існування вірусів.
Не минуло й року, як влітку 1996-го року з'явився вірус "Laroux" ("Лару"), що заражає таблиці MS Excel. Як і у випадку з вірусом "Concept", новий макро-вірус був виявлений "в природі" практично одночасно в різних фірмах. До речі, в 1997 році цей вірус став причиною епідемії в Москві.
У тому ж 1996 році з'явилися перші конструктори макро-вірусів, а на початку 1997 року з'явилися перші поліморфік-макро-віруси для MS-Word і перші віруси для MS Office97. Плюс до того безперервно зростала кількість різноманітних макро-вірусів, що досягло декількох сотень до літа 1997-го.
Відкривши нову сторінку в серпні 1995-го, спираючись на весь досвід, накопичений вирусописательстве за майже десятиліття безперервної роботи і вдосконалення, макро-віруси, мабуть, є найбільшою проблемою сучасної вірусології.
4.7. Хронологія подій
Пора перейти до більш детального опису подій. Почнемо з самого початку.
кінець 1960 - початок 1970-х
На мейнфреймах цього часу періодично з'являлися програми, які отримали назву "кролик" (the rabbit). Ці програми клонували себе, займали системні ресурси і таким чином знижували продуктивність системи. Швидше за все "кролики" не передавалися від системи до системи і були суто місцевими явищами - помилками або пустощами системних програмістів, що обслуговували комп'ютер. Перший же інцидент, який сміливо можна назвати епідемією "комп'ютерного вірусу", стався на системі Univax 1108. Вірус, що отримав назву "Pervading Animal", дописував себе до виконуваних файлів - робив практично те ж саме, що тисячі сучасних комп'ютерних вірусів.
перша половина 1970-х
Під операційну систему Tenex створений вірус "The Creeper", котрий використовував для свого поширення глобальні комп'ютерні мережі. Вірус був в змозі самостійно увійти в мережу через модем і передати свою копію віддаленій системі. Для боротьби з цим вірусом була створена програма "The Reeper" - перша відома антивірусна програма.
Початок 1980-х
Комп'ютери стають все більш і більш популярними. З'являється все більше і більше програм, авторами яких є не софтверні фірми, а приватні особи, причому ці програми мають можливість вільного ходіння по різних серверів загального доступу - BBS. Результатом цього є поява великої кількості різноманітних "троянських коней" - програм, які при їх запуску наносять системі яку-небудь шкоду.
1981
Епідемія завантажувального вірусу "Elk Cloner" на комп'ютерах Apple II. Вірус записувався в завантажувальні сектори дискет, до яких йшло звернення. Виявляв він себе досить багатосторонньо - перевертав екран, примушував мигати текст на екрані і виводив різноманітні повідомлення.
1986
Пандемія перший IBM-PC вірусу "Brain". Вірус, що заражає 360Kб дискети, практично миттєво розійшовся по всьому світу. Причиною такого "успіху" була швидше за все неготовність комп'ютерного суспільства до зустрічі з таким явищем, як комп'ютерний вірус.
Вірус був написаний в Пакистані братами Basit і Amjad Farooq Alvi, залишили у вірусі текстове повідомлення, що містить їх імена, адресу та номер телефону. Як стверджували автори вірусу, вони були власниками компанії з продажу програмних продуктів і вирішили з'ясувати рівень піратського копіювання в їхній країні. На жаль, їхній експеримент вийшов за межі Пакистану.
Цікаво, що вірус "Brain" був також і першим стелс-вірусом - при спробі читання зараженого сектора він "підставляв" його незаражений оригінал.
У тому ж 1986 році програміст на ім'я Ральф Бюргер (Ralf Burger) виявив, що програма може робити власні копії шляхом додавання свого коду до виконуваних DOS-файлів. Його перший вірус, названий "VirDem", демонстрував цю можливість. Цей вірус був проанонсований у грудні 1986 на форумі комп'ютерного "андеграунду" - хакерів, які спеціалізувалися в той час на зломі VAX / VMS-систем (Chaos Computer Club in Hamburg).
1987
Поява вірусу "Vienna". Копія цього вірусу потрапляє в руки все того ж Ральфа Бюргера, який дізассемблірует вірус і поміщає результат в свою книгу "Computer Viruses: A High Tech Desease" (російський аналог - "Пишемо вірус і антивірус" м. Хижняка). Книга Бюргера популяризувала ідею написання вірусів, пояснювала як це відбувається і служила таким чином поштовхом до написання сотень або навіть тисяч комп'ютерних вірусів, частково використовували ідеї з цієї книги.
У тому ж році незалежно один від одного з'являється ще кілька вірусів для IBM-PC. Це знамениті у минулому "Lehigh", що заражає тільки COMMAND.COM, "Suriv-1" (інша назва - "April1st"), що заражає COM-файли, "Suriv-2", що заражає (вперше) EXE-файли, і "Suriv -3 ", що заражає як COM-, так і EXE-файли. З'являються також кілька завантажувальних вірусів ("Yale" в США, "Stoned" в Новій Зеландії і "PingPong" в Італії) і перший самошіфрующійся файловий вірус "Cascade".
Не залишилися осторонь і не-IBM-комп'ютери: було виявлено кілька вірусів для Apple Macintosh, Commodore Amiga і Atari ST.
У грудні 1987 відбулася перша відома повальна епідемія мережного вірусу "Cristmas Tree", написаного на мові REXX і поширював себе в операційному середовищі VM / CMS. 9-го грудня вірус був запущений в мережу Bitnet в одному з університетів Західної Німеччини, проник через шлюз в European Academic Research Network (EARN) і потім - в мережу IBM VNet. Через чотири дні (13 грудня) вірус паралізував мережа - вона була забита його копіями (див. приклад про клерка кількома сторінками вище). При запуску вірус виводив на екран зображення новорічної (вірніше, різдвяної) ялинки і розсилав свої копії всім користувачам мережі, чиї адреси присутні у відповідних системних файлах NAMES і NETLOG.
1988
У п'ятницю 13-го травня 1988-го року відразу кілька фірм та університетів декількох країн світу "познайомилися" з вірусом "Jerusalem" - цього дня вірус знищував файли при їх запуску. Це, мабуть, один з перших MS-DOS-вірусів, що став причиною справжньої пандемії - повідомлення про заражених комп'ютерах надходили з Європи, Америки та Близького Сходу. Назва, до речі, вірус отримав за місцем одного з інцидентів - університету в Єрусалимі.
Разом з кількома іншими вірусами ("Cascade", "Stoned", "Vienna"), вірус "Jerusalem" розповсюдився по тисячах комп'ютерів, залишаючись непоміченим - антивірусні програми ще не були поширені в той час так само широко як сьогодні, а багато користувачів і навіть професіонали ще не вірили в існування комп'ютерних вірусів. Показовим є факт, що в тому ж році комп'ютерний гуру і людина-легенда Пітер Нортон висловився проти існування вірусів. Він оголосив їх неіснуючим міфом і порівняв з казками про крокодилів, які живуть у каналізації Нью-Йорка. Цей казус, однак, не завадив фірмі Symantec через деякий час почати власний антивірусний проект - Norton Anti-Virus.
Почали з'являтися свідомо помилкові повідомлення про комп'ютерні віруси, ніякої реальної інформації не містять, але вносили паніку в стрункі ряди комп'ютерних користувачів. Одна з перших таких "злих жартів" (сучасний термін - "virus hoax") належить нікому Mike RoChenle (псевдонім схожий на "Microchannel"), який розіслав на станції BBS велику кількість повідомлень про нібито існуючий вірус, який передається від модему до модему і використовує для цього швидкість 2400 бод. Як це не смішно, багато пользоватеілі відмовилися від стандарту тих днів 2400 і знизили швидкість своїх модемів до 1200 бод. Подібні "hoax"-и з'являються і зараз. Найбільш відомі на сьогоднішній день - GoodTimes і Aol4Free.
Листопад 1988: повальна епідемія мережного вірусу Морріса (інша назва - Internet Worm). Вірус уразив більше 6000 комп'ютерних систем в США (включаючи NASA Research Institute) і практично паралізував їх роботу. Через помилки в коді вірусу він, як і вірус-черв'як "Cristmas Tree", необмежено розсилав свої копії по інших компьютьерам мережі і, таким чином, повністю забрав під себе її ресурси. Загальні збитки від вірусу Морріса були оцінені в 96 мільйонів доларів.
Вірус використовував для свого розмноження помилки в операційній системі Unix для VAX і Sun Microsystems. Крім помилок в Unix вірус використовував кілька інших оригінальних ідей, наприклад, підбір паролів користувачів. Детальніше про цей вірус і пов'язаним з ним інцидентом можна прочитати досить докладне й цікавої статті Ігоря Моісеєва в журналі КомпьютерПресс, 1991, N8, 9.
Грудень 1988: сезон вірусів-хробаків продовжується, на цей раз в мережі DECNet. Вірус-черв'як HI.COM виводив на екран зображення ялиночки і сповіщав користувачів, що їм слід "stop computing and have a good time at home!"
З'являються нові антивірусні програми, наприклад, Dr.Solomon 's Anti-Virus Toolkit, який є на сьогоднішній день одним із самих потужних антивірусів.
1989
З'являються нові віруси - "Datacrime", "FuManchu" і цілі сімейства - "Vacsina" і "Yankee". Перший мав вкрай небезпечне прояв - з 13 жовтня по 31 грудня він форматували вінчестер. Цей вірус вирвався "на свободу" і викликав повальну істерію в засобах масової інформації в Голландії і Великобританії.
Вересень 1989: на ринок виходить ще одна антивірусна програма - IBM Anti-Virus.
Жовтень 1989: у мережі DECNet зафіксована ще одна епідемія вірусу-хробака - "WANK Worm".
Грудень 1989: інцидент з "троянським конем" "Aids". Було розіслано 20.000 його копій на дискетах, позначених як "AIDS Information Diskette Version 2.0". Після 90 завантажень системи "троянець" шифрував імена всіх файлів на диску, робив їх невидимими (атрибут "hidden") і залишав на диску тільки один читається файл - рахунок на 189 доларів, який слід було надіслати на адресу PO Box 7, Panama. Автор "троянця" був спійманий і засуджений до тюремного ув'язнення.
Слід відзначити той факт, що 1989 був початком повальної епідемії комп'ютерних вірусів в Росії - всі ті ж віруси "Cascade", "Jerusalem" і "Vienna" заполонили комп'ютери російських користувачів. На щастя, російські програмісти досить швидко розібралися з принципами їх роботи і практично відразу з'явилося кілька вітчизняних протиотрут-антивірусів.
Моє перше знайомство з вірусом (це був вірус "Cascade") відбулося у жовтні 1989 року - вірус виявився виявленим на моєму робочому комп'ютері. Саме це і послужило поштовхом для моєї професійної переорієнтації на створення програм-антивірусів. До речі, той перший вірус я вилікував популярної в ті часи антивірусною програмою ANTI-KOT Олега Котика. Місяцем пізніше другий інцидент (вірус "Vacsina") був закритий за допомогою першої версії мого антивіруса-V (який кількома роками пізніше був перейменований в AVP - AntiViral Toolkit Pro). До кінця 1989 року на теренах Росії паслося вже близько десятка вірусів (перелічені в порядку їх появи): дві версії "Cascade", кілька вірусів "Vacsina" і "Yankee", "Jerusalem", "Vienna", "Eddie", "PingPong ".
1990
Цей рік приніс кілька досить помітних подій. Першим з них є поява перших поліморфік-вірусів "Chameleon" (інша назва - "V2P1", "V2P2" і "V2P6"). До цього моменту антивірусні програми для пошуку вірусів користувалися так званими "масками" - шматками вірусного коду. Після появи вірусів "Chameleon" розробники антивірусних програм були змушені шукати інші методи їх виявлення.
Другою подією було поява болгарського "заводу з виробництва вірусів": величезна кількість нових вірусів мали болгарське походження. Це були цілі сімейства вірусів "Murphy", "Nomenclatura", "Beast" (або "512", "Number-of-Beast"), нові модифікації вірусу "Eddie" та ін Особливу активність виявляв хтось Dark Avenger, що випускав на рік по кілька нових вірусів, які використовували принципово нові алгоритми зараження і приховання себе в системі. У Болгарії ж вперше з'явлюся і перша BBS, орієнтована на обмін вірусами та інформацією для вірусописьменників.
У липні 1990 відбувся інцидент з комп'ютерним журналом PC Today (Великобретании). Він містив флоппі-диск, заражений вірусом "DiskKiller". Було продано більше 50.000 копій журналу.
У другій половині 1990-го з'явилися два стелс-монстра - "Frodo" і "Whale". Обидва віруси використовували вкрай складні стелс-алгоритми, а девятікілобайтний "Whale" до того ж застосовував кілька рівнів шифрування та анти-налагоджувальних прийомів.
З'явилися і перші відомі мені вітчизняні віруси: "Peterburg", "Voronezh" і ростовський "LoveChild".
1991
Популяція комп'ютерних вірусів безперервно зростає, досягаючи вже декількох сотень. Зростає і антивірусна активність: відразу два софтверних монстра (Symantec і Central Point) випускають власні антивірусні програми - Norton Anti-Virus і Central Point Anti-Virus. Слідом з'являються менш відомі антивіруси від Xtree і Fifth Generation.
У квітні вибухнула справжня епідемія файлово-завантажувального поліморфік-вірусу "Tequila", а у вересні подібна ж "історія" сталася з вірусом "Amoeba". Росію ці події практично не торкнулися.
Літо 1991: епідемія вірусу "Dir_II", який використав принципово нові способи зараження файлів (link-вірус).
У цілому, рік 1991 був досить спокійним - отаке затишшя перед бурею, що вибухнула в 1992-му.
1992
Віруси для не-IBM-PC і не-MS-DOS практично забуті: "дірки" в глобальних мережах закриття, помилки виправлені, і мережні віруси-черв'яки втратили можливість для розповсюдження. Все більшу і більшу значимість починають набувати файлові, завантажувальні і файлово-завантажувальні віруси для найбільш поширеної операційної системи (MS-DOS) на найпопулярнішому комп'ютері (IBM-PC). Кількість вірусів зростає в геометричній прогресії, різні інциденти з вірусами відбуваються мало не щодня. Розвиваються різні антивірусні програми, виходять десятки кніх і кілька регулярних журналів, присвячених вірусам. На цьому фоні виділяються кілька основних моментів:
Початок 1992: перший поліморфік-генератор MtE, на базі якого через деякий час з'являється відразу декілька поліморфік-вірусів. MtE з'явився також прообразом кількох наступних поліморфік-генераторів.
Березень 1992: епідемія вірусу "Michelangelo" ("March6") і пов'язана з цим істерія. Напевно, це перший відомий випадок, коли антивірусні компанії роздмухували галас навколо вірусу не для того, щоб захистити користувачів від будь-якої небезпеки, а для того, щоб привернути увагу до свого продукту, тобто з метою отримання комерційної вигоди. Так одна американська антивірусна компанія заявила, що 6-го березня буде зруйнована інформація більш ніж на п'ять мільйонів комп'ютерів. У результаті піднялася після цього галасу прибутку різних антивірусних фірм піднялися в кілька разів, а від вірусу в дейтсвітельності постраждали всього близько 10.000 машин.
Липень 1992: поява перших конструкторів вірусів VCL і PS-MPC, які збільшили і без того немаленький потік нових вірусів і, як і MtE у своїй області, підштовхнули вірусописьменників до створення інших, більш потужних конструкторів.
Кінець 1992: перший вірус для Windows, що заражає виконувані файли цієї операційної системи, відкрив нову сторінку в вирусописательстве.
1993
Вірусописьменники серйозно взялися за роботу: крім сотень рядових вірусів, принципово не відрізняються від своїх побратимів, крім цілого ряду нових поліморфік-генераторів і конструкторів, окрім нових електронних видань вірусописьменників з'являється все більше і більше вірусів, що використовують вкрай незвичайні способи зараження файлів, проникнення в систему і т.д. Основними прикладами є:
"PMBS", що працює в захищеному режимі процесора Intel 80386.
"Strange" (або "Hmm") - сольний виступ на тему "стелс-вірус", проте виконане на рівні апаратних переривань INT 0Dh і INT 76h.
"Shadowgard" і "Carbuncle", значно розширили діапазон алгоритмів компаньйон-вірусів;
"Emmie", "Metallica", "Bomber", "Uruguay" і "Cruncher" - використання принципово нових прийомів "спрятиванія" свого коду в заражених файлах.
Навесні 1993 Microsoft випустив свій власний антивірус MSAV, основою якого послужив CPAV від Central Point.
1994
Все більше значення набуває проблема вірусів на компакт-дисках. Швидко ставши популярними, ці диски виявилися одним з основних шляхів поширення вірусів. Зафіксовано відразу декілька інцидентів, коли вірус потрапляв на майстер-диск при підготовці партії компакт-дисків. У результаті на комп'ютерний ринок були випущені досить великі тиражі (десятки тисяч) заражених дисків. Природно, що про їх лікуванні говорити не доводиться - їх доведеться просто знищити.
На початку року у Великобританії з'явилися два вкрай складних поліморфік-вірусу - "SMEG.Pathogen" і "SMEG.Queeg" (до цих пір не всі антивірусні програми в змозі досягти 100%-го результату при їх детектуванні). Автор вірусів поміщав заражені файли на станції BBS, що стало причиною справжньої епідемії і паніки в засобах масової інформації.
Ще одну хвилю паніки викликало повідомлення про нібито існуючий вірус "GoodTimes", розповсюдила цю себе по мережі Інтернет і заражає комп'ютер при отриманні електронної пошти. Накакого такого вірусу насправді не існувало, проте через деякий час з'явився звичайний DOS-вірус з текстом "Good Times", вірус цей отримав назву "GT-Spoof".
Активізуються правоохоронні органи: влітку 1994 автор SMEG був "обчислений" і заарештований. Приблизно в той же самий час в тій же Великобританії арештована ціла група вірусописьменників, що називала себе ARCV (Assotiation for Really Cruel Viruses). Деякий час по тому ще один автор вірусів був арештований в Норвегії.
З'являються кілька нових досить незвичайних вірусів:
Січень 1994: "Shifter" - перший вірус, що заражає об'єктні модулі (OBJ-файли). "Phantom1" - епідемія перший поліморфік-вірусу в Москві.
Квітень 1994: "SrcVir" - сімейство вірусів, що заражають вихідні тексти програм (C і Pascal).
Червень 1994: "OneHalf" - початок повальної епідемії вірусу, до цих пір є найпопулярнішим вірусом в Росії.
Вересень 1994: "3APA3A" - епідемія файлово-завантажувального вірусу, який використовує вкрай незвичайний спосіб впровадження в MS-DOS. Жоден антивірус не виявився готовим до зустрічі з подібного типу монстром.
У 1994 році (весна) перестав існувати один з антивірусних лідерів того часу - Central Point. Він був придбаний фірмою Сімантек, яка до того вже встигла "проковтнути" кілька невеликих фірм, що займалися антивірусними розробками - Peter Norton Computing, Certus International і Fifth Generation Systems.
1995
Нічого дійсно помітного в області DOS-вірусами не сталося, хоча з'являється кілька досить складних вірусів-монстрів типу "NightFall", "Nostradamus", "Nutcracker" і таких кумедних вірусів, як "двостатевий" вірус "RMNS" і BAT-вірус "Winstart ". Широке поширення отримали віруси "ByWay" і "DieHard2" - повідомлення про заражених комп'ютерах були отримані практично зі всього світу.
Лютий 1995: стався інцидент з Microsoft: на диску, що містить демонстраційну версію Windows95, виявлений вірус "Form". Копії цього диску Microsoft розіслав бета-тестерів, один з яких не полінувався перевірити диск на віруси.
Весна 1995: анонсований альянс двох антивірусних компаній - ESaSS (ThunderBYTE anti-virus) і Norman Data Defence (Norman Virus Control). Ці компанії, що випускають досить сильні антивіруси, об'єднали зусилля і приступили до розробки єдиної антивірусної системи.
Серпень 1995: один з поворотних моментів в історії вірусів і антивірусів: у "живому вигляді" виявлений перший вірус для Microsoft Word ("Concept"). Буквально за місяць вірус "облетів" всю земну кулю, заполонив комп'ютери користувачів MS-Word і міцно зайняв перше місце в статистичних дослідженнях, що проводяться різними комп'ютерними виданнями.
1996
Січень 1996: два досить помітних події - з'явився перший вірус для Windows95 ("Win95.Boza") і епідемія вкрай складного поліморфік-вірусу "Zhengxi" в Санкт-Петербурзі.
Березень 1996: перша епідемія вірусу для Windows 3.x. Його ім'я - "Win.Tentacle". Цей вірус заразив комп'ютерну мережу в госпіталі та кількох інших установах у Франції. Цікавість цього події полягала в тому, що це був ПЕРШИЙ Windows-вірус, що вирвався на волю. До того часу (наскільки мені відомо) всі Windows-віруси жили лише в колекціях та електронних журналах вірусописьменників, а в "живому вигляді" зустрічалися тільки завантажувальні, DOS-і Macro-віруси.
Червень 1996: "OS2.AEP" - перший вірус для OS / 2, коректно заражає EXE-файли цієї операційної системи. До цього в OS / 2 зустрічалися лише віруси, які записувалися замість файлу, знищуючи його або діючи методом "компаньйон".
Липень 1996: "Laroux" - перший вірус для Microsoft Excel, до того ж спійманий в "живому вигляді" (практично одночасно в двох нафтовидобувних компаніях на Алясці і в ЮАР). Як і в MS-Word-вірусів, принцип дії "Laroux" грунтується на наявності у файлах так званих макросів - програм на мові Basic. Такі програми можуть бути включені в електронні таблиці Excel так само, як і в документи MS-Word. Як виявилося, вбудований в Excel мова Basic також дозволяє створювати віруси. Цей же вірус в квітні 1997 став причиною епідемії в комп'ютерних фірмах Москви.
Грудень 1996: "Win95.Punch" - перший "резидентний" вірус для Win95. Завантажується в систему як VxD-драйвер, перехоплює звертання до файлів і заражає їх.
У цілому рік 1996 можна вважати початком широкомасштабного наступу комп'ютерного андеграунду на операційну систему Windows32 (Windows95 і Windows NT) і на додатки Microsoft Office. За цей і наступний рік з'явилося кілька десятків вірусів для Windows95/NT і кілька сотень макро-вірусів. У багатьох з них вирусописатели застосовували зовсім нові прийоми і методи зараження, додавали стелс-і поліморфік-механізми і т.п. Таким чином комп'ютерні віруси вийшли на новий виток свого розвитку - на рівень 32-бітових операційних систем. За два роки віруси для Windows32 повторили приблизно все ті ж стадії, що рівно 10 років до того пройшли DOS-віруси, проте на зовсім новому технологічному рівні.
1997
Лютий 1997: "Linux.Bliss" - перший вірус для Linux (різновид юнікс). Так віруси зайняли ще одну "біологічну" нішу.
Лютий-квітень 1997: Макро-віруси перебралися і в Office97. Перші з них виявилися всього лише "відконвертований" в новий формат макро-вірусами для Word 6 / 7, однак практично відразу з'явилися віруси, орієнтовані тільки на документи Office97.
Березень 1997: "ShareFun" - макро-вірус, що вражає MS Word 6 / 7. Для свого розмноження використовує не тільки стандартні можливості MS Word, але також розсилає свої копії по електронній пошті MS-Mail.
Квітень 1997: "Homer" - перший мережевий вірус-хробак, який використовує для свого розмноження File Transfer Protocol (ftp).
Червень 1997: Поява першого самошіфрующегося вірусу для Windows95. Вірус, що має російське походження, був розісланий на кілька BBS в Москві, що стало причиною епідемії.
Листопад 1997: Вірус "Esperanto". Спроба створення (на щастя, невдала) багатоплатформного вірусу, який працює не тільки під DOS і Windows, але в стані заражати і файли Mac OS (Макінтош).
Грудень 1997: з'явилася нова форма вірусу - черв'яки mIRC. Виявилося, що найбільш популярна утиліта Windows IRC (Internet Relay Chat), відома як mIRC, містила "дірку", що дозволяє вірусним скриптам передавати себе по IRC-каналах. В черговий версії IRC дірка була закрита, і mIRC-черв'яки канули в лету.
Основним антивірусним подією 1997 року стало, звичайно ж, відділення антивірусного підрозділу фірми КАМІ в незалежну компанію "Лабораторія Касперського", що зарекомендувала себе на сьогоднішній день як визнаний технічний лідер антивірусної індустрії. Починаючи з 1994 року основний продукт компанії - антивірусний сканер AntiViral Toolkit Pro (AVP) - стабільно показує високі результати в численних тестах, проведених різними тестовими лабораторіями всього світу. Відділення в незалежну компанію дозволило з початку невеликій групі розробників стати першою за значущістю антивірусної компанією на вітчизняному ринку і досить помітною фігурою на ринку світовому. За короткі терміни були розроблені і випущені версії для практично всіх популярних платформ, запропоновані нові антивірусні рішення, створена мережа міжнародної дистрибуції і технічної поддрежки.
У жовтні 1997 року було підписано угоду про ліцензування технологій AVP фінською компанією DataFellows для використання у своїй новій розробці FSAV (F-Secure Anti-Virus). До цього компанія DataFellows була відома як виробник антивіруса F-PROT.
Рік 1997 також помітний з кількох скандалів, що вибухнула між основними виробниками антивірусів в США і Європі. На початку року фірма McAfee оголосила про те, що її фахівці виявили "закладку" в програмах одного зі своїх основних конкурентів - в антивірусі фірми Dr.Solomon. Заява від McAfee наголошувала, що якщо антивірус Dr.Solomon при скануванні виявляє кілька вірусів різних типів, то подальша його робота відбувається у посиленому режиму. Тобто якщо в звичайних умовах на незаражених комп'ютерах антивірус від Dr.Solomon працює в звичайному режимі, то при тестуванні колекцій вірусів перемикається в посилений режим (за термінологією McAfee "cheat mode" - "режим обману"), що дозволяє детектувати віруси, невидимі для Dr . Solomon при скануванні в звичайному режимі. У результаті при тестуванні на незаражених дисках антивірус від Dr.Solomon показує хороші швидкісні результати, а при тестуванні вірусних колекцій показує непогані результати детектування.
Через деякий час Dr.Solomon завдав у відповідь удар, що припав на некоректно побудовану рекламну кампанію McAfee. Конкретно претензії пред'являлися тексту "The Number One Choice Worldwide. No Wonder The Doctor's Left Town ". Одночасно з цим компанія McAfee вела юридичні тяжби з іншого антивірусної компанією Trend Micro з приводу порушення патенту на технологію сканування даних, переданих по Інтернет і електронною поштою. У цей же конфлікт c Trend Micro виявилася втягнута фірма Symantec. Потім Symantec пред'явив позов McAfee за звинуваченням у використанні кодів Symantec в продуктах McAfee. Ну і т.д.
Закінчився рік ще одним помітним подією, пов'язаних з ім'ям McAfee: фірми McAfee Associates і Network General оголосили про об'єднання в єдину компанію Network Assotiates і про позиціонування зусиль не тільки в області антивірусних захистів, але і в розробці універсальних систем комп'ютерної безпеки, шифрування і мережевого адміністрування . Починаючи з цього моменту вірусної та антивірусної історії McAfee слід читати як NAI.
1998
Вірусна атака на MS Windows, MS Office і мережеві додатки не слабшає. З'являються віруси, що використовують усе більш складні прийоми зараження комп'ютерів і нові методи проникнення через комп'ютерні мережі. Крім вірусів на арену виходять також численні троянські програми, що крадуть паролі доступу в Інтернет, і кілька утиліт прихованого адміністрування. Зафіксовані інциденти із зараженими CD-дисками: кілька комп'ютерних журналів поширювали на своїй обкладинці диски з програмами, зараженими Windows-вірусами "CIH" і "Marburg".
Початок року: Епідемія цілого сімейства вірусів "Win32.HLLP.DeTroie", не тільки заражають виконувані файли Windows32, а й здатні передати своєму "господарю" інформацію про зараженому комп'ютері. Унаслідок використання специфічних бібліотек, присутніх тільки у французькій версії Windows, епідемія торкнулася тільки франко-говорять країни.
Лютий 1998: виявлено ще один тип вірусу, що заражає таблиці Excel - "Excel4.Paix" (або "Formula.Paix"). Даний тип макро-вірусу для свого впровадження в таблиці Excel використовує не звичайну для вірусів область макросів, а формули, які, як виявилося, також можуть містити саморозмножуються код.
Лютий-березень 1998: "Win95.HPS" і "Win95.Marburg" - перші поліморфні Windows32-віруси, виявлені до того ж "в живому вигляді". Розробникам антивірусних програм довелося спішно адаптувати до нових умов методики детектування поліморфних вірусів, розрахованих до того тільки на DOS-віруси.
Березень 1998: "AccessiV" - перший вірус для Microsoft Access. Причиною галасу, як це було з вірусами "Word.Concept" і "Excel.Laroux", він не став, оскільки всі вже звикли до того, що додатки MS Office падають одне за іншим.
Березень 1998: Макро-вірус "Cross" - перший вірус, що заражає два різних програми MS Office: Access і Word. Слідом за ним з'явилися ще кілька макро-вірусів, що переносять свій код з одного Office-прокладання в інше.
Травень 1998: вірус "RedTeam". Заражає EXE-файли Windows, розсилає заражені файли за допомогою електронної пошти Eudora.
Червень: епідемія вірусу "Win95.CIH", що стала спочатку масової, потім глобальної, а потім повальної - повідомлення про зараження комп'ютерних мереж і домашніх персональних комп'ютерів обчислювалися сотнями, якщо не тисячами. Початок епідемії зареєстровано на Тайвані, де невідомий хакер заслав заражені файли на місцеві Інтернет-конференції. Звідти вірус пробрався в США, де через недогляд зараженими виявилися відразу кілька популярних Web-серверів - вони поширювали заражені вірусом ігрові програми. Швидше за все, саме ці заражені файли на ігрових серверах і послужили причиною поголовної епідемії вірусу, не слабшав протягом усього року. За результатами рейтингів "популярності" вірус "посунув" таких вірусних суперзірок, як "Word.CAP" і "Excel.Laroux". Слід звернути увагу також на небезпечне прояв вірусу: в залежності від поточної дати вірус стирав Flash BIOS, що в деяких випадках могло призвести до необхідності заміни материнської плати.
Серпень 1998: поява гучного "BackOrifice" ("Backdoor.BO") - утиліти прихованого (хакерського) адміністрування віддалених комп'ютерів і мереж. Слідом за "BackOrifice" з'явилися декілька інших аналогічних програм: "NetBus", "Phase" та інші.
Також у серпні з'явився перший вірус, що заражає виконувані модулі Java - "Java.StangeBrew". Даний вірус не представляв якусь небезпеку для користувачів Інтернет, оскільки на віддаленому компьтере неможливо використовувати необхідні для розмноження функції. Однак він проілюстрував той факт, що атаковані вірусами також можуть бути і додатки, активно використовуються при перегляді Web-серверів.
Листопад 1998: "VBScript.Rabbit" - інтернет-експансія комп'ютерних паразитів продовжилася трьома вірусами, які заражують скрипти VisualBasic (VBS-файли), які активно застосовуються при написанні Web-сторінок. Як логічний наслідок VBScript-вірусів стала поява повноцінного HTML-вірусу ("HTML.Internal"). Стає досить очевидним, що зусилля вірусописьменників починають концентруватися навколо мережевих додатків, і справа йде до появи повноцінного мережного вірусу-хробака, що використовує можливості MS Windows, Office і заражає віддалені комп'ютери, Web-сервера і / або активно распростряняющегося по електронній пошті.
Відбулися також помітні перестановки в антивірусному світі. У травні 1998 компанії Symantec і IBM оголосили про об'єднання своїх зусиль на антивірусному фронті: спільний продукт при цьому поширюється фірмою Symantec під тією ж маркою Norton Anti-Virus, а IBM Anti-Virus (IBMAV) припиняє своє існування. На це моментально відреагували основні конкуренти: Dr.Solomon і NAI (раніше - McAfee) одразу ж випустили прес-релізи з пропозиціями про пільгове опдейте колишніх користувачів IBMAV своїми власними антивірусами.
Не минуло й місяця, як припинив своє існування і сам Dr.Solomon. Він був куплений компанією NAI (McAfee) за 640 мільйонів доларів шляхом обміну акцій. Дана подія викликала шок в антивірусному світі: конфлікт між двома найбільшими гравцями антивірусного бізнесу закінчився купівлею / продажем, в результаті якої з ринку зник один з найбільш помітних і технологічно сильних виробників антивірусного програмного обеспееченія.
1999
Все на світі має проісходть повільно і
неправильно, щоб не зумів загордився людина,
щоб людина була сумний і розгублений.
(Венедикт Єрофєєв. "Москва - Петушки")
5. Класифікація комп'ютерних вірусів
Віруси можна розділити на класи за такими основними ознаками:
середовище існування;
операційна система (OC);
особливості алгоритму роботи;
деструктивні можливості.
За СЕРЕДОВИЩІ ПРОЖИВАННЯ віруси можна розділити на:
файлові;
завантажувальні;
макро;
мережні.
Файлові віруси або різними способами впроваджуються у виконувані файли (найбільш поширений тип вірусів), або створюють файли-двійники (компаньйони-віруси), або використовують особливості організації файлової системи (link-віруси).
Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, що містить системний завантажувач вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор.
Макро-віруси заражають файли-документи й електронні таблиці декількох популярних редакторів.
Мережеві віруси використовують для свого поширення протоколи або команди комп'ютерних мереж і електронної пошти.
Існує велика кількість сполучень - наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і поліморфік-технології. Інший приклад такого сполучення - мережний макро-вірус, який не тільки заражає редаговані документи, але і розсилає свої копії по електронній пошті.
Заражається ОПЕРАЦІЙНА СИСТЕМА (вірніше, ОС, об'єкти якої піддані зараженню) є другим рівнем розподілу вірусів на класи. Кожен файловий чи мережний вірус заражає файли який-небудь однієї або декількох OS - DOS, Windows, Win95/NT, OS / 2 і т.д. Макро-віруси заражають файли форматів Word, Excel, Office97. Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних у завантажувальних секторах дисків.
Серед ОСОБЛИВОСТЕЙ АЛГОРИТМУ РОБОТИ вірусів виділяються наступні пункти:
резидентність;
використання стелс-алгоритмів;
самошифрування і поліморфічность;
використання нестандартних прийомів.
Резидентний вірус при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звертання операційної системи до об'єктів зараження і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання комп'ютера або перезавантаження операційної системи. Нерезидентні віруси не заражають пам'ять комп'ютера і зберігають активність обмежений час. Деякі віруси залишають в оперативній пам'яті невеликі резидентні програми, які не поширюють вірус. Такі віруси вважаються нерезидентними.
Резидентними можна вважати макро-віруси, оскільки вони постійно присутні в пам'яті комп'ютера на весь час роботи зараженого редактора. При цьому роль операційної системи бере на себе редактор, а поняття "перезавантаження операційної системи" трактується як вихід з редактора.
У багатозадачних операційних системах час "життя" резидентного DOS-вірусу також може бути обмежено моментом закриття зараженого DOS-вікна, а активність завантажувальних вірусів у деяких операційних системах обмежується моментом інсталяції дискових драйверів OC.
Використання СТЕЛС-алгоритмів дозволяє вірусам цілком або частково сховати себе в системі. Найбільш поширеним стелс-алгоритмом є перехоплення запитів OC на читання / запис заражених об'єктів. Стелс-віруси при цьому або тимчасово лікують їх, або "підставляють" замість себе незаражені ділянки інформації. У випадку макро-вірусів найбільш популярний спосіб - заборона викликів меню перегляду макросів. Один з перших файлових стелс-вірусів - вірус "Frodo", перший завантажувальний стелс-вірус - "Brain".
Самошифрування і ПОЛІМОРФІЧНОСТЬ використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру детектування вірусу. Полиморфик-віруси (polymorphic) - це досить важко помітний віруси, що не мають сигнатур, тобто не містять жодного постійної ділянки коду. У більшості випадків два зразки того самого поліморфік-вірусу не будуть мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача.
Різні НЕСТАНДАРТНІ ПРИЙОМИ часто використовуються у вірусах для того, щоб якомога глибше заховати себе в ядрі OC (як це робить вірус "3APA3A"), захистити від виявлення свою резидентну копію (віруси "TPVO", "Trout2"), утруднити лікування від вірусу (наприклад, помістивши свою копію в Flash-BIOS) і т.д.
За деструктивні можливості віруси можна розділити на:
нешкідливі, тобто ніяк не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску в результаті свого поширення);
безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й ін ефектами;
небезпечні віруси, які можуть призвести до серйозних збоїв у роботі комп'ютера;
дуже небезпечні, в алгоритм роботи яких свідомо закладені процедури, які можуть призвести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і навіть, як свідчить одна з неперевірених комп'ютерних легенд, сприяти швидкому зносу рухомих частин механізмів - вводити в резонанс і руйнувати голівки деяких типів вінчестерів.
Але навіть якщо в алгоритмі вірусу не знайдено галузей, що завдають шкоди системі, цей вірус не можна з повною впевненістю назвати нешкідливим, тому що проникнення його в комп'ютер може викликати непередбачені і часом катастрофічні наслідки. Адже вірус, як і всяка програма, має помилки, у результаті яких можуть бути зіпсовані як файли, так і сектора дисків (наприклад, цілком необразливий на перший погляд вірус "DenZuk" досить коректно працює з 360K дискетами, але може знищити інформацію на дискетах більшого обсягу). До цих пір трапляються віруси, що визначають "COM або EXE" не по внутрішньому формату файлу, а по його розширенню. Природно, що при розбіжності формату і розширення імені файл після зараження виявляється непрацездатним. Можливо також "заклинювання" резидентного вірусу і системи при використанні нових версій DOS, при роботі в Windows або з іншими потужними програмними системами. І так далі.
6. Перспективи: що буде завтра і післязавтра
А що ж буде далі? І як довго віруси будуть нас турбувати? - Питання, який в тій чи іншій мірі турбує практично всіх користувачів.
6.1. Що буде завтра?
Чого очікувати від комп'ютерного андеграунду в наступні роки? Швидше за все основні проблеми залишаться: 1) поліморфік-DOS-віруси, до яких додадуться проблеми поліморфізму в макро-віруси і віруси для Windows і OS / 2, 2) макро-віруси, які будуть знаходити все нові і нові прийоми зараження і приховання свого коду в системі; 3) мережеві віруси, що використовують для свого поширення протоколи і команди комп'ютерних мереж.
Пункт 3) поки що тільки на самій ранній стадії - віруси роблять перші боязкі спроби самостійно поширювати свій код по MS Mail і користуючись ftp, проте все ще попереду.
Не виключено, що з'являться й інші проблеми, які принесуть чимало неприємностей користувачам і неурочной роботи розробникам антивірусних програм. Однак я дивлюся на майбутнє з оптимізмом: всі проблеми, коли-небудь встававшие історії розвитку вірусів, були досить успішно вирішені. Швидше за все так само успішно будуть вирішуватися і майбутні проблеми, поки ще тільки витають ідеями в збудженому розумі вірусописьменників.
6.2. Що буде післязавтра?
Що буде післязавтра і як взагалі існуватимуть віруси? Для того, щоб відповісти на це питання слід визначити, де і за яких умов водяться віруси.
Основна живильне середовище для масового поширення вірусу в ЕОМ, на мій погляд, зобов'язана містити такі необхідні компоненти:
незахищеність операційної системи (ОС);
наявність різноманітної і досить повної документації по OC та "заліза";
широке розповсюдження цієї ОС і цього "заліза".
Слід зазначити, що поняття операційної системи досить широке. Наприклад, для макро-вірусів операційною системою є редактори Word і Excel, оскільки редактори, а не Windows надають макро-вірусів (тобто програмами на Бейсике) необхідні ресурси і функції.
Якщо в операційній системі присутні елементи захисту інформації, як це зроблено практично у всіх ОС, вірусу буде важко вразити об'єкти нападу, так як для цього буде потрібно (як мінімум) зламати систему паролів і привілеїв. У результаті робота, необхідна для написання вірусу, виявиться під силу лише професіоналам високого рівня (вірус Морріса для VAX - приклад цього). А у професіоналів, на мій погляд, рівень порядності все-таки набагато вища, ніж у середовищі споживачів їхньої продукції, і, отже, число створених і запущених у життя вірусів ще більше скоротиться.
Для масового виробництва вірусів також необхідно і достатня кількість інформації про середовище їх проживання. Який відсоток від числа системних програмістів, які працюють на міні-ЕОМ у операционках UNIX, VMS і т.д. знає систему управління процесами в оперативній пам'яті, повні формати виконуваних файлів і завантажувальних записів на диску? (Тобто інформацію, необхідну для створення вірусу). І отже, який відсоток від їх числа в стані виростити справжнього повноцінного звіра? Інший приклад - операційна система Novell NetWare, досить популярна, але вкрай слабко документована. В результаті мені поки не відомо жодного вірусу, що уразив їх файли Novell NetWare, незважаючи на численні обіцянки вірусописьменників випустити такий вірус найближчим часом.
Ну а з приводу широкого розповсюдження ОС як необхідної умови для вірусного нашестя і говорити набридло: на 1000 програмістів лише 100 здатні написати вірус, на цю сотню припадає один, який цю ідею доведе до завершення. Тепер отриману пропорцію множимо на число тисяч програмістів - і отримуємо результат: з одного боку 15.000 або навіть 20.000 повністю IBM-сумісних вірусів, з іншого - кілька сотень вірусів для Apple-Macintosh. Таке ж невідповідність пропорцій спостерігається і в порівнянні загальної кількості вірусів для Windows (кілька десятків) і для OS / 2 (кілька штук).
Наведених вище трьом умовам "розквіту" комп'ютерних вірусів задовольняють відразу кілька OS (включаючи редактори), вироблених фірмою Microsoft (DOS, Windows, Win95/NT і Word, Excel, Office97), що дає благодатний грунт для існування найрізноманітніших файлових і макро-вірусів . Задовольняють наведеним умовам ще й стандарти розбиття жорстких дисків. Результат - різноманітні варіанти завантажувальних вірусів, що вражають систему в момент її завантаження.
Для того, щоб прикинути тривалість навали комп'ютерних вірусів у будь-якої OC, треба оцінити час співіснування наведених вище необхідних умов.
Досить очевидно, що в доступному для огляду майбутньому фірми IBM і Apple не збираються поступатися масовий ринок своїм конкурентам (на радість Apple-і IBM-програмістам), навіть якщо для цього цим фірмам доведеться об'єднати зусилля. Не представляється можливим і усікання потоку інформації по найбільш поширеним системам, так як це вдарить по числу додатків для них, а отже, і за їх "продаваемости". Залишається тільки одне - захист ОС. Однак, захищеність ОС вимагає виконання деяких правил (паролів тощо), що призводить до ряду незручностей. Тому мені здається малоймовірним, що такі ОС стануть популярними в середовищі звичайних користувачів - секретарок, бухгалтерів, на домашніх комп'ютерах, і т.д., і т.п., або функції захисту будуть відключатися користувачем ще при установці ОС.
Виходячи з вищесказаного можна зробити єдиний висновок: віруси успішно проникали в повсякденну комп'ютерну життя і залишати їх у найближчому майбутньому не збираються.
Список літератури
http://www.symantec.ru/region/ru/product/navbrochure/index.htm
http://www.symantec.ru
http://www.dials.ru/
http://www.avp.ru/
http://www2.dialognauka.ru/
http://www.apl.ru/isvwsolaris.htm
Для підготовки даної роботи були використані матеріали з сайту http://referat2000.bizforum.ru/