История развития компьютерных вирусов
Автор: Муковнин Артём История развития Компьютерных Вирусов
С появлением Chameleon начинается эпоха полиморфных вирусов. Первый же удачный полиморф Tequila вызывает настоящую эпидемию. И все бы ничего, но на сцену (во всех смыслах) выходят такие личности, как Nowhere Man, Dark Avenger, Dark Angel и др.
1992
Известнейший вирмейкер Dark Avenger выпускает MtE (Mutation Engine) – полиморфный движок. В поставку входит *.obj-файл и краткое руководство. С помощью этого движка любой вирус можно превратить в полиморфный, просто слинковав его с MtE. Nowhere Man не отстает и создает VCL (Virus Creation Laboratory или Viral Construction Laboratory) – конструктор вирусов и NED (Nuke Encryption Device) – шифровальный модуль, который можно использовать в любом вирусе. Dark Angel пишет DAME (Dark Angel Multiрle Encryрtor) – еще один удачный полиморфный движок. И, наконец, VX-группа Trident выпускает TPE (Trident Polymorphic Engine). Выходит Windows 3.1 и тут же, следом, первый вирус под нее - WinVer 1.4, заражающий NE-файлы.
1993
За год выходит несколько новых версий вышеперечисленных программ-конструкторов, и теперь любой юзер, способный кликать мышкой, может создать серьезный разрушительный вирус. С одной стороны, для антивирусников наступает сущий кошмар, но с другой – эпоха благоденствия, антивирусный бизнес процветает. Тогда же выходят еще два конструктора вирусов: PS-MPC (Phalcon/Skism Mass-Produced Code Generator) и G2 от той же группы. Касперский говорит, что на его складе хранятся несколько сотен вирусов, сгенерированных G2 и VCL, и больше тысячи, созданных при помощи PS-MPC. Антивирусные компании разрабатывают успешные методы борьбы с полиморфами, но появляется другая проблема – сканер определяет как полиморфные вирусы многие программы, вирусами не являющиеся. Так что до победы над полиморфизмом еще далеко. Появляется несколько оригинальных вирусов. Например, Cruncher, архивирующий зараженные им программы.
1994
В Англии появляется вирус Pathogen. И ничего примечательного в этом событии не было бы, если бы не тот факт, что автор был найден и арестован. Это одно из первых уголовных дел, связанных с вирусами. Также в 1994 году появляется известнейший представитель рода вирусов – One Half, который я до сих пор встречаю на некоторых компьютерах. Новые горизонты
1995
Работа над Windows95 практически завершена, тестерам рассылаются бета-версии. Все диски с Win95.Beta заражены вирусом Form. Репутация Microsoft как надежного производителя ПО ощутимо крепнет :). Но вот, наконец, выходит окончательная версия Windows95, на релизе которой Гейтс заявляет, что с вирусной угрозой покончено – по его словам, новая платформа полностью защищена от любых типов вирусов. Подтверждения того, как сильно она защищена, мы видим каждый день на сайте Касперского :). Но тогда в неуязвимость новой системы действительно верили. Верили до тех пор, пока через несколько месяцев после релиза не был обнаружен вирус, названный исследователями Concept. Вирус был написан на WordBasic’е – встроенном языке MS Word’а. Т.о. Concept стал первым макровирусом в истории. Антивирусники и Misrosoft этого не ожидали. Если за десять лет, прошедшие со времен Brain’а, техника борьбы с файловыми и загрузочными вирусами была отточена, то теперь борцы за чистоту компьютеров столкнулись с совершенно новой концепцией построения вирусов. Вирмейкеры продолжают изощряться: появляются BAT-вирусы.
1996
Второй удар по самоуверенности Гейтса. Появляется вирус Boza, прекрасно заражающий Win95-системы. Да и стоит ли говорить, сколько новых макровирусов появилось за год? Одного MS Word’а им уже мало – Laroux, например, заражает Excel’евские таблицы! Вирмейкеры начинают мечтать о Ring0-вирусах, а так как единственным документированным способом воспользоваться сервисами нулевого кольца является написание VxD, то вскоре такой вирус появляется, и имя ему – Punch. Используя VxD-сервисы, Punch перехватывает все обращения к файловой системе.
1997
Появляется Bliss - вирус под Линукс. Точка. Также в этом году появляются новые типы червей: ftp- и mIRC-черви. Происходит очередной раунд схватки McAfee vs Dr.Solomon. Антивирусные продукты тестируются по двум основным признакам: скорости сканирования и количеству обнаруживаемых вирусов. Скорость обычно замеряется на проверке практически чистого диска с парой вирусов, а количество обнаруживаемых вирусов - на огромной коллекции разнообразных вирей. Так вот McAfee обвинила Доктора Соломона в следующем злодеянии: антивирус от Соломона, определив, что работает над коллекцией, а не над обычном диском, переключается в режим более тщательного сканирования, чем обычно, что снижает скорость, но увеличивает показатель «выявляемости». По словам McAfee, только благодаря такому трюку, Dr.Solomon’овский антивирь несколько раз выходил на первые позиции в рейтингах. Соломоновцы, в свою очередь, придрались к рекламному лозунгу MacAfee. Конкуренция, понимаешь.
1998
В крышку гроба Win9x забивается последний гвоздь – появляется CIH. Уход в Ring0, перепрошивка Flash BIOS, перехват всех обращений к файловой системе, периодическое стирание всей информации на диске – вот краткий перечень достоинств WIN95.CIH :). Тогда же появляются первые полиморфные Win9x-вирусы и Strange Brew – первый Java-вирус. Компания McAfee покупает компанию Dr.Solomon. Бой окончен.
1999
В Сети обнаружен макровирус Melissa, побивший все рекорды по скорости заражения. Melissa успешно сочетает методы действия сетевого червя, рассылая себя всем людям, занесенным в адресную книгу Outlook, и макровируса – заражая Word’овские документы. Наши дни
2000
ILOVEYOU aka LoveBug. Червь, подозрительно похожий на Мелиссу. Вирусы на VBScript приобретают невиданную популярность. Liberty - первый вирус, вернее, троян под Palm OS. Мобильники на очереди!
2001
Кроме эпидемий таких вирусов, как CodeRed и SirCam, год знаменателен появлением PeachyPDF-A - червя, распространяющегося через PDF-документы. Но так как у большинства пользователей стоит Acrobat Reader, а не просто Acrobat, заражения червем немногочисленны.
2002
Если раньше вирмейкеры тратили время на изобретение различных техник защиты кода вируса или оригинальных методик заражения, то теперь акцент сместился в сторону написания совершенно нетрадиционных вирусов, вроде следующих: LFM-926 - вирус, заражающий *.swf-файлы (Shockwave Flash). Sharp-A – первый .NET вирус, написанный на C#. SQLSpider – червь на javascript, заражающий системы с запущенным MS SQL Server.
2003
Появляется несколько любопытных вирусов и червей, среди них: MBA.First – вирус, заражающий таблицы программы MapInfo. Написан вирус на встроенном языке программы – MapBasic. TrojanProxy.Win32.Zebroxy – троян, позволяющий хозяину использовать зараженную машину как прокси-сервер. Lovesan aka Lovsan aka Blaster aka Msblast aka Poza – обыкновенный червь для NT-систем, получивший широкое распространение этим летом (2003). Я сам пару дней назад прихлопнул файл msblast.exe на своей машине :).
Что нас ждет?
Да ничего хорошего. Если в конце 80-х годов, с тогдашним уровнем развития коммуникаций и малой распространенностью персональных компьютеров, вспыхивали самые настоящие эпидемии, то что же говорить о дне нынешнем, когда каждый школьник имеет доступ к компьютеру, зачастую подключенному к Сети, когда интернет превратился из технической библиотеки для специалистов в вещь, почти столь же привычную, как телевизор. Через несколько месяцев после выхода новой технологии или платформы под нее появляется вирус. Через пару дней после обнаружения уязвимости в каком-либо сетевом софте выходит простенький VBS-червь, использующий эту уязвимость. Раздали народу оружие, теперь не обижайтесь.