Главная » 2009 » Июль » 4 » Из истории компьютерных вирусов
18:26
Из истории компьютерных вирусов
Пожалуй, разговор о вредоносном ПО начнём с разъяснения некоторых терминов, которые встречаются нам повсюду:
Вирус (по англ. "virus") – вредоносная программа, которая при проникновении на компьютер заражает, портит, удаляет файлы, либо просто препятствует стабильной работе компьютера.
Троян (от англ. "trojan", который, в свою очередь, является сокращением от "trojan horses" – троянский конь) – программа, похищающая личные данные владельца (в том числе пароли кредитных карт, данные всевозможных аккаунтов и так далее) и передающая их своему создателю.
Spyware (от англ. "spy" – шпион и "software" – программное обеспечение) – программы-шпионы, занимаются сбором определённых данных на поражённом компьютере и их пересылкой создателю. Например, могут записывать нажатые клавиши (пользователь вводит пароль, а шпион его записывает). В отличие от троянских программ, Spyware занимается именно сбором нужных данных.
Adware (от англ. "advertisement" – реклама и "software") – программа, которая относится к "условно-опасным". Как правило, она ничего не портит, но назойливо демонстрирует какую-нибудь рекламу или приглашение посетить тот или иной web-сайт.

Для общего названия всех вредоносных программ придумали термин "malware", произошедший от англ. "malicious" (злоумышленный) и "software". Характерный набор признаков, по которым malware отличают от безобидных приложений, называют "сигнатурой".
Путешествие в прошлое

Вспомним имена недалекого прошлого – "Brain", "Vienna", "Cascade". Каждый, кто работал на IBM PC в конце 80-х, может вспомнить об эпидемиях этих вирусов в 1987-1989. Символы падали с экранов, ввергая пользователей по всему миру в панику. Затем компьютеры начинали играть популярную американскую песенку "Yankee Doodle", однако, в большинстве своём люди не пытались лезть в недра компьютеров и чинить "спикер" – все понимали, что дело не в "железной" составляющей, а именно во вредоносном ПО.

Вскоре вирусы научились инфицировать не только файлы – "Brain" и "Ping-pong" стали первыми вирусами, научившимися пролезать в загрузочный сектор жёсткого диска. Некоторые экземпляры из них живы и по сей день. Существовала некоторая разница во времени, с которой вирусы захватывали разные страны и набирали популярность. Например, на Западе первым стал загрузочный "Brain", файловые "Vienna" и "Cascade" подоспели позже. Восточная же Европа и Россия узнала об их появлении на год позже.

Шло время, вирусы множились. Они учились проникать в ОЗУ, файлы и сектора, убивать информацию на жестких дисках и дискетах. Настоящим открытием для всех стал "Frodo.4096", который называют первым стелс-вирусом. Файлы, пораженные "Frodo.4096" отображались пользователю как совершенно здоровые. Затем потомок вышеупомянутого вируса, "Beast.512", научился проникать в ядро DOS.

Однако со стелс-вирусами оказалось бороться довольно просто – раз очистив RAM, пользователь мог перестать волноваться за деятельность вируса. Другой подтип – само-шифрующиеся (Self Encrypting), доставляли проблем гораздо больше, так как для успешного "отлова" таких вирусов требовалось написание отдельной подпрограммы. Дальнейшее их развитие – полиморфные вирусы, научились зашифровывать себя на время, а затем проявляться только на время использования команд, заражающих файлы. После заражения файла, вирус менял свой код, оставаясь в системе.
Подробнее про полиморфизм

Первым представителем данного типа стал "Chameleon" в начале 1990, однако проблема стала серьезней чуть позже – в Апреле 1991 была зарегистрирована эпидемия "Tequila". Россия осталась не тронута этим событием, впрочем, до нас добрался "Phantom1" в 1994. Идея полиморфных вирусов стала столь популярна, что дошло до создания генераторов полиморфных вирусных кодов – первым стал MtE. Кроме того, генератор позволял получать полиморфный вирус из обычного – путем присоединения к .OBJ файлу вируса файла полиморфного кода с идентичным расширением.

Фактически, с появлением генераторов для создания полиморфного вируса не требовалось знать код оригинального вируса – достаточно было просто "скормить" его генератору, и тот делал всю работу за начинающего хакера. Впоследствии полиморфные вирусы стали крайне популярны, так как для их отлова требуются специальные математические алгоритмы восстановления исходного кода вируса, эмуляция исполняемого вирусом действий и другие сложности.

Генераторы полиморфных вирусов также совершенствовались – в середине девяностых это были MTE 0.90 (Mutation Engine), TPE (Trident Polymorphic Engine), четыре версии NED (Nuke Encryption Device) и DAME (Dark Angel's Multiple Encryptor).

Эпидемия макро-вирусов

В августе 1995 года все прогрессивное человечество во главе с Биллом Гейтсом получило в свои руки Windows 95. Одновременно с этим событием появился совершенно новый тип вируса, направленный на заражение документов Word. Первым широко распространившимся вирусом такого типа стал "Frankly". Впрочем, еще до релиза Windows 95 антивирусные компании проводили тесты вирусов, заражающих документы, однако за пределы лабораторных сетей они не вышли, и никто не предавал этому типу вирусов серьезного значения. Разумеется, к эпидемии макро-вирусов никто не был готов.

Каково же было удивление производителей программного обеспечения, когда выяснилось, что компьютер можно заразить всего лишь открыв для чтения какой-либо текст. Макро-вирус "Concept" расположился на миллионах компьютеров по всему миру, поскольку формат Word стал единым стандартом для электронных документов во множестве стран. Рассылая друг-другу корреспонденцию, пользователи лишь усиливали эпидемию, зачастую не подозревая об этом.

Затем в 1996 появился "Laroux", который получил возможность инфицировать и таблицы Excel. А с выходом Office 97 их количество только преумножилось. До сих именно макро-вирусы представляют максимум проблем для современной вирусологии.
Немного выдающихся дат

Ниже мы приведем "ленту времени", на которой отметим наиболее важные в истории вирусописательства моменты:

1960-1970 – эпоха мейнфреймов. И появление программ, получивших название "кролики", клонировавших сами себя и тем самым замедлявших работу системы. "Pervading Animal" – первый полноценный вирус для Univax 1108, впервые прописывающийся в конце исполняемых фалов, как и миллионы его коллег по сей день.

1970 – "The Creeper" становится первым вирусом, рассылающим сам себя по модемам пользователей. Первая АНТИвирусная программа "The Reeper" была создана именно для борьбы с этим вирусом.

Середина 80-х – компьютеры набирают популярность. Появляются первые "Трояны".

1981 – эпидемия загрузочного вируса "Elk Cloner" на компьютерах Apple. Вирус поражает также магнитные диски, прописываясь все в тот же загрузочный сектор.

1986 – появление первого IBM-вируса "Brain". На дискетах 360 кбайт вирус распространяется по миру моментально, мировое сообщество понимает всю опасность вирусных эпидемий. Интересно, что вирус был создан братьями из Пакистана Basit и Amjad Farooq Alvi, которые оставили внутри тела вируса короткий текст со своими именами, адресом и телефоном.

Также в этом году появляется вирус "VirDem", способный создавать неограниченное количество копий себя внутри исполняемых файлов DOS.

1987 – вирус "Vienna" препарирован Ральфом Бюргером (Ralph Burger), который затем пишет первую научно-популярную книгу по компьютерной вирусологии "Computer Viruses: a High-tech Disease".

Этот год примечателен целым набором вирусов, поражающих COM-файлы, а также повальной эпидемией "Christmas Tree", который не только заражал файлы, но и выдавал на экран пользователя замечательное изображение рождественской елки.

1988 – вирус "Jerusalem" распространяется по сотням научных учреждений по всему миру. Название он получил от места старта – Иерусалимского Университета. Этот вирус, а также "Cascade", "Stoned", "Vienna" показывают полное бессилие пользователей перед атаками – антивирусные программы есть у единиц. Более того, ряд компьютерных гуру вообще не признает существование вирусов – Питер Нортон (Peter Norton) заявляет, что "компьютерные вирусы это что-то типа аллигаторов в Нью-Йорской канализации". Пройдет совсем немного времени, и его взгляды изменятся на диаметрально противоположные – кампания Symantec под его руководством разработает культовый Norton Anti-virus.

В то же время вирус Морриса (для Unix и Sun) наносит мировым сетям убытков на $96 млн., и опасность вирусных атак получает реальное денежное воплощение.

1989 – появление собственного антивируса от IBM, а троянская программа "AIDS" после 90 загрузок ПК начинает требовать с пользователя 189 долларов по адресу P.O. Box 7, Panama. Автор программы найден и посажен в тюрьму.

1991 – всплеск активности производителей антивирусов, почуявших реальную выгоду от производства программ такого типа. Norton Anti-virus и Central Point Anti-virus – лидеры продаж, кроме этого, на рынке появляются продукты от Xtree и Fifth Generation..

Эпидемия "Dir_II".

1992 – рост числа вирусов под IBM PC, как под самую продаваемую модель на рынке ПК. Появление генератора полиморфных кодов MtE. Вирус "Michelangelo" (стартовавший 6го марта, второе имя – "March6") становится первым вирусом, от которого не спасает ни один защитный продукт на рынке, однако истерия способствует продажам антивирусного ПО.

Появляются "наборы для создания вирусов" VCL и PS-MPC.

Кроме того, год ознаменован появлением первого Windows-вируса.


1993 – вирусы дорастают до серьезного нарушения работы железной части ПК.

1994 – рост популярности CD приводит к распространению вирусов теперь и на этих носителях. Из-за невозможности "лечения" лазерных дисков тонны болванок уничтожаются.

Вирус "SrcVir" становится первым вирусом, нарушающим исходный код приложений на C и Pascal, а в России эпидемия "OneHalf".

1995 – инцендент в Microsoft – демо-диски с новой операционной системой поражены "Form"... Копии по недосмотру разосланы сотням бета-тестеров по всему миру.

ESaSS и Norman Data Defense формируют первый на рынке антивирусный альянс.

1996 – первая российская локальная эпидемия "Zhengxi" в Санкт-Петербурге. "OS2.AEP" – первый вирус для OS/2, поражающий EXE-файлы.

"Win95.Punch" – первый резидентный вирус для Win95, остающийся в оперативной памяти под видом драйвера и инфицирующий EXE-файлы, когда пользователь открывает их.

Этот год стал отправной точкой повального нашествия вирусов на продукцию Microsoft, которое не прекращается по сей день.

1997 – появляется "Linux.Bliss", первый вирус под Linux. "ShareFun" учится не только паразитировать в файлах Word и Excel, но и рассылать себя по e-mail. А в ноябре "Esperanto" добирается и до Mac OS. Появляются также первые вирусы-черви под чат IRC.

В октябре появляется F-Secure Anti-Virus, новый игрок на рынке защитных программ.

Крупный скандал – McAfee ссорятся с Dr.Solomon, обвиняя друг друга в заимствовании антивирусных идей и неправомерной рекламной политике.

1998 – эпидемия "Win32.HLLP.DeTroie", способного передавать информацию о владельце зараженного ПК в желаемую точку сети.

"Win95.HPS" и "Win95.Marburg" становятся очередными неуязвимыми новинками для антивирусного сообщества – это полиморфные вирусы под Windows32, и антивирусные программы, прекрасно умеющие ловить Dos-вирусы, ничего не могут поделать с ними.

"AccessiV" – первый макровирус под Access.

В июне – "Win95.CIH" выходит на арену. Зараза берет начало в Тайване, затем быстро распространяясь по всему миру через инфицированные сервера и игры. Вирус имел возможность убивать Flash BIOS, тем самым, нанося непоправимый вред материнским платам…

Symantec и IBM также соединяют силы на рынке антивирусного ПО.
В заключение

По сей день развитие компьютерных технологий порождает новые средства поражения ПК пользователей. Несмотря на то, что антивирусы пришли почти в каждый дом (а зачастую, на одном ПК мирно уживаются несколько средств защиты, например антивирус и сетевой экран), зачастую их не хватает, чтобы защитить информацию пользователей.

Поэтому лучшая защита вашего компьютера – не лечить вирусы, а не допустить их проникновения в дом – пользоваться лицензионным ПО и не заниматься "серфингом" в сомнительных местах всемирной информационной сети.

Просмотров: 1073 | Добавил: Виктор | Теги: SpyWare, троян, вирус | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]