Все программное обеспечение можно условно подразделить на полезное и вредоносное. Во втором случае речь, конечно же, идет о компьютерных вирусах, первые из которых появились еще в 70-80-х годах прошлого века. С тех пор эти программы-вредители очень сильно эволюционировали, но даже сейчас они имеют много общих черт со своими прародителями.
Как вы, возможно, догадались, эта статья посвящена истории компьютерных вирусов. Так, вы узнаете, кто придумал эти злосчастные программы и какой путь они прошли с момента своего становления по сегодняшний день.
Начать стоит с того, почему вообще вирусы были названы именно так, а не как-либо иначе. Ведь можно же было придумать название, больше связанное с компьютерной тематикой. А все дело в том, что эти программы очень схожи по способу своего распространения с биологическими вирусами. Как одни, так и другие постоянно репродуцируют себя, постепенно захватывая все новые и новые участки организма. Более того, и компьютерные, и не ограничиваются одним носителем, а постоянно заражают все большее количество жертв.
К сожалению, точно неизвестно, кто является автором этого устоявшегося термина. Правда, многие эксперты утверждают, что словосочетание "компьютерный вирус" первым употребил писатель-фантаст Грегори Бенфорд. В его произведении «Человек в шрамах», написанном в 1970 году, именно вирусом называется программа, наносящая вред компьютерам.
Если говорить о появлении различных новых технологий, то, как это часто бывает, сначала зарождается теория, и лишь потом дело доходит до практики. Вирусы не стали исключением из этого правила.
Еще в 1949 году американский математик Джон фон Нейман читал курс о сложных автоматических устройствах. Затем, уже в 1951 году, он издал научный труд, названный «Теория самовоспроизводящихся устройств», где подробно была описана возможность создания компьютерной программы, обладающей способностью к самокопированию.
Много позже, в 1972 году, Вейт Ризак развил теорию американца. Он подробно описал механизм работы полноценного приложения, по сути являвшегося вирусом, для системы Siemens 4004/35. Ну и, наконец, в 1980 году Юрген Краус, будучи выпускником Дортмундского университета, впервые сравнил такую программу с биологической инфекцией.
Конечно же, все описанное выше оказало огромное влияние на историю компьютерных вирусов. Но, как вы могли заметить, все труды ученых были посвящены исключительно безвредным программам, способным к самовоспроизведению.
Вдохновившись трудами Джона сотрудники Bell Laboratories решили испытать его теории на практике. Они создали игру для 7090. Проект получил название Darwin.
Суть этой игрушки заключалась в том, что некоторое количество ассемблерных программ (они были названы организмами) помещалось в память компьютера. При этом организмы были примерно поровну разделены между двумя игроками. Затем программы начинали процесс самокопирования, поглощая как дисковое пространство, так и вражеские организмы. Соответственно, победителем считался тот игрок, чьи «подопечные» полностью поглощали всю отведенную память, уничтожая при этом организмы оппонента.
Как видите, механизм работы Darwin весьма схож с современными вредоносными программами. Даже несмотря на то что игра фактически не влияла на какие-либо функции компьютера, именно она считается прототипом всех вирусов.
На волне успеха Darwin разработчики начали создавать все больше приложений с похожим функционалом, но отдельно среди них стоит выделить Creeper. Это экспериментальный вирус, появление которого датировано 1970 годом. Программа заражала компьютеры DEC PDP-10, находящиеся под управлением операционной системы Tenex, и выводила на их экраны сообщение: I`m the creeper! Catch me if you can («Я Creeper! Поймай меня, если сможешь!»). Несмотря на такое поведение, приложение так и не вышло за пределы тестового стенда, поэтому оно и не считается первым компьютерным вирусом.
Что более интересно, так это программа Reaper, сделанная все той же группой разработчиков. Как ни странно, это была единственная задача которой заключалась в том, чтобы найти и уничтожить Creeper. И надо сказать, что она успешно с этим справлялась. С тех пор, конечно, утекло много времени, но именно Creeper и Reaper положили начало извечной борьбе вирусов и антивирусов. Что же было дальше?
С наступлением 1980-х годов началась эра развития персональных компьютеров, а также дискет в качестве носителей информации. Это то самое время, когда появился первый компьютерный вирус. Так, 15-летний школьник Ричард Скрента разработал в 1981 году программу для Apple II, способную поражать операционную систему DOS, загружающуюся с дискеты. Вирус получил название Elk Cloner и, что очень важно, он мог копировать себя на «здоровые» носители, путешествуя таким образом с одного компьютера на другой.
В принципе, программа не сильно вредила ПК. Вирус для Apple II лишь выводил на экран компьютера сообщение. Написано оно было в стихотворной форме. Однако Elk Cloner был для пользователей неприятной неожиданностью. Ведь ни с чем подобным они до этого не сталкивались. Кроме того, программе удалось заразить немало компьютеров, что по меркам того времени вполне сошло за первую вирусную эпидемию.
Следующее важное событие случилось в 1986 году. Программисты Амджад и Базит Алви создали первый компьютерный вирус для систем IBM, который был назван Brain. По словам самих разработчиков, они хотели при помощи своего детища наказать местных пиратов, но ситуация вышла у них из-под контроля. Верить им или нет - это уже личное дело каждого.
Компьютерный вирус Brain вырвался далеко за пределы Пакистана, а именно там жили его создатели, и успел навредить десяткам тысяч пользователей. Только в США от него пострадали 20 тысяч компьютеров. Конечно же, сейчас это звучит не слишком угрожающе, но тогда приравнивалось к эпидемии мирового масштаба.
Время шло, технологии развивались, и эра дискет постепенно стала клониться к своему закату. Вместе с этим широкую популярность обрел Интернет, благодаря которому пользователи начали обмениваться информацией друг с другом. Несомненно, все это очень положительные моменты, но именно из-за них компьютерные вирусы стали гораздо опаснее.
На сегодняшний день развились настолько, что могут распространяться с ужасающей скоростью. Всего за несколько часов тот или иной вирус способен поразить миллионы компьютеров, нарушив работу даже государственных учреждений и крупных компаний. Что уж говорить о простых пользователях. Более того, сформировалось несколько различных типов вирусов, каждый из которых имеет свои особенности. О них и пойдет речь ниже.
Эти вредоносные программы отличаются возможностью самостоятельного распространения. Для этого они используют уязвимость приложений, поражая их как через локальные, так и через глобальные сети (Интернет). Теоретически "червь" может заразить все существующие в мире компьютеры за 15 минут, но, к счастью, в реальности это невозможно.
Первым и одним из самых известных представителей данного типа вирусов является так называемый Morris worm. Он был создан в 1988 году и в кратчайшие сроки успел заразить около 6200 компьютеров, что тогда соответствовало примерно 10% всех ПК, подключенных к Интернету.
Что касается троянов, то они, в отличие от тех же "червей", не могут распространяться самостоятельно. Эти вирусы попадают на компьютер вследствие определенных действий самих пользователей. К примеру, вы можете установить легальную и безвредную на первый взгляд программу, но под ее видом будет скрываться вредоносное ПО.
Заразив компьютер, троян начинает выполнять всяческие несанкционированные действия. Так, он может собирать информацию, в том числе и пароли, или же просто использовать ресурсы системы для каких-либо неблаговидных целей.
Первым представителем данного типа вирусов считается AIDS, бушевавший в 1989 году. Тогда он распространялся на дискетах, подменял собой файл AUTOEXEC.BAT и начинал подсчитывать количество загрузок системы. Как только это число достигало 90, троян шифровал имена всех файлов на диске C, что делало невозможным использование ОС. Человеку, соответственно, предлагалось заплатить за то, чтобы вновь получить доступ к своей информации.
Они выделяются тем, что имеют повышенный уровень защиты от обнаружения антивирусными утилитами. Проще говоря, эти вирусы, благодаря особой технике программирования, используемой при их создании, могут долго оставаться незамеченными, нанося вред системе. Первый из известных полиморфов сравнительно «молодой». Он появился в 1990 году и получил название Chameleon, а его создателем является Марк Вашбурн.
Стелс-вирусы, на первый взгляд, очень похожи на полиморфы. Они точно так же скрывают свое присутствие на компьютере, однако используют для этого несколько другие методы. Стелс-вирусы перехватывают обращения антивирусных программ к операционный системе, исключая тем самым возможность своего обнаружения. Первым представителем этого семейства считается программа Frodo, разработанная в Израиле в конце 1989 года, однако дебютное использование состоялось уже в 1990 году.
Пока развивались вирусы, антивирусы, являющиеся лучшим средством борьбы с ними, тоже не стояли на месте. Так, помимо уже упомянутого Reaper, периодически появлялись утилиты, сделанные для защиты от нежелательного ПО. Правда, вплоть до 1981 года вирусы не представляли серьезной угрозы, поэтому и необходимости как-то противостоять им не было.
Если говорить об антивирусах в современном понимании этого термина, то первый из них начал применяться в 1985 году. Программа называлась DRProtect и предотвращала все сторонние действия, связанные с BIOS, перезапуская компьютер в случае их обнаружения.
Тем не менее разработчики вредоносного ПО постепенно научились обходить защиту, предоставляемую примитивными антивирусами того времени. Спасти ситуацию удалось лишь в 1992 году благодаря программе Евгения Касперского. В нее был встроен эмулятор системного кода, который с некоторыми изменениями используется в антивирусах и по сей день.
Логично, что разработчики вирусов, создавая их, преследуют какие-то конкретные цели. Только вот намерения у них могут быть самыми разными, начиная от порчи оборудования конкурентов и заканчивая желанием похитить чужие денежные средства. Нередко во время атак на крупные компании жертвами вирусных эпидемий становятся самые обычные пользователи, ведь они в меньшей мере могут от них защититься.
Как бы там ни было, вы должны быть готовы к таким ситуациям. Всегда обновляйте антивирус до актуальной версии, и вы сведете вероятность заражения вашего компьютера к минимуму.
Теоретические основы создания компьютерных вирусов были заложены в 40-х годах прошлого столетия американским ученым Джоном фон Нейманом (John von Neumann ), который также известен как автор базовых принципов работы современного компьютера. Впервые же термин вирус в отношении компьютерных программ применил Фред Коэн (Fred Cohen). Это случилось 3 ноября 1983 года на еженедельном семинаре по компьютерной безопасности в Университете Южной Калифорнии (США), где был предложен проект по созданию самораспространяющейся программы, которую тут же окрестили вирусом. Для ее отладки потребовалось 8 часов компьютерного времени на машине VAX 11/750 под управлением операционной системы Unix и ровно через неделю, 10 ноября состоялась первая демонстрация. Фредом Коэном по результатам этих исследований была опубликована работа " Computer Viruses : theory and experiments" 1F. Cohen. Computer Viruses : theory and experiments // DOD / NBS 7th Conference on Computer Security (1984). Также опубликована в ряде изданий, в том числе в Computers and Security, 1987 - vol. 6#1 - p. 22-35 с подробным описанием проблемы.
Поскольку рассматриваемые вирусы - это по сути компьютерные программы, то об их истории можно говорить только начиная с появления компьютеров, то есть с 1946 года, когда в США была выпущена первая электронно-вычислительная машина (ЭВМ) - ENIAC (Electronic Numerical Integrator And Computer ). Однако до появления в 1960 году коммерческих компьютеров, доступ к ЭВМ был сильно ограничен и вирусных инцидентов зафиксировано не было.
Первый известный вирус был написан для компьютера Univac 1108 (конец 1960-х - начало 1970-х годов). Он назывался Pervading Animal и фактически представлял собой игру, написанную с ошибкой - с помощью наводящих вопросов программа пыталась определить имя животного, задуманного играющим. Ошибка заключалась в том, что при добавлении новых вопросов модифицированная игра записывалась поверх старой версии плюс копировалась в другие директории. Следовательно через некоторое время диск становился переполненным. Поскольку Pervading Animal не был настоящим вирусом, он не содержал процедуры самораспространения и передавался исключительно через пользователей, желающих по собственной воле переписать программу.
В 1969 году в США была создана первая глобальная компьютерная сеть , прародитель современной Интернет , ARPANET 2Проект ARPANET был закрыт в июне 1990 года ( Advanced Research Projects Agency Network ). Она объединяла четыре ведущих научных центра США и служила для быстрого обмена научной информацией. Не удивительно, что уже в начале 1970-х в ARPANET появился первый вирус , умеющий распространяться по сети. Он назывался Creeper и был способен самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине. На зараженных компьютерах вирус обнаруживал себя сообщением "I"M THE CREEPER: CATCH ME IF YOU CAN ". Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper . По сути это был вирус , выполнявший некоторые функции, свойственные антивирусу: он распространялся по компьютерной сети и в случае обнаружения на машине вируса Creeper, уничтожал его.
В это время компьютеры использовались исключительно в промышленных целях - они занимали целые этажи, были очень дороги и сложны в эксплуатации, время работы на них было расписано по минутам. Выпуск персональных компьютеров, то есть таких, которые могли быть приобретены отдельными людьми и использованы в личных целях, был налажен в конце 70-х - начале 80-х годов прошлого века. Это были персональные компьютеры Apple и IBM Personal Computer . Однако с развитием компьютерной техники прогрессировали и компьютерные вирусы . В 1981 году были зафиксированы случаи заражения Elk Cloner , который распространялся через пиратские копии компьютерных игр. Поскольку жестких дисков тогда еще не было, он записывался в загрузочные сектора 3Загрузочный сектор - это первый сектор логического диска (на дискетах совпадает с первым физическим сектором). Он содержит программу-загрузчик, отвечающую за запуск операционной системы дискет и проявлял себя переворачиванием изображения на экране и выводом текста:
ELK CLONER: THE PROGRAM WITH A PERSONALITY IT WILL GET ON ALL YOUR DISKS IT WILL INFILTRATE YOUR CHIPS YES, IT"S CLONER IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM, TOO SEND IN THE CLONER!
В 1984 году вышли в свет первые антивирусные программы - CHK4BOMB и BOMBSQAD. Их автором был Энди Хопкинс (Andy Hopkins). Программы анализировали загрузочные модули и позволяли перехватывать запись и форматирование , выполняемые через BIOS 4BIOS (сокр. от англ. Basic Input-Output System - базовая система ввода-вывода) - это первая программа, которая начинает выполняться после включения компьютера и служит для тестирования и подготовки к загрузке операционной системы (или другого программного обеспечения). BIOS предоставляет другим устройствам компьютера стандартный путь для общения друг с другом и хранится в энергонезависимой памяти на материнской плате в системном блоке. На то время они были очень эффективны и быстро завоевали популярность.
Первую настоящую глобальную эпидемию вызвал в 1986 году вирус Brain . Он был написан двумя братьями-программистами Баситом Фарук и Амжадом Алви (Basit Farooq Alvi и Amjad Alvi) из Пакистана с целью определения уровня компьютерного пиратства у себя в стране: вирус заражал загрузочные сектора, менял метку диска 5Под меткой диска обычно понимается присвоенное данному ПЗУ собственное имя на "(c) Brain" и оставлял сообщение с именами, адресом и телефоном авторов. Отличительная черта Brain - умение подставлять незараженный оригинал вместо реальных данных при попытке просмотра пользователем инфицированного загрузочного сектора (так называемая стелс-технология). В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал.
В этом же году произошло еще одно знаменательное событие. Немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS -файлам формата COM . Опытный образец программы, получившей название Virdem , был продемонстрирован на форуме компьютерного андеграунда - Chaos Computer Club (декабрь 1986 года, Гамбург, ФРГ). По результатам исследований Бюргер выпустил книгу " Computer Viruses . The Disease of High Technologies", послужившую толчком к написанию тысяч компьютерных вирусов, частично или полностью использовавших описанные автором идеи.
В следующем 1987 году был написан первый по -настоящему вредоносный вирус - Lehigh . Он вызвал эпидемию в Лехайском университете (США), где в то время работал Фред Коэн. Lehigh заражал только системные файлы COMMAND . COM и был запрограммирован на удаление всей информации на инфицированном диске. В течение нескольких дней было уничтожено содержимое сотен дискет из библиотеки университета и личных дискет студентов. Всего за время эпидемии было заражено около четырех тысяч компьютеров. Однако за пределы университета Lehigh не вышел.
Mike RoChenle - псевдоним автора первой известной вирусной мистификации . В октябре 1988 года он разослал на станции BBS 6BBS (сокр. от англ. Bulletin Board System - система досок объявлений) - это публичная электронная доска объявлений, которая обеспечивала быстрый обмен информацией между даже самыми отдаленными точками планеты большое количество сообщений о вирусе, который передается от модема к модему со скоростью 2400 бит/с. В качестве панацеи предлагалось перейти на использование модемов со скоростью 1200 бит/с. Как это ни смешно, многие пользователи действительно последовали этому совету.
В ноябре 1988 года случилась глобальная эпидемия червя Морриса 7По способу размножения и типу вредоносной нагрузки все компьютерные вирусы делятся на вирусы, черви и трояны. Подробнее об этом будет рассказано в следующей главе . Небольшая программа , написанная 23-летним студентом Корнельского университета (США) Робертом Моррисом, использовала ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun Microsystems. С целью незаметного проникновения в вычислительные системы, связанные с сетью ARPANET , использовался подбор паролей (из списка, содержащего 481 вариант). Это позволяло маскироваться под задачу легальных пользователей системы. Однако из-за ошибок в коде безвредная по замыслу программа неограниченно рассылала свои копии по другим компьютерам сети, запускала их на выполнение и таким образом забирала под себя все сетевые ресурсы. Червь Морриса заразил по разным оценкам от 6000 до 9000 компьютеров в США (включая Исследовательский центр NASA 8National Aeronautics and Space Administration - Национальное управление США по аэронавтике и исследованию космического пространства ) и практически парализовал их работу на срок до пяти суток. Общие убытки были оценены в минимум 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов. Ущерб был бы гораздо больше, если бы червь изначально создавался с разрушительными целями. Роберт Моррис также стал первым человеком, осужденным за написание и распространение компьютерных вирусов - 4 мая 1990 года состоялся суд, который приговорил его к 3 годам условно, 400 часам общественных работ и штрафу в 10 тысяч долларов США.
Примечательно, что в том же году, когда случилась эпидемия червя Морриса, известный программист Питер Нортон (Peter Norton) высказался резко против существования вирусов. Он официально объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Это показывает сколь низка была культура антивирусной безопасности в то время.
Тогда же, в 1988, вышла первая широко известная антивирусная программа , написанная английским программистом Аланом Соломоном (Alan Solomon) и называлась Dr. Solomon"s Anti-Virus Toolkit . Она завоевала огромную популярность и просуществовала вплоть до 1998 года, когда компания Dr. Solomon была поглощена другим производителем антивирусов - американской Network Associates (NAI).
В декабре 1989 года разразилась первая эпидемия троянской программы - Aids Information Diskette . Ее автор разослал около 20000 дискет с вирусом по почтовым адресам в Европе, Африке и Австралии, похищенным из баз данных Организации всемирного здравоохранения и журнала PC Business World. После запуска вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы все файлы на диске становились недоступными, кроме одного - с сообщением, предлагавшим прислать $189 на указанный адрес . Автор трояна, Джозеф Попп (Joseph Popp), признанный позднее невменяемым, был задержан в момент обналичивания чека и осужден за вымогательство. Фактически, Aids Information Diskette - это первый и единственный вирус , для массовой рассылки, использовавший настоящую почту.
В том же году был обнаружен вирус Cascade , вызывающий характерный видеоэффект - осыпание букв на экране. Примечателен тем, что послужил толчком для профессиональной переориентации Евгения Касперского на создание программ-антивирусов, будучи обнаруженным на его рабочем компьютере. Уже через месяц второй инцидент ( вирус Vacsina) был закрыт при помощи первой версии антивируса -V, который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro .
Вскоре после этого, в конце 1990, несмотря на громкое заявление Питера Нортона, прозвучавшее двумя годами ранее и где он авторитетно заявлял о надуманности проблемы вирусов, вышла первая версия антивирусной программы Norton AntiVirus .
Первый общедоступный конструктор вирусов VCL ( Virus Creation Laboratory), представляющий собой графическую среду для разработки вирусов для операционной системы MS DOS , появился в июле 1992 года. Начиная с этого момента, любой человек мог легко сформировать и написать вирус . Этот год также положил начало эпохи вирусов для Windows - был создан первый вирус , поражающий исполняемые файлы Microsoft Windows 3.1. Однако поскольку Win.Vir эпидемии не вызвал, его появление осталось практически незаметным.
Добро пожаловать в подземелье… Берегитесь этого вируса… Свяжитесь с нами для лечения…
В заголовке были указаны реальные контакты. Когда кто-либо звонил им за помощью, они могли идентифицировать пиратскую копию. Также вирус подсчитывал количество сделанных копий.
Они обнаружили, что пиратство было широко распространено, и копии их программ распространялись очень далеко. Амжад говорит, что первый их звонок поступил из США, Майами.
Это был первый из множества звонков из США. Проблема оказалась в том, что Brain распространялся и по другим дискетам, а не только по копиям их программы. В Университете Делавера даже случилась эпидемия этого вируса в 1986 году, а затем он появлялся и в
о многих других местах. Исков подано не было, но в газетах про это писали много. Создателей даже упоминали в журнале Time Magazine в 1988.
New York Times писала в мае 1988: «Дерзкая компьютерная программа, которая в этом месяце появилась на компьютерах Бюллетеня Провиденса, уничтожила файлы одного корреспондента и распространилась через дискеты по всей сети газеты. Компьютерщики считают, что это первый случай заражения компьютерной ситемы американской газеты такой дерзкой программой, которую называют компьютерным „вирусом“.
Братьям Альви пришлось сменить телефоны и убрать контакты из поздних версий вируса. Продажи программы они прекратили в 1987 году. Их компания выросла в телекоммуникационного провайдера и сейчас это - крупнейший провайдер в Пакистане. Расположена она всё по тому же адресу.
Одна из самых неприятных вещей, с которой сталкивается каждый начинающий пользователь ПК, это компьютерные вирусы . Что же это такое? На самом деле под этим названием скрывается несколько видов вредоносных программ, каждая из которых уже давно имеет свою своеобразную методику проникновения в компьютер. На сегодня известно около 50 тысяч компьютерных вирусов. Эти маленькие вредоносные программы живут по трём правилам – Размножаться, Скрываться и Портить. Универсального и абсолютно надёжного средства борьбы с вирусами не существует.
Но, длилось это недолго… Уже в 70-х годах появились первые настоящие вирусы , способные к размножению и даже получившие свои собственные имена: компьютер UNIVAC 1108 был заражён вирусом Pervading Animal, а компьютеры семейства IBM – 360/370 были атакованы вирусом Christmas tree.
К 1980-м число активных вирусов изменялось уже сотнями. А появление и распространение PC вызвало настоящую эпидемию – вирусы стали исчислять тысячами. Однако, термин ”компьютерный вирус ” впервые был использован сотрудником Лехайского университета США Ф. Коэном на конференции по информационной безопасности в 1984 году. Первые “персональные” вирусы были довольно простыми и особо от пользователя не скрывались, “скрашивали” своё разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и каверзными “шутками”: “Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!!!”. Задача обнаружения таких вирусов была легко решаемой: они прикреплялись к исполняемым (*.com или *.exe) файлам, изменяя их оригинальные размеры, - чем и пользовались первые антивирусы.
Забавно, что первые вирусы этого типа были созданы для борьбы с пиратами: в 1985 году десятки тысяч компьютеров были заражены вирусом Brain, разработанным братьями-пакистанцами Алви. Хитрые братья Алви, владевшие собственным программным бизнесом умышленно снабжали свою продукцию вредоносной начинкой, которая срабатывала лишь при установке на компьютер нелегальной копии. За десять лет, прошедших с момента возникновения “пакистанского” вируса, его потомки смогли распространится по всему миру. Опасность этих вирусов заключалась в способности укрыться в абсолютно любой программе – в её главном, исполняемом файле. Чтобы вирус проник на компьютер и в дальнейшем начал заражать файлы с расширениями com и exe достаточно было одного единственного запуска программы.
“Золотой век” классических вирусов продолжался около десяти лет. Сегодня их численность резко сократилась и, согласно оценкам лаборатории Касперского , составляет несколько процентов от всего вирусного поголовья. Любой современный антивирус вполне успешно может противостоять таким вирусам, да и сама операционная система неплохо защищена от их атак. Сегодня некоторые типы вирусов почти полностью истреблены. Одним из них является boot-вирус , поражающий загрузочный сектор жёстокого диска. И когда наконец-то смогли противостоять stealth-вирусам , компьютерный мир вздохнул с облегчением.
Если на вашем компьютере ещё нет антивируса, будьте уверены - вирусы у вас точно есть! Зайдите в раздел защитных систем нашего сайта и выберите подходящий бесплатный антивирус а так же антишпион.
Первые исследования саморазмножающихся искусственных конструкций проводились в середине XX столетия: в работах фон Неймана, Винера и др. Дано определение и проведен математический анализ конечных автоматов, в том числе самовоспроизводящихся. Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман , который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.
Термин "компьютерный вирус " появился позднее - официально считается, что его впервые употребил сотрудник Лехайского университета (США) Фред Коэн в 1984 году на 7-й конференции по безопасности информации, проходившей в США.
Существует много разных версий относительно даты рождения первого компьютерного вируса. Однако большинство специалистов сходятся на мысли, что компьютерные вирусы, как таковые, впервые появились в 1986 году, хотя исторически возникновение вирусов тесно связано с идеей создания самовоспроизводящихся программ.
Появление первых компьютерных вирусов, способных дописывать себя к файлам, связывают с инцидентом, который произошел в первой половине 70-х годов на системе Univax 1108 . Вирус, получивший название "Pervading Animal ", дописывал себя к выполняемым файлам – делал практически то же самое, что тысячи современных компьютерных вирусов.
ПРИМЕЧАНИЕ :Каждый вирус имеет собственное имя. Обнаружив новый вирус, антивирусные компании дают ему имена в соответствии с классификациями, принятыми в каждой конкретной компании, причем классификация у каждой фирмы своя.
Например , Worm.Win32.Nuf – это то же самое, что
Net-Worm.Win32.Mytob.c.
Часто название дается по некоторым внешним признакам:
по месту обнаружения вируса (Jerusalem);
методу подачи пользователю (AnnaKournikova);
эффекту (Black Friday).
Можно отметить, что в те времена значимые события, связанные с компьютерными вирусами, происходили один раз в несколько лет. С началом 80-х компьютеры становятся все более и более популярными. Появляется все больше и больше программ, начинают развиваться глобальные сети. Результатом этого является появление большого числа разнообразных "троянских коней" – программ, которые при их запуске наносят системе какой-либо вред.
Одним из "пионеров" среди компьютерных вирусов считается вирус "Brain ", созданный в 1986г. пакистанским программистом по фамилии Алви. Только в США этот вирус поразил свыше 18 тыс. компьютеров.
Вирус, заражающий 360Kб дискеты, практически мгновенно разошелся по всему миру. Причиной такого "успеха" являлась, скорее всего, неготовность компьютерного общества к встрече с таким явлением, как компьютерный вирус.
В начале эпохи компьютерных вирусов разработка вирусоподобных программ носила чисто исследовательский характер, постепенно превращаясь на откровенно вражеское отношение к пользователям безответственных, и даже криминальных "элементов". В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за создание и распространение вирусов.
Первыми известными собственно вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II , появившиеся в 1981 году . Зимой 1984 года появились первые антивирусные утилиты - CHK4BOMB и BOMBSQAD авторства Энди Хопкинса (англ. Andy Hopkins ).
В начале 1985 года Ги Вонг (англ. Gee Wong ) написал программу DPROTE CT - первый резидентныйантивирус.
Расцвет вирусов в их классическом понимании пришелся на операционную систему MS DOS и происходил в 80-е годы и в начале 90-х. В то время вирусы заражали загрузочные области накопителей на жестких и гибких дисках и исполнимые файлы. Вирусы распространялись путем переноса с компьютера на компьютер дискет, зараженных вирусами или содержащих зараженные исполнимые файлы. В своей эволюции в тот период вирусы прошли путь от простейших вирусов до шифрованных (тело вируса было зашифровано, так что сигнатура вируса менялась от экземпляра к экземпляру).
Из вирусных технологий, разработанных в тот период, необходимо также отметить следующие :
«stealth»- технологию, обеспечивавшую «невидимость» вирусов для стандартных средств, поставляющих информацию о системе;
направленность некоторых вирусов на разрушение или блокирование работы антивирусных программ на пораженном компьютере пользователя;
разработка генераторов вирусов, позволившая малоквалифицированным пользователям автоматически создавать вирусы.
Тогда же оформились основные классы двоичных вирусов :
сетевые черви (червь Морриса , 1987),
«троянские кони » (AIDS, 1989 ),
полиморфные вирус ы (Chameleon, 1990),
стелс-вирусы (Frodo, Whale, 2-я половина 1990).
Первые вирусные эпидемии относятся к 1987-1989 годам:
Zotkin.A, (более 18 тысяч зараженных компьютеров, по данным McAfee ),
Jerusalem (проявился в пятницу 13 мая 1988 года , уничтожая программы при их запуске),
червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток),
DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).
В пятницу 13-го мая 1988-го года сразу несколько фирм и университетов нескольких стран мира "познакомились" с вирусом "Jerusalem" – в этот день вирус уничтожал файлы при их запуске. Вместе с несколькими другими вирусами, вирус "Jerusalem " распространился по тысячам компьютеров, оставаясь незамеченным – антивирусные программы еще не были распространены в то время так же широко как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов.
Не прошло и полгода, как в ноябре 1988г. появился сетевой вирус Морриса (другое название – Internet Worm ) и в течение короткого промежутка времени парализовал работу многих хостов сети Internet. Повальная эпидемия этого вируса заразила более 6000 компьютерных систем в США и практически парализовала их работу. По причине ошибки в коде вируса он неограниченно рассылал свои копии по другим компьютерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.
Червь Морриса являлся самораспространяющейся программой, которая распространяла свои копии по сети Internet, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе. Одной из уязвимостей, использованных червем Моррисона , была уязвимая версия программы Sendmail (нарушение безопасности было связано с использованием нестандартной команды), а другой - программа Fingerd (в ней содержалась ошибка переполнения буфера). Для поражения систем червь использовал также уязвимость команд rexe c и rsh, а также неверно выбранные пользовательские пароли.
Данный червь является «классикой» вредоносных программ, а механизмы нападения, разработанные автором при его написании, до сих пор используются злоумышленниками.
Параллельно оформляются организованные движения как про-, так и антивирусной направленности:
в 1990 году появляются специализированная BBS Virus Exchange,
«Маленькая чёрная книжка о компьютерных вирусах » Марка Людвига,
первый коммерческий антивирус Symantec Norton AntiVirus .
Начиная с 90-х годов проблема, приобретает глобальный характер. В 1991 году появился первый генератор вирусов- VCS v.1.0 . Теперь любой желающий за 10-15 минут мог сконструировать свой вирус.
В 1992 годупоявились :
первый конструктор вирусов для PC - VCL (для Amiga конструкторы существовали и ранее),
готовые полиморфные модули (MtE, DAME и TPE);
модули шифрования для встраивания в новые вирусы.
В 1992 году появились первые конструкторы вирусов VCL и PS-MPC , которые увеличили и без того немаленький поток новых вирусов. В конце этого года первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу компьютерных вирусов.
В 1992 операционная система Windows 95 была практически готова, и её beta- версию разослали 160 тестерам. Все диски были заражены загрузочным вирусом Form , и только один тестер не поленился проверить диск антивирусом. 1993 год. Вирус Satan bug поражает сотни компьютеров в Вашингтоне.
С появлением семейства операционных системы Windows в 90-х годах ситуация изменилась. Казалось, что ситуация должна улучшиться, т.к. Windows является системой более сложной структуры, в ней присутствуют некоторые механизмы защиты, а, следовательно, создавать вирусы для данной операционной системы будет труднее, чем под MS DOS. И действительно, на некоторое время количество создаваемых вирусов уменьшилось (выросло число вирусов, поражающих загрузочную запись, т.к. данный тип MS DOS вирусов был совместим с операционной системой Windows 3.1 , но уменьшилось количество файловых вирусов).
В несколько последующих лет были :
окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf , 1994; NightFall, Nostradamus, Nutcracker, 1995),
испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993) ,
появились вирусы, заражающиеобъектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994).
В этот период появился новый фактор, вызвавший бурный рост вредоносных программ. Получили широкое распространение сложные программные пакеты (самый яркий представитель – Microsoft Office), содержащие встроенные интерпретируемые языки.
Август 1995 г. один из поворотных моментов в истории вирусов и антивирусов - обнаружен первый вирус для Microsoft Word ("Concept").
Вирус Concept, первый макро-вирус (вирус, использующий интерпретатор, встроенный в прикладное программное обеспечение). Так начиналось время макровирусов. С распространением пакета Microsoft Office получили распространение макровирусы (Concept, 1995 ). С этого момента вирусы, заражающие документы Microsoft Office стали самыми популярными в мире.
В 1996 годупоявились первые вирусы для:
Windows 95 - Win95.Boza,
резидентный вирус для Win95.Boza - Win95.Punch.
После появления в 1997 году очередной версии продукта Microsoft Office, вирусы перестали быть специфичными для какого-то отдельного офисного приложения, а стали "общими" для всех продуктов семейства, вследствие внедрения в пакет встроенного интерпретируемого языка Visual Basic . Теоретически любое приложение, поддерживающее Visual Basic, может быть использовано для распространения вирусов в документах.
Таким образом, для широкого распространения макро-вирусов в настоящее имеются следующие предпосылки:
широкое распространение пакета Microsoft Office;
отсутствие механизмов защиты в макросах;
распространенность обмена информацией в файлах, созданных офисными приложениями, в почтовых вложениях между пользователями;
удобный язык для написания вирусов.
Современные макро-вирусы пытаются использовать технологии аналогичные технологиям, которые использовали вирусы для операционной системы MS DOS:
сокрытие своего тела путем перехвата обращений к пунктам меню, позволяющим просмотреть макросы в документе;
шифрование текста макроса;
борьба с антивирусным программным обеспечением.
Описанные вирусные проблемы, существовали где-то до 1998 года. А далее произошла очередная «вирусная» революция, связанная с использованием возможностей сети Internet для распространения вирусов .
На данном этапе вирусные программы начинают обладать функциями, характерными для червей, так что часто трудно четко определить, вирусом или червем является вредоносная программа.
С распространением сетей и Интернетафайловые вирусывсё больше ориентируются на Win95.Boza и Win95.Punch как на основной канал работы:
ShareFun, 1997 - макровирус MS Word , использующий MS-Mail для распространения;
Win32.HLLP.DeTroie, 1998 - семейство вирусов-шпионов ;
Melissa, 1999 - макровирус и сетевой червь, побивший все рекорды по скорости распространения
Вирус Melissa появился в мае 1999 года и поразил около 100000 хостов, подключенных к сети Internet, в том числе и в сетях, защищенных межсетевыми экранами. Вирус распространялся с помощью программы, присоединенной к почтовому сообщению. Даже если в атакуемой сети присутствовала проверка наличия вирусов в почтовых сообщениях, антивирусные средства не могли распознать сигнатуру вируса Melissa.
Кратко рассмотрим принципы работы данного вируса. Вирус Melissa нельзя классифицировать как чистый червь, т.к. для его распространения требуются действия пользователя. Для того чтобы вирус заразил атакуемый хост сети, пользователь должен был открыть присоединенный к почтовому сообщению документ с помощью программы Microsoft Word. После того, как зараженный документ открывался, вирус рассылал свою копию первым пятидесяти адресатам в книге адресов Microsoft Outlook, хранимой на хосте. Этот способ распространения являлся основным (несмотря на то, что вирус мог распространяться и в результате того, что пользователи сами передавали друг другу зараженный документ). Использование адресной книги хоста для распространения вируса увеличивало способность его распространения вследствие того, что атакуемые пользователи были склонны доверять почтовым сообщениям, поступившим к ним от известных пользователей, и открывали вложенные документы.
В январе 1999 года появился вирус Caligula, который распространялся с помощью документов Microsoft Word / 97 . Данный вирус пытался обнаружить в зараженной системе файл, содержащий информацию, используемую программой PGP. При этом для связи с нарушителем использовался сеанс ftp , инициируемый с зараженной машины, что часто позволяло обойти межсетевой экран.
Вирус Marker появился в апреле 1999 года и использовал технику аналогичную вирусу Caligula для получения информации о пользователях, работающих на зараженном хосте. Marker проверял, была ли уже заражена система, на основании проверки ключа реестра, который он устанавливал при заражении
Эру расцвета «троянских коней» открывает утилита скрытого удаленного администрирования BackOrifice (1998) и последовавшие за ней аналоги (NetBus , Phase).
Вирус Win95. CIH достиг апогея в применении необычных методов, перезаписывая FlashBIOS зараженных машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).
В 1998 году появились первые полиморфные Windows32-вирусы-"Win95. HPS " и "Win95. Marburg". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.
Наиболее заметной в 1998 г. была эпидемия вируса "Win95. CIH", ставшая сначала массовой, затем глобальной, а затем повальной – сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный заслал зараженные файлы в местные Интернет-конференции.
С середины 90-х годов основным источником вирусов становится глобальная сеть Интернет.
Конец 1990-x - начало 2000-x годов ознаменовались:
усложнением ПО и системного окружения,
массовым переходом на сравнительно защищенные Windows семейства NT ,
закреплением сетей как основного канала обмена данными,
а также успехами антивирусных технологий в обнаружении вирусов, построенных по сложным алгоритмам.
В этот период вирусы стали:
1) заменять внедрение в файлы на внедрение в операционную систему (необычный автозапуск , руткиты );
2) подменять полиморфизм огромным количеством видов (число известных вирусов растет экспоненциально).
Вместе с тем, обнаружение в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам .
С 1999 года макровирусы начинают постепенно терять свое господство. Это связано со многими факторами. Во-первых, пользователи осознали опасность, таящуюся в простых doc - и xls-файлах. Люди стали более внимательными, научились пользоваться стандартными механизмами защиты от макровирусов, встроенными в MS Office.
В 2000 году происходят очень важные изменения на мировой "вирусной арене". На свет появляется новый тип вредных кодов – сетевые черви. В это же время появляется супервирус – "Чернобыль".
"Чернобыль" исполняемый вирус под Windows, имеющий следующие особенности:
1. Во-первых , зараженный файл не меняет своего размера по сравнению с первоначальным вариантом. Такой эффект достигается благодаря структуре исполняемых файлов Windows : каждый exe-файл разбит на секции, выровненные по строго определенным границам. В результате между секциями почти всегда образуется небольшой зазор. Хотя такая структура приводит к увеличению места, занимаемого файлом на диске, она же позволяет существенно повысить скорость работы операционной системы с таким файлом. "Чернобыль" либо записывает свое тело в один такой зазор, либо дробит свой код на кусочки и копирует каждый из них в пустое место между границами. В результате антивирусу сложнее определить, заражен ли файл или нет, и еще сложнее вылечить инфицированный объект.
2. Во-вторых , "Чернобыль " стал первопроходцем среди программ, умеющих портить аппаратные средства. Некоторые микросхемы позволяют перезаписывать данные, хранящиеся в их мини ПЗУ. Этим и занимается этот вирус.
Компьютерный вирус — это особая компьютерная программа, которая отличается способностью к размножению. К тому же, вирус может повредить или уничтожать данные пользователя, от имени которого запускается зараженная программа.
Некоторые неопытные пользователи считают вирусами и программы-шпионы, трояны и даже спам.
Постепенно вирусы стали распространяться, и внедряли в себя исполняемый код программ, либо заменяли другие программы. Некоторое время было принято считать, что вирус, как программа, может заражать только программы, а любые изменения не-программ - это лишь повреждение данных.
Но в дальнейшем хакеры доказали, что вирусом может быть не только исполняемый код. Появились вирусы, написанные на языке пакетных файлов, макровирусы, которые через макросы внедрялись в офисные программы.
Затем стали появляться вирусы, которые пользовались уязвимостями в популярных программах, они распространялись при помощи специального кода, который внедрялся в последовательность данных.
Версии о рождении первого компьютерного вируса существует немало. Но опираясь на факты можно сказать - на первом компьютере Чарльза Бэббиджа вирусов еще не было, а вот в середине 1970-х, на IBM 360/370 они уже были.
В 1940-х годах стали известны труды Джона фон Неймана посвященные самовоспроизводящимся математическим автоматам. Это можно считать отправной точкой в истории компьютерных вирусов. В последующие годы различными учеными проводился ряд исследований, направленных на изучение и развитие идей фон Неймана. Естественно, они стремились не разработать компьютерный вирус, а изучить и усовершенствовать возможности компьютеров.
В 1962 г. в американской компании Bell Telephone Laboratories группой инженеров была создана игра «Дарвин». Суть игры сводилась к противоборству двух программ, которые имели функции размножения, исследования пространства и уничтожения. Побеждал тот, чья программа удаляла все копии программы соперника и захватывала поле битвы.
Но уже через несколько лет стало ясно, что теория саморазмножающихся структур может применяться не только для развлечения инженеров.
Краткая история компьютерных вирусов
Сегодня компьютерные вирусы принято классифицировать по трем типам:
Традиционный виру с - при попадании в компьютер он самовоспроизводится и начинает вызывать проблемы, такие как уничтожение файлов. Наибольший ущерб нанес в 2000 году вирус I Love You - $8 млрд.
«Черви » - попадают в компьютеры через сеть и заставляют программу рассылки электронной почты слать письма с вирусом по всем адресам, хранящимся в памяти. Червь «Blaster» в 2003 году сумел поразить более миллиона компьютеров.
«Троянский конь » - программа не причиняет вреда компьютеру, но попав в систему, он обеспечивает хакеров доступом ко всей информации на компьютере, а также к управлению компьютером. В 2002 году при помощи троянской программы QAZ хакерам удалось получить доступ к программным кодам Microsoft.
1949 год. Ученым Джоном фон Науманн была разработана математическая теория создания самовоспроизводящихся программ, которая являлась первой теорией создания компьютерных вирусов.
1950 год. Группа американских инженеров создает игру: программы должны отобрать друг у друга компьютерное пространство. Эти программы были предтечами вирусов.
1969 год. Создана первая компьютерная сеть ARPANET,к которой подключились компьютеры ведущих исследовательских центров и лабораторий США.
Конец1960-х годов. Появляются первые вирусы. Жертвой первого вируса, созданного для извлечения, был компьютер Univax 1108.
1974 год. Был создан коммерческий аналог ARPANET - сеть Telenet.
1975 год. Через новую сеть распространился The Creeper - первый в истории сетевой вирус. Чтобы нейтрализовать его, написана первая антивирусная программа - The Reeper.
1979 год. Инженерами исследовательского центра компании Xerox был создан первый компьютерный «червь».
1981 год. Компьютеры Apple поражены вирусом Elk Cloner, распространяющимся через «пиратские» компьютерные игры.
1983 год. Впервые употреблен термин «компьютерный вирус».
1986 год. Создан The Brain - первый вирус для IBM PC.
1988 год. Создан «червь», массово заразивший ARPANET .
1991 год. Написана программа VCS v 1.0, которая была предназначена только для создания вирусов.
1999 год. Первая мировая эпидемия. Вирусом Melissa были заражены десятки тысяч компьютеров. Это спровоцировало скачок спроса на антивирусы.
Май 2000 год. Вирус I Love You !, поразил миллионы компьютеров за несколько часов.
2002 год. Программист Дэвид Смит был приговорен к тюремному заключению.
2003 год. Новый рекорд быстроты установлен червем «Slammer», который заразил 75. тыс. компьютеров за10 минут.
