3. Хто і чому пише віруси?

4. Історія комп'ютерних вірусів – від давнини до наших днів

4.1. Трохи археології

4.2. Початок шляху

4.5. За межі DOS

4.6. Епідемія макро-вірусу

4.7. Хронологія подій

5.Класифікація комп'ютерних вірусів

6. Перспективи: що буде завтра та післязавтра

6.1. Що буде завтра?

6.2. Що буде післязавтра?

Вступ

Комп'ютерні віруси Що це таке і як із цим боротися? На цю тему написані десятки книг та сотні статей, боротьбою з комп'ютерними вірусами професійно займаються сотні (або тисячі) спеціалістів у десятках (а може, сотнях) компаній. Здавалося б, ця тема не настільки складна і актуальна, щоб бути об'єктом такої пильної уваги. Однак, це не так. Комп'ютерні віруси були і залишаються однією з найпоширеніших причин втрати інформації. Відомі випадки, коли віруси блокували роботу організацій та підприємств. Більше того, кілька років тому був зафіксований випадок, коли комп'ютерний вірус спричинив загибель людини - в одному зі шпиталів Нідерландів пацієнт отримав летальну дозу морфію через те, що комп'ютер був заражений вірусом і видавав неправильну інформацію.

Незважаючи на величезні зусилля антивірусних фірм, що конкурують між собою, збитки, які приносять комп'ютерні віруси, не падають і досягають астрономічних величин в сотні мільйонів доларів щорічно. Ці оцінки явно занижені, оскільки відомо лише про частину подібних інцидентів.

При цьому слід мати на увазі, що антивірусні програми та "залізо" не дають повної гарантії захисту від вірусів. Приблизно так само погано справи на іншому боці тандему "людина-комп'ютер". Як користувачі, так і професіонали-програмісти часто не мають навіть навичок "самооборони", а їх уявлення про вірус часом є настільки поверхневими, що краще їх (уявлень) і не було.

Дещо краще справи на Заході, де і літератури більше (видається аж три щомісячні журнали, присвячені вірусам і захисту від них), і менших вірусів (оскільки "ліві" китайські компакт-диски особливо на ринок не надходять), і антивірусні компанії ведуть себе активніше (проводячи, наприклад, спеціальні конференції та семінари для фахівців та користувачів).

У нас же, на жаль, це не зовсім так. І одним із найменш "опрацьованих" пунктів є література, присвячена проблемам боротьби з вірусами. На сьогоднішній день друкована продукція антивірусного штибу, що є на прилавках магазинів, або давно застаріла, або написана непрофесіоналами, або авторами типу Хижняка, що набагато гірше.

Досить неприємним моментом є також випереджальна робота Російського комп'ютерного "андеграунду": лише за два роки було випущено більше десятка електронних номерів журналу вірусописачів "Infected Voice", з'явилося кілька станцій BBS та WWW-сторінок, орієнтовані на поширення вірусів та супутньої інформації.

Все це і послужило поштовхом до того, щоб зібрати докупи весь матеріал, який накопичився у мене за вісім років професійної роботи з комп'ютерними вірусами, їх аналізу та розробки методів виявлення та лікування.

Варто мені щось проковтнути, як тут же

відбувається щось цікаве. Подивимося, що

буде цього разу!

Льюїс Керрол. "Аліса в країні чудес"

1. Феномен комп'ютерних вірусів

20-те століття безсумнівно одна із поворотних етапів у житті людства. Як сказав один із письменників-фантастів, "людство помчало вперед, як підстебнутий кінь", і, визначивши себе як технократичну цивілізацію, всі свої сили наші діди, батьки і ми самі кинули на розвиток техніки в різних її образах - від медичних приладів до космічних апаратів, від сільськогосподарських комбайнів до атомних електростанцій, від транспорту до систем зв'язку, - список нескінченний, оскільки дуже складно привести сферу діяльності людства, не порушену розвитком техніки. // Що було причиною такого широкомасштабного і стрімкого розвитку - військове протистояння політичних систем, еволюційне "поумнення" людини або її патологічна лінь (винайти колесо, щоб не тягати мамонта на плечах) - поки неясно. Залишимо цю загадку для істориків наступних століть.

Людство захоплене технікою і вже навряд чи відмовиться від зручностей, що надаються нею (мало хто забажає поміняти сучасний автомобіль на гужову тягу). Вже дуже багатьма геть-чисто забута звичайна пошта з її конвертами і листоношками - замість неї прийшла електронна пошта з її приголомшливою швидкістю доставки (до декількох хвилин незалежно від відстані) і дуже високою надійністю. Не уявляю собі існування сучасного суспільства без комп'ютера, здатного багаторазово підвищити продуктивність праці та доставити будь-яку мислиму інформацію (щось на зразок принципу "піди туди, не знаю куди, знайди те, не знаю що"). Вже не дивуємось мобільному телефону на вулиці – я й сам до нього звик лише за один день.

20-е століття також є одним із найсуперечливіших, що принесли історії людства чимало парадоксів, основний з яких, як на мене, є ставлення людини до природи. Переставши жити в дружбі з природою, перемігши її і довівши собі, що легко може її знищити, людина раптом зрозуміла, що загине і сама, - і змінилися ролі в драмі "Людина-Природа". Раніше людина захищала себе від природи, тепер вона все більше і більше захищає природу від самого себе. Іншим феноменом 20 століття є ставлення людини до релігії. Ставши технократом, людина не перестала вірити в Бога (або його аналогів). Більше того, з'явилися та зміцніли інші релігії.

До основних технічних феноменів 20-го століття відносяться, на мій погляд, поява людини в космосі, утилізація атомної енергії речовини, грандіозний прогрес систем зв'язку та передачі інформації та, звичайно ж, приголомшливий розвиток мікро- та макро-комп'ютерів. І коли з'являється згадка про феномен комп'ютерів, так відразу виникає ще один феномен кінця нашого століття - феномен комп'ютерних вірусів.

Можливо, багатьом здасться кумедним чи легковажним те, що факт виникнення комп'ютерних вірусів поставлений в один ряд із дослідженнями космосу, атомного ядра та розвитком електроніки. Можливо, що я неправий у своїх міркуваннях, проте дайте можливість порозумітися.

По-перше, комп'ютерні віруси - це серйозна і досить помітна проблема, на яку ніхто не очікував. Навіть всевидючі фантасти-футурологи минулого не говорять про це нічого (наскільки це мені відомо). У їх численних творах з тією чи іншою точністю передбачені практично всі технічні досягнення сьогодення (згадаємо, наприклад, Уеллса з його ідеєю польоту з гармати на Місяць та марсіан, озброєних якоюсь подобою лазера). Якщо ж говорити про обчислювальні машини, то ця тема вилизана досі - проте немає жодного пророцтва, присвяченого комп'ютерним вірусам. Тема вірусу у творах письменників виникла після того, як перший реальний вірус вразив свій перший комп'ютер.

По-друге, комп'ютерні віруси – це перша цілком вдала спроба створити життя. Спроба вдала, але не можна сказати, що корисна - сучасні комп'ютерні "мікроорганізми" найбільше нагадують комах-шкідників, які приносять лише проблеми та неприємності.

Але все-таки - життя, оскільки комп'ютерним вірусам притаманні всі атрибути живого - здатність до розмноження, пристосовності до середовища, руху тощо. (Звісно, ​​лише не більше комп'ютерів - як і вищесказане правильно для біологічних вірусів у межах клітин організму). Більш того, існують "двостатеві" віруси (див. вірус RMNS), а прикладом "багатоклітинності" можуть служити, наприклад, макро-віруси, що складаються з декількох незалежних макросів.

І по-третє, тема вірусів стоїть кілька особняком від решти завдань, вирішуваних за допомогою комп'ютера (забудемо про такі специфічні завдання, як злом захисту від копіювання та криптографію). Практично всі проблеми, які вирішуються за допомогою обчислювальної техніки, є продовженням цілеспрямованої боротьби людини з навколишньою природою. Природа ставить людині довге нелінійне диференціальне рівняння в тривимірному просторі - людина набиває комп'ютер процесорами, пам'яттю, обвішує курними проводами, багато курить і в результаті вирішує це рівняння (або перебуває у стані впевненості, що вирішив). Природа дає людині шматок дроту з цілком певними характеристиками - людина вигадує алгоритми передачі якомога більшого обсягу інформації з цього дроту, мучить його модуляціями, стискає байти в біти і терпляче чекає надпровідності при кімнатній температурі. Природа (в особі фірми IBM) дає людині чергове обмеження у вигляді чергової версії IBM PC - і людина не спить ночами, знову курить, оптимізуючи коди чергової бази даних, щоб вмістити її в надані йому ресурси оперативної та дискової пам'яті. І так далі.

А ось боротьба з комп'ютерними вірусами є боротьбою людини з людським розумом (у певному сенсі теж проявом природних сил, хоча з цього приводу є більше однієї думки). Ця боротьба є боротьбою розумів, оскільки завдання, що стоять перед вірусологами, ставлять такі самі люди. Вони вигадують новий вірус – а нам із ним розбиратися. Потім вони вигадують вірус, у якому розібратися дуже важко – але ми з ним розуміємо. І зараз напевно десь сидить за комп'ютером хлопець, який не дурніший за мене, який страждає над черговим монстром, в якому мені доведеться розбиратися цілий тиждень, а потім ще один тиждень налагоджувати алгоритм антивірусу. До речі, що не еволюція живих організмів?

Отже, поява комп'ютерних вірусів - один з найцікавіших моментів в історії технічного прогресу 20-го століття, і настав момент закінчити з філософськими міркуваннями і перейти до конкретних питань. І питання визначення поняття " комп'ютерний вірус " стоятиме першому місці.

То що таке комп'ютерний вірус?

На горі лежить дискета

У неї зіпсований бут

Через дірочку у конверті

Її віруси гризуть

(Народний фольклор)

2. Що таке комп'ютерний вірус

Пояснень, що таке вірус, можна навести кілька. Найпростіше - побутове пояснення для домогосподарки, яка жодного разу в житті комп'ютера не бачила, але знає, що Він є і що в ньому водяться віруси. Таке пояснення дається досить легко, чого не можна сказати про друге пояснення, розраховане на спеціаліста в галузі програм. Мені поки неможливо дати точне визначення комп'ютерного вірусу і провести чітку грань між програмами за принципом " вірус - невірус " .

2.1. Пояснення для домогосподарки

Пояснення буде наведено на прикладі клерка, який працює виключно з паперами. Ідея такого пояснення належить Д.Н.Лозинському, одному з найвідоміших "лікарів".

Уявімо акуратного клерка, який приходить на роботу до себе в контору і щодня виявляє у себе на столі стос аркушів паперу зі списком завдань, які він повинен виконати за робочий день. Клерк бере верхній лист, читає вказівки начальства, пунктуально їх виконує, викидає "відпрацьований" лист у відро для сміття і переходить до наступного листа. Припустимо, що якийсь зловмисник потай прокрадається в контору і підкладає в стопку паперів лист, на якому написано:

"Переписати цей лист двічі і покласти копії в стопку завдань сусідів"

Що зробить клерк? Двічі перепише аркуш, покладе його сусідам на стіл, знищить оригінал і перейде до виконання другого аркуша зі стоса, тобто. продовжить виконувати свою справжню роботу. Що зроблять сусіди, будучи такими ж акуратними клерками, виявивши нове завдання? Те саме, що й перший: перепишуть його двічі і роздадуть іншим клеркам. У конторі блукають уже чотири копії первісного документа, які й надалі копіюватимуться і лунатимуть на інші столи.

Приблизно так само працює і комп'ютерний вірус, тільки стосами паперів-вказівок є програми, а клерком – комп'ютер. Як і клерк, комп'ютер акуратно виконує всі команди програми (аркуші завдань), починаючи з першої. Якщо ж перша команда звучить як "скопіюй мене в дві інші програми", то комп'ютер так і зробить, - і команда-вірус потрапляє в дві інші програми. Коли комп'ютер перейде до виконання інших "заражених" програм, вірус у такий же спосіб розходитися все далі і далі по всьому комп'ютеру.

У наведеному вище прикладі про клерка та його контору лист-вірус не перевіряє, чи заражена чергова папка завдань чи ні. В цьому випадку до кінця робочого дня контора буде завалена такими копіями, а клерки тільки і будуть що переписувати один і той же текст і роздавати його сусідам - ​​адже перший клерк зробить дві копії, чергові жертви вірусу - вже чотири, потім 8, 16, 32 , 64 тощо, тобто. кількість копій щоразу збільшуватиметься вдвічі.

Якщо клерк на переписування одного аркуша витрачає 30 секунд і ще 30 секунд на роздачу копій, то через годину по конторі "бродитиме" понад 1.000.000.000.000.000.000 копій вірусу! Швидше за все, звичайно ж, не вистачить паперу, і поширення вірусу буде зупинено з такої банальної причини.

Хоч як це смішно (хоча учасникам цього інциденту було зовсім не смішно), саме такий випадок стався у 1988 році в Америці – кілька глобальних мереж передачі інформації виявилися переповненими копіями мережного вірусу (вірус Морріса), який розсилав себе від комп'ютера до комп'ютера. Тому "правильні" віруси роблять так:

"Переписати цей лист два рази і покласти копії в стопку завдань сусідів, якщо вони ще не мають цього листа".

Проблема вирішена - "перенаселення" немає, але кожна стопка містить копії вірусу, при цьому клерки ще встигають справлятися і зі звичайною роботою.

"А як же знищення даних?" - Запитає добре ерудована домогосподарка. Все дуже просто – достатньо дописати на лист приблизно таке:

"1. Переписати цей аркуш двічі і покласти копії в стопку завдань сусідів, якщо вони ще немає цього аркуша.

2. Подивитися на календар - якщо сьогодні п'ятниця, що потрапила на 13-те число, викинути всі документи в кошик для сміття"

Приблизно це виконує добре відомий вірус "Jerusalem" (інша назва - "Time").

До речі, на прикладі клерка дуже добре видно, чому здебільшого не можна точно визначити, звідки в комп'ютері з'явився вірус. Всі клерки мають однакові (з точністю до почерку) КОПІЇ, але оригінал з почерком зловмисника вже давно в кошику!

Ось таке просте пояснення роботи вірусу. Плюс до нього хотілося б привести дві аксіоми, які, як це не дивно, не всім є очевидними:

По-перше, віруси не виникають самі собою - їх створюють дуже злі та погані програмісти-хакери і розсилають потім через мережу передачі даних або підкидають на комп'ютери знайомих. Вірус не може сам собою з'явитися на Вашому комп'ютері - або його підсунули на дискетах або навіть на компакт-диску, або Ви його випадково завантажили з комп'ютерної мережі передачі даних, або жив у Вас в комп'ютері з самого початку, або (що найжахливіше) програміст-хакер живе у Вас у домі.

По-друге: комп'ютерні віруси заражають лише комп'ютер і нічого більше, тому не треба боятися – через клавіатуру та мишу вони не передаються.

2.2. Спроба дати "нормальне" визначення

Перші дослідження штучних конструкцій, що саморозмножуються, проводилися в середині нинішнього століття. У роботах фон Неймана, Вінера та інших авторів дано визначення та проведено математичний аналіз кінцевих автоматів, у тому числі й самовідтворюваних. Термін "комп'ютерний вірус" виник пізніше - офіційно вважається, що його вперше вжив співробітник Лехайського університету (США) Ф.Коен в 1984 р. на 7-й конференції з безпеки інформації, що проходила в США. З того часу минуло чимало часу, гострота проблеми вірусів багаторазово зросла, проте строгого визначення, що таке комп'ютерний вірус, так і не дано, незважаючи на те, що спроби дати таке визначення робилися неодноразово.

Основна труднощі, що виникає при спробах дати строго визначення вірусу, полягає в тому, що практично всі відмінні риси вірусу (впровадження в інші об'єкти, скритність, потенційна небезпека та ін.) або притаманні іншим програмам, які жодним чином вірусами не є, або існують віруси , які містять зазначених вище відмінних рис (крім можливості поширення).

Наприклад, якщо як відмітна характеристика вірусу приймається скритність, то легко навести приклад вірусу, що не приховує свого поширення. Такий вірус перед зараженням будь-якого файлу виводить повідомлення, що в комп'ютері знаходиться вірус і цей вірус готовий вразити черговий файл, потім виводить ім'я цього файлу і запитує дозвіл користувача на впровадження вірусу в файл.

Якщо як відмітна риса вірусу наводиться можливість знищення ним програм і даних на дисках, то як контрприклад до цієї відмінної риси можна привести десятки абсолютно нешкідливих вірусів, які, крім свого поширення, нічим більше не відрізняються.

Основна ж особливість комп'ютерних вірусів - можливість їх мимовільного запровадження різні об'єкти операційної системи - властива багатьом програмам, які є вірусами. Наприклад, найпоширеніша операційна система MS-DOS має все необхідне, щоб мимоволі встановлюватися на не-DOS"івські диски. Для цього достатньо на завантажувальний флоппі-диск, що містить DOS, записати файл AUTOEXEC.BAT наступного змісту:

Модифікована таким чином DOS сама стане справжнісіньким вірусом з погляду практично будь-якого існуючого визначення комп'ютерного вірусу.

Таким чином, першою з причин, що не дозволяють дати точне визначення вірусу, є неможливість однозначно виділити відмітні ознаки, які б відповідали тільки вірусам.

Другою ж складністю, що виникає при формулюванні визначення комп'ютерного вірусу, є те, що дане визначення має бути прив'язане до конкретної операційної системи, в якій цей вірус поширюється. Наприклад, теоретично можуть існувати операційні системи, у яких наявність вірусу просто неможлива. Таким прикладом може бути система, де заборонено створювати та змінювати області виконуваного коду, тобто. заборонено змінювати об'єкти, які або вже виконуються, або можуть виконуватись системою за будь-яких умов.

Тому можна сформулювати лише обов'язкове умова у тому, щоб деяка послідовність виконуваного коду була вірусом.

ОБОВ'ЯЗКОВІ (НЕОБХІДНІ) ВЛАСТИВОСТІ КОМП'ЮТЕРНОГО ВІРУСУ є можливість створювати свої дублікати (не обов'язково збігаються з оригіналом) і впроваджувати їх в обчислювальні мережі та/або файли, системні області комп'ютера та інші об'єкти, що виконуються. При цьому дублікати зберігають здатність до подальшого розповсюдження.

Слід зазначити, що ця умова не є достатньою (тобто остаточною), оскільки наслідуючи вищенаведений приклад операційна система MS-DOS задовольняє цій властивості, але вірусом, швидше за все, не є.

Ось чому точного визначення вірусу досі немає, і навряд чи воно з'явиться в найближчому майбутньому. Отже, немає точно визначеного закону, за яким "хороші" файли можна відрізнити від "вірусів". Більше того, іноді навіть для конкретного файлу досить складно визначити, є вірус чи ні.

Ось два приклади: вірус KOH та програма ALREADY.COM.

Приклад 1. Є вірус? утиліта? під назвою KOH. Ця програма шифрує/розшифровує диски лише на запит користувача. Виконана вона у вигляді завантажувальної дискети – boot-cектор містить bootstrap loader KOH, а десь в інших секторах лежить основний код KOH. При завантаженні з дискети KOH ставить користувачеві питання типу: "А можна, я сам себе встановлю на вінчестер?" (якщо він вже на вінчестері, то запитує те саме про дискету). При ствердній відповіді KOH переносить себе з диска на диск.

В результаті KOH переносить (копіює) сам себе з дискети на вінчестер, а з вінчестера на дискети, але з дозволу господаря комп'ютера.

Потім KOH виводить текст про свої hot-keys ("гарячі" клавіші), за якими він шифрує/розшифровує диски - запитує пароль, читає сектори, шифрує їх і робить недоступними, якщо не знати пароля. Є у нього, до речі, ключ деінсталяції, за яким він сам себе з диска прибирає (розшифрувавши, звичайно, все, що було зашифровано).

Отже, KOH - це певна утиліта захисту від несанкціонованого доступу. Додана до неї, щоправда, одна особливість: ця утиліта сама себе може копіювати з диска на диск (з дозволу користувача). Чи це вірус?.. Так чи ні? Скоріш за все ні...

І все б було нічого, і ніхто б цю утиліту на ім'я KOH вірусом не обізвав, але тільки bootstrap loader у цього KOH практично на 100% збігається з досить "популярним" вірусом "Havoc" ("StealthBoot")... "і все – і кришка святу”. Вірус! І офіційна назва є – "StealthBoot.KOH".

Приклад 2. Є програма ALREADY.COM, яка сама себе копіює в різні підкаталоги на диску залежно від системної дати. Вірус? Звичайно так - типовий вірус-хробак, що сам себе розповзає по дисках (включаючи мережеві). Так Так!

"Ви грали - але не вгадали жодної літери!" Не вірус це, як виявилося, а компонента від якогось софтвера. Однак якщо цей файл видерти з цього софтверу, то поводиться він як типовий вірус.

Разом було наведено два живі приклади:

1. не-вірус – вірус

2. вірус – не-вірус

Уважний читач, який не проти посперечатися, може заперечити:

Стоп. Назва "віруси" по відношенню до програм прийшло з біології саме за ознакою саморозмноження. КОH цій умові відповідає, отже це є вірус (або комплекс, що включає вірусний компонент).

У такому разі DOS є вірусом (або комплексом, який включає вірусний компонент), оскільки в ньому є команда SYS та COPY. А якщо на диску є файл AUTOEXEC.BAT, наведений декількома абзацами вище, то для розмноження не потрібно навіть втручання користувача. Плюс до цього: якщо прийняти за необхідну і достатню ознаку вірусу можливість саморозмноження, то будь-яка програма, яка має інсталятор, є вірусом. Отже, аргумент не проходить.

Що, якщо під вірусом розуміти не просто "код, що саморозмножується", але "код, що саморозмножується, не виконує корисних дій або навіть завдає шкоди, без залучення/інформування користувача"...

Вірус KOH є програмою, що шифрує диски за паролем, що вводиться користувачем. _Всі_ свої дії KOH коментує на екрані та запитує дозволи користувача. Плюс до того має деінсталятор – розшифровує диски та видаляє з них свій код. Проте все одно – вірус!

Якщо у випадку з ALREADY.COM залучити суб'єктивні критерії (корисна/не корисна, входить до комплекту/самостійна тощо), то, можливо, це не варто називати вірусом/черв'яком. Але чи варто залучати ці суб'єктивні критерії?

А які можуть бути об'єктивні критерії? Саморозмноження, скритність та деструктивні властивості? Але ж на кожен об'єктивний критерій можна навести два контрприклади - a) приклад вірусу, що не підходить під критерій, і b) приклад не-вірусу, що підходить під критерій:

Саморозмноження:

1. Intended-віруси, що не вміють розмножуватися через велику кількість помилок, або розмножуються тільки за дуже обмежених умов.

2. MS-DOS та варіації на тему SYS+COPY.

Прихованість:

1. Віруси "KOH", "VirDem", "Macro.Word.Polite" та деякі інші інформують користувача про свою присутність та розмноження.

2. Скільки приблизно (з точністю до десятка) драйверів сидить під стандартною Windows95? Приховано сидить, між іншим.

Деструктивні властивості:

1. Безневинні віруси, типу "Yankee", які чудово живуть у DOS, Windows 3.x, Win95, NT і нічого нікуди не гинуть.

2. Старі версії Norton Disk Doctor на диску з довгими іменами файлів. Запуск NDD у цьому випадку перетворює Disk Doctor на Disk Destroyer.

Тому тема "нормального" визначення комп'ютерного вірусу залишається відкритою. Є лише кілька точних віх: наприклад, файл COMMAND.COM вірусом не є, а сумнозвісна програма з текстом "Dis is one half" є стовідсотковим вірусом ("OneHalf"). Все, що лежить між ними, може виявитися вірусом, так і немає.

Не гарячкуйте, Шура, ви ще не відсиділи за минулу справу.

із Жванецького

3. Хто і чому пише віруси?

Сам я написанням вірусів не займався, з їхніми авторами перетинаюсь досить рідко, і, отже, мої міркування щодо цього можуть бути лише суто теоретичними.

То хто ж пише віруси? На мій погляд, основну їх масу створюють студенти та школярі, які щойно вивчили мову асемблера, хочуть спробувати свої сили, але не можуть знайти для них більш гідного застосування. Відрадний той факт, що значна частина таких вірусів їх авторами часто не розповсюджується, і віруси через деякий час "помирають" разом із дискетами, на яких зберігаються. Такі віруси пишуться швидше за все лише для самоствердження.

Другу групу складають також молоді люди (частіше – студенти), які ще не повністю опанували мистецтво програмування, але вже вирішили присвятити себе написанню та розповсюдженню вірусів. Єдина причина, що штовхає таких людей на написання вірусів, це комплекс неповноцінності, який виявляє себе в комп'ютерному хуліганстві.

З-під пера подібних "умільців" часто виходять чи численні модифікації "класичних" вірусів, або віруси вкрай примітивні і з великою кількістю помилок (такі віруси я називаю "студентськими"). Значно полегшилося життя подібних вірусописачів після виходу конструкторів вірусів, за допомогою яких можна створювати нові віруси навіть за мінімальних знань про операційну систему та асемблера, або навіть взагалі не маючи про це жодного уявлення. Їхнє життя стало ще легшим після появи макро-вірусів, оскільки замість складної мови Ассемблер для написання макро-вірусів достатньо вивчити досить простий Бейсік.

Ставши старшим і досвідченим, але так і не подорослішавши, багато хто з подібних вірусописувачів потрапляє в третю, найбільш небезпечну групу, яка створює і запускає у світ "професійні" віруси. Ці дуже ретельно продумані та налагоджені програми створюються професійними, часто дуже талановитими програмістами. Такі віруси нерідко використовують досить оригінальні алгоритми, недокументовані та мало кому відомі способи проникнення у системні області даних. "Професійні" віруси часто виконані за технологією "стелс" і (або) є поліморфік-вірусами, заражають не тільки файли, а й завантажувальні сектори дисків, а іноді файли Windows і OS/2.

Досить значну частину в моїй колекції займають "родини" - групи з кількох (іноді більше десятка) вірусів. Представників кожної з таких груп можна виділити за однією відмінною рисою, яка називається "почерком": у кількох різних вірусах зустрічаються одні й самі алгоритми і прийоми програмування. Часто всі або майже всі представники сімейства належать одному автору, і іноді досить смішно стежити за "становленням пера" подібного художника - від майже "студентських" спроб створити хоч що-небудь, схоже на вірус, до цілком працездатної реалізації "професійного" вірусу.

На мою думку, причина, яка змушує таких людей спрямовувати свої здібності на таку безглузду роботу все та ж - комплекс неповноцінності, що іноді поєднується з неврівноваженою психікою. Показовий той факт, що подібне вірусопис часто поєднується з іншими згубними уподобаннями. Так, навесні 1997 року один з найбільш відомих у світі авторів вірусів на прізвисько Talon (Австралія) помер у віці 21 року від летальної дози героїну.

Дещо окремо стоїть четверта група авторів вірусів - "дослідники". Ця група складається з досить кмітливих програмістів, які займаються винаходом нових методів зараження, приховування, протидії антивірусам і т.д. Вони ж вигадують методи впровадження в нові операційні системи, архітектори вірусів і поліморфік-генератори. Ці програмісти пишуть віруси не заради власне вірусів, а радше заради "дослідження" потенціалів "комп'ютерної фауни".

Часто автори подібних вірусів не запускають своїх творів у життя, проте дуже активно пропагують свої ідеї через численні електронні видання, присвячені створенню вірусів. При цьому небезпека від таких "дослідних" вірусів не падає - потрапивши до рук "професіоналів" із третьої групи, нові ідеї дуже швидко реалізуються у нових вірусах.

Ставлення до авторів вірусів у мене потрійне. По-перше, всі, хто пише віруси або сприяє їх поширенню, є "годувальниками" антивірусної індустрії, річний оборот якої я оцінюю як мінімум дві сотні мільйонів доларів або навіть більше (при цьому не варто забувати, що збитки від вірусів становлять кілька сотень мільйонів доларів щорічно та в рази перевищують витрати на антивірусні програми). Якщо загальна кількість вірусів до кінця 1997 року, швидше за все, досягне 20.000, то неважко підрахувати, що дохід антивірусних фірм від кожного вірусу щорічно становить мінімум 10 тисяч доларів. Звичайно, авторам вірусів не слід сподіватися на матеріальну винагороду: як показує практика, їхня праця була і залишається безкоштовною. До того ж сьогодні пропозиція (нові віруси) цілком задовольняє попит (можливості антивірусних фірм з обробки нових вірусів).

По-друге, мені шкода авторів вірусів, особливо "професіоналів". Адже для того, щоб написати подібний вірус, необхідно: a) витратити досить багато сил і часу, причому набагато більше, ніж потрібно для того, щоб розібратися у вірусі, занести його в базу даних або навіть написати спеціальний антивірус; і б) не мати іншого, привабливішого, заняття. Отже, вірусописачі - "професіонали" досить працездатні і водночас мають від неробства - ситуація, як на мене, дуже сумна.

Тяжка і непоказна

Життя простого програміста

(Народний фольклор)

Немає межі нашому інтегралу.

(Народна мудрість)

4. Історія комп'ютерних вірусів – від давнини до наших днів

4.1. Трохи археології

Думок щодо дати народження першого комп'ютерного вірусу дуже багато. Мені відомо тільки одне: на машині Беббіджа його не було, а на Univac 1108 і IBM-360/370 вони вже були ("Pervading Animal" і "Christmas tree"). Таким чином, перший вірус з'явився десь на початку 70-х або навіть наприкінці 60-х років, хоча "вірусом" його ніхто ще не називав. На цьому розмову про викопні копалини пропоную вважати завершеною.

4.2. Початок шляху

Поговоримо про новітню історію: "Brain", "Vienna", "Cascade" і далі. Ті, хто почав працювати на IBM-PC аж у середині 80-х, ще не забули повальної епідемії цих вірусів у 1987-89 роках. Букви сипалися на екранах, а натовпи користувачів мчали до фахівців з ремонту дисплеїв (зараз все навпаки: вінчестер здох від старості, а валять на невідомий передовій науці вірус). Потім комп'ютер заграв чужоземний гімн "Yankee Doodle", але лагодити динаміки вже ніхто не кинувся - дуже швидко розібралися, що це - вірус, та не один, а цілий десяток.

Так віруси почали заражати файли. Вірус "Brain" і кулька вірусу "Ping-pong", що скаче по екрану, ознаменували перемогу вірусу і над Boot-сектором. Все це дуже не подобалося користувачам IBM-PC, і з'явилися протиотрути. Першим антивірусом, що мені трапився, був вітчизняний ANTI-KOT: це легендарний Олег Котик випустив у світ перші версії своєї програми, яка знищувала цілих 4 (чотири) віруси (американський SCAN з'явився у нас в країні дещо пізніше). До речі, всім, хто досі зберіг копію цього антивірусу, пропоную негайно її стерти (нехай простить мене Олег Котик!) як програму шкідливу і нічого, крім витрати зайвих нервів і непотрібних телефонних дзвінків, що не приносить. На жаль, ANTI-KOT визначає вірус "Time" ("Єрусалимський") по комбінації "MsDos" наприкінці файлу, а деякі інші антивіруси ці самі літери акуратно причіплюють до всіх файлів з розширенням COM або EXE.

Слід звернути увагу, що історії завоювання вірусами Росії та Заходу різняться між собою. Першим вірусом, що стрімко поширився на Заході, був завантажувальний вірус "Brain", і тільки потім з'явилися файлові віруси "Vienna" і "Cascade". У Росії навпаки, спочатку з'явилися файлові віруси, а роком пізніше - завантажувальні.

Час минав, віруси плодилися. Всі вони були чимось схожі один на одного, лізли в пам'ять, чіплялися до файлів та секторів, періодично вбивали файли, дискети та вінчестери. Одним із перших "одкровень" став вірус "Frodo.4096" - перший з відомих мені файлових вірусів-невидимок (стелс). Цей вірус перехоплював INT 21h і при зверненні через DOS до заражених файлів змінював інформацію таким чином, що файл з'являвся перед користувачем у незараженому вигляді. Але це була лише надбудова вірусу над MS-DOS. Не минуло й року, як електронні таргани полізли всередину ядра DOS (вірус-невидимка "Beast.512"). Ідея невидимості продовжувала приносити свої плоди і далі: влітку 1991 року пронісся, косячи комп'ютери як бубонна чума, вірус "Dir_II". "Так-a-a!" сказали всі, хто копався в ньому.

Але боротися з невидимками було досить просто: почистив RAM - і будь спокійний, шукай гада та лікуй його на здоров'я. Більше клопоту завдавали самошифруючі віруси, які іноді зустрічалися в чергових надходженнях до колекції. Адже для їхньої ідентифікації та видалення доводилося писати спеціальні підпрограми, налагоджувати їх. Але на це ніхто тоді не звертав уваги, поки... Поки не з'явилися віруси нового покоління, ті, що звуться поліморфік-віруси. Ці віруси використовують інший підхід до невидимості: вони шифруються (у більшості випадків), а розшифровувачі використовують команди, які можуть не повторюватися при зараженні різних файлів.

4.3. Поліморфізм – мутація вірусів

Перший поліморфік-вірус з'явився на початку 90-х кодів - "Chameleon", але по-справжньому серйозною проблема поліморфік-вірусів стала лише через рік - у квітні 1991-го, коли практично весь світ був охоплений епідемією поліморфік-вірусу "Tequila" ( наскільки мені відомо, ця епідемія практично не торкнулася Росії, а перша Російська епідемія, викликана поліморфік-вірусом, сталася аж через три роки - через рік 1994, це був вірус "Phantom1").

Популярність ідеї самошифруючих поліморфік-вірусів вилилася в появу генераторів поліморфік-коду - на початку 1992 з'являється знаменитий вірус "Dedicated", що базується на першому відомому поліморфік-генераторі MtE і відкрив серію MtE-вірусів, а через досить короткий час з'являється і сам . Представляє він з себе об'єктний модуль (OBJ-файл), і тепер для того, щоб із найзвичайнішого нешифрованого вірусу отримати поліморфік-мутанта достатньо лише об'єднати їх об'єктні модулі - OBJ-файл поліморфік-генератора та OBJ-файлом вірусу. Тепер автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не доведеться корпіти над кодами власного зашифровщика. За бажання він може підключити до свого вірусу поліморфік-генератор та викликати його з кодів вірусу.

На щастя, перший MtE-вірус не потрапив у "живу природу" і не викликав епідемії, а розробники антивірусних програм мали деякий запас часу для підготовки до відображення нової напасті.

Всього через рік виробництво поліморфік-вірусів стає вже "ремеслом", і в 1993 відбувся їх "обвал". У вірусах, що надходять в колекцію, питома вага поліморфік-вірусів, що самошифруються, стає все більше і більше. Складається враження, що одним з основних напрямків у важкій справі створення вірусів стає розробка та налагодження поліморфік-механізму, а конкуренція серед авторів вірусів зводиться не до того, хто з них напише найкрутіший вірус, а чий поліморфік-механізм виявиться крутішим за всіх.

Ось далеко не повний список тих з них, які можна назвати повністю поліморфічними (кінець 1993):

Bootache, CivilWar (чотири версії), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Moctezuma (дві версії), MVF, Necros, Nukehard, PcFly (три версії), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (вісім версій).

Для виявлення цих вірусів доводиться використовувати спеціальні методи, яких можна віднести емуляцію виконання коду вірусу, математичні алгоритми відновлення ділянок коду та даних у вірусі тощо. До не-відсотковим поліморфікам (тобто які шифрують себе, але в розшифровувачі вірусу завжди існують постійні байти) можна віднести ще десяток нових вірусів:

Basilisk, Daemaen, Invisible (дві версії), Mirea (кілька версій), Rasek (три версії), Sarov, Scoundrel, Seat, Silly, Simulation.

Однак і вони вимагають розшифровки коду для їх детектування та відновлення уражених об'єктів, оскільки довжина постійного коду розшифровувачі цих вірусів занадто мала.

Паралельно з поліморфік-русами розвиваються поліморфік-генератори. З'являється кілька нових, що використовують складніші методи генерації поліморфік-коду, вони поширюються станціями BBS у вигляді архівів, що містять об'єктні модулі, документацію та приклади використання. Наприкінці 1993 року було відомо вже сім генераторів поліморфік-коду. Це:

MTE 0.90 (Mutation Engine), чотири різні версії TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel"s Multiple Encryptor)

З тих пір нові поліморфні генератори з'являлися по кілька штук на рік, і їх повний список навряд чи має сенс.

4.4. Автоматизація виробництва та конструктори вірусів

Лінь – рушійна сила прогресу. Ця народна мудрість не потребує коментарів. Але тільки в середині 1992 прогрес у вигляді автоматизації виробництва дійшов і до вірусів. П'ятого липня 1992 року оголошено до випуску перший конструктор вірусного коду для IBM-PC сумісних комп'ютерів - пакет VCL (Virus Creation Laboratory) версії 1.00.

Цей конструктор дозволяє генерувати вихідні та добре прокоментовані тексти вірусів (файли, що містять асемблерний текст), об'єктні модулі та безпосередньо заражені файли. VCL має стандартний віконний інтерфейс. За допомогою системи меню можна вибрати тип вірусу, уражені об'єкти (COM та/або EXE), наявність або відсутність самошифрування, протидія налагоджувальному, внутрішні текстові рядки, підключити до десяти ефектів, що супроводжують роботу вірусу і т.п. Віруси можуть використовувати стандартний спосіб ураження файлів у їхній кінець, або записувати себе замість файлів, знищуючи їх початковий вміст, або бути вірусами-супутниками (міжнародний термін - компаньйон-віруси).

І все відразу стало значно простіше: захотів нашкодити ближньому - сідай за VCL і, за 10-15 хвилин настрогавши 30-40 різних вірусів, запусти їх на ворожому комп'ютері. Кожному комп'ютеру – окремий вірус!

Далі більше. 27 липня з'явилася перша версія конструктора PS-MPC (Phalcon/Skism Mass-Produced Code Generator). Цей конструктор не містить віконного інтерфейсу і генерує вихідні тексти вірусів по файлу конфігурації. Цей файл містить у собі опис вірусу: тип файлів, що уражаються (COM або EXE); резидентність (PS-MPC створює також і резидентні віруси, що не дозволяє конструктор VCL); спосіб інсталяції резидентної копії вірусу; можливість використання самошифрування; можливість ураження COMMAND.COM та масу іншої корисної інформації.

На основі PS-MPC був створений конструктор G2 (Phalcon/Skis's G2 0.70 beta), який підтримує файли конфігурації стандарту PS-MPC, проте при генерації вірусу використовує більшу кількість варіантів кодування одних і тих самих функцій.

Наявна версія G2 позначена першим січня 1993 року. Очевидно, новорічну ніч автори G2 провели за комп'ютерами. Краще б вони натомість попили шампанського, хоча одне одному не заважає.

Отже, яким чином вплинули конструктори вірусів на електронну фауну? У колекції вірусів, що зберігається на моєму "складі", кількість "сконструйованих" вірусів така:

на базі VCL та G2 – по кілька сотень;

на базі PS-MPC – понад тисячу.

Так виявилася ще одна тенденція у розвитку комп'ютерних вірусів: дедалі більшу частину в колекціях починають займати "сконструйовані" віруси, а до лав їх авторів починають вливатися відверто ліниві люди, які зводять творчу та шановану професію вірусного писання до пересічного ремесла.

4.5. За межі DOS

Рік 1992-й приніс більше, ніж поліморфік-віруси та вірус-конструктори. Наприкінці цього року з'явився перший вірус для Windows, який відкрив таким чином нову сторінку в історії вірусописання. Невеликого розміру (менше 1K), абсолютно нешкідливий і нерезидентний вірус цілком грамотно заражав файли нового формату Windows (NewEXE) і своєю появою пробив для вірусів вікно у світ Windows.

Через деякий час з'явилися віруси для OS/2, а в січні 1996 – і перший вірус для Windows95. На сьогоднішній день не минає й тижня без появи нових вірусів, що заражають не-DOS системи, і, мабуть, проблема не-DOS вірусів незабаром вийде на перший план, перекривши проблему DOS-вірусів. Швидше за все, це станеться еквівалентно поступовому вмиранню DOS та поширенню нових операційних систем та програм для них. Якщо всі існуючі DOS-додатки будуть заміщені їх аналогами для Windows, Win95 і OS/2, проблема DOS-вірусів зійде нанівець і залишить після себе лише теоретичний інтерес для комп'ютерного соціуму.

У тому ж 1993 році з'явилася і перша спроба написати вірус, який працює у захищеному режимі процесора Intel386. Це був завантажувальний вірус "PMBS", названий так рядком тексту всередині його коду. При завантаженні із зараженого диска вірус переходив у захищений режим, встановлював себе як супервізор системи та потім завантажував DOS у режимі віртуального вікна V86. На щастя, цей вірус виявився "не мешканцем" - його друге покоління геть-чисто відмовлялося розмножуватися через кілька помилок у коді вірусу. До того ж він "завішував" систему, якщо якась із програм намагалася вийти за межі V86, наприклад, визначити наявність розширеної пам'яті.

Ця невдала спроба написати вірус-супервізор так і залишалася єдиною відомою до весни 1997 року, коли один московський умілець випустив вірус "PM.Wanderer" - цілком "вдалу" реалізацію вірусу, що працює в захищеному режимі.

Поки що незрозуміло, чи стануть надалі віруси-супервізори справжньою проблемою для користувачів та розробників антивірусних програм. Швидше за все немає, тому що такі віруси повинні "засипати" на час роботи нових операційних систем (Windows, Win95/NT, OS/2), що дозволяє їх (віруси) легко виявити та видалити. Однак повноцінний вірус-супервізор, що використовує технологію "стелс", може завдати чимало неприємностей користувачам "чистої" DOS, адже виявити такий стелс-вірус під DOS неможливо.

4.6. Епідемія макро-вірусу

Рік 1995, серпень. Все прогресивне людство, компанія Microsoft та Білл Гейтс особисто святкують вихід нової операційної системи Windows95. На тлі галасливої ​​урочистості майже непоміченим пройшло повідомлення про появу вірусу, який використовує принципово нові методи зараження, вірусу, що заражає документи Microsoft Word.

Чесно кажучи, це був не перший вірус, який заражає документи Word. Доти антивірусні фірми вже мали на руках перший дослідний зразок вірусу, який переписував себе з документа в документ. Проте, ніхто не звернув серйозної уваги на цей не зовсім вдалий експеримент. В результаті практично всі антивірусні фірми виявилися не готовими до подальшого розвитку подій – епідемії макро-вірусу – і почали спішно вживати напівзаходи. Наприклад, кілька фірм практично одночасно випустили світ документи-антивіруси, що діяли приблизно за тими ж принципами, що і вірус, проте знищували його замість розмноження.

До речі, спішно довелося правити антивірусну літературу - адже вона раніше на питання "Чи можна заразити комп'ютер під час читання файлу?" відповідала "Однозначно – ні!" і наводила довгі докази цього.

А вірус, який на той час отримав ім'я "Concept", продовжував переможний рух планетою. З'явившись найімовірніше у якомусь із підрозділів фірми Microsoft, "Concept" миттєво заволодів тисячами (якщо не мільйонами) комп'ютерів. Це не дивно, адже передача текстів у форматі MS Word стала де-факто одним із стандартів, а для того, щоб заразитися вірусом, потрібно лише відкрити заражений документ, і всі інші документи, редаговані в зараженому Word'e також виявляються зараженими. Таким чином, отримавши по Internet заражений файл і прочитавши його, користувач, не знаючи того сам, виявлявся "рознощиком зарази", і все його листування (якщо, звичайно ж вона велася за допомогою MS Word) також виявлялася зараженою!Таким чином, можливість зараження MS Word, помножена на швидкість Internet, стала однією з найсерйозніших проблем за всю історію існування вірусів.

Не минуло й року, як влітку 1996 року з'явився вірус "Laroux" ("Лару"), що заражає таблиці MS Excel. Як і у випадку з вірусом "Concept", новий макро-вірус виявили "в природі" практично одночасно в різних фірмах. До речі, 1997 року цей вірус став причиною епідемії у Москві.

У тому ж 1996 з'явилися перші конструктори макро-вірусів, а на початку 1997 з'явилися перші поліморфік-макро-віруси для MS-Word і перші віруси для MS Office97. Плюс до того безперервно зростала кількість різноманітних макро-вірусів, що досягла кількох сотень до літа 1997-го.

Відкривши нову сторінку в серпні 1995-го, спираючись на весь досвід, накопичений вірусом за майже десятиліття безперервної роботи та вдосконалення, макро-віруси, мабуть, є найбільшою проблемою сучасної вірусології.

4.7. Хронологія подій

Час перейти до більш детального опису подій. Почнемо із самого початку.

кінець 1960 - початок 1970-х

На мейнфреймах цього періодично з'являлися програми, які отримали назву " кролик " (the rabbit). Ці програми клонували себе, займали системні ресурси та таким чином знижували продуктивність системи. Швидше за все, "кролики" не передавалися від системи до системи і були суто місцевими явищами - помилками або витівками системних програмістів, які обслуговували комп'ютер. Перший інцидент, який сміливо можна назвати епідемією "комп'ютерного вірусу", стався на системі Univax 1108. Вірус, що отримав назву "Pervading Animal", дописував себе до файлів - робив практично те ж саме, що тисячі сучасних комп'ютерних вірусів.

перша половина 1970-х

Під операційну систему Tenex створено вірус The Creeper, який використовував для свого поширення глобальні комп'ютерні мережі. Вірус міг самостійно увійти в мережу через модем і передати свою копію віддаленій системі. Для боротьби з цим вірусом було створено програму "The Reeper" - першу відому антивірусну програму.

Початок 1980-х

Комп'ютери стають все більш популярними. З'являється все більше і більше програм, авторами яких є не софтверні фірми, а приватні особи, причому ці програми мають можливість вільного ходіння різними серверами загального доступу - BBS. Результатом цього є поява великої кількості різноманітних "троянських коней" - програм, які при їх запуску завдають системі будь-якої шкоди.

Епідемія завантажувального вірусу Elk Cloner на комп'ютерах Apple II. Вірус записувався в завантажувальні сектори дискет, яких йшло звернення. Виявляв він дуже багатосторонньо - перевертав екран, змушував блимати текст на екрані і виводив різноманітні повідомлення.

Пандемія першого IBM-PC вірусу "Brain". Вірус, що заражає 360Kб дискети, практично миттєво розійшовся по всьому світу. Причиною такого "успіху" була, швидше за все, неготовність комп'ютерного суспільства до зустрічі з таким явищем, як комп'ютерний вірус.

Вірус був написаний у Пакистані братами Basit та Amjad Farooq Alvi, які залишили у вірусі текстове повідомлення, що містить їх імена, адресу та телефонний номер. Як стверджували автори вірусу, вони були власниками компанії з продажу програмних продуктів і вирішили з'ясувати рівень піратського копіювання у країні. На жаль, їхній експеримент вийшов за межі Пакистану.

Цікаво, що вірус "Brain" був також першим стелс-вірусом - при спробі читання зараженого сектора він "підставляв" його незаражений оригінал.

У тому ж 1986 програміст на ім'я Ральф Бюргер (Ralf Burger) виявив, що програма може робити власні копії шляхом додавання свого коду до виконуваних DOS-файлів. Його перший вірус, названий VirDem, демонстрував цю можливість. Цей вірус був проанонсований у грудні 1986 на форумі комп'ютерного "андеграунду" - хакерів, що спеціалізувалися на зломі VAX/VMS-систем (Chaos Computer Club in Hamburg).

Поява вірусу "Vienna". Копія цього вірусу потрапляє до рук того ж Ральфа Бюргера, який дизассемблирует вірус і поміщає результат у свою книгу "Computer Viruses: A High Tech Desease" (російський аналог - "Пишемо вірус та антивірус" м. Хижняка). Книга Бюргера популяризувала ідею написання вірусів, пояснювала як і служила в такий спосіб поштовхом до написання сотень і навіть тисяч комп'ютерних вірусів, частково використовували ідеї з цієї книги.

Того ж року незалежно один від одного з'являється ще кілька вірусів IBM-PC. Це знамениті в минулому "Lehigh", що заражає лише COMMAND.COM, "Suriv-1" (інша назва - "April1st"), що заражає COM-файли, "Suriv-2", що заражає (вперше) EXE-файли, та "Suriv -3", що заражає як COM-, так і EXE-файли. З'являються також кілька завантажувальних вірусів ("Yale" у США, "Stoned" у Новій Зеландії та "PingPong" в Італії) і перший файловий вірус "Cascade", що самошифрується.

Не залишилися осторонь і не-IBM-комп'ютери: було виявлено кілька вірусів для Apple Macintosh, Commodore Amiga та Atari ST.

У грудні 1987 відбулася перша відома повальна епідемія мережного вірусу "Cristmas Tree", написаного мовою REXX і розповсюджує себе в операційному середовищі VM/CMS. 9 грудня вірус був запущений в мережу Bitnet в одному з університетів Західної Німеччини, проникнув через шлюз в European Academic Research Network (EARN) і потім - в мережу IBM VNet. Через чотири дні (13 грудня) вірус паралізував мережу - вона була забита його копіями (див. приклад про клерка кількома сторінками вище). При запуску вірус виводив на екран зображення новорічної (вірніше, різдвяної) ялинки і розсилав свої копії всім користувачам мережі, адреси яких були присутні у відповідних системних файлах NAMES і NETLOG.

У п'ятницю 13 травня 1988 року відразу кілька фірм та університетів кількох країн світу "познайомилися" з вірусом Jerusalem - у цей день вірус знищував файли при їх запуску. Це, мабуть, один із перших MS-DOS-вірусів, що став причиною справжньої пандемії – повідомлення про заражені комп'ютери надходили з Європи, Америки та Близького Сходу. Назву, до речі, вірус отримав за місцем одного з інцидентів – університету в Єрусалимі.

Разом з декількома іншими вірусами ("Cascade", "Stoned", "Vienna"), вірус "Jerusalem" поширився по тисячах комп'ютерів, залишаючись непоміченим - антивірусні програми ще не були поширені на той час так само широко, як сьогодні, а багато користувачів і навіть фахівці ще вірили у існування комп'ютерних вірусів. Показовим є той факт, що того ж року комп'ютерний гуру та людина-легенда Пітер Нортон висловився проти існування вірусів. Він оголосив їх неіснуючим міфом і порівняв із казками про крокодилів, що живуть у каналізації Нью-Йорка. Цей казус, однак, не завадив фірмі Symantec через деякий час розпочати власний антивірусний проект – Norton Anti-Virus.

Почали з'являтися свідомо неправдиві повідомлення про комп'ютерні віруси, які реальної інформації не містять, але вносили паніку в стрункі ряди комп'ютерних користувачів. Один із перших таких "злих жартів" (сучасний термін - "virus hoax") належить нікому Mike RoChenle (псевдонім схожий на "Microchannel"), який розіслав на станції BBS велику кількість повідомлень про нібито існуючий вірус, який передається від модему до модему і використовує при цьому швидкість 2400 бод. Як це не смішно, багато користувачів відмовилися від стандарту тих днів 2400 і знизили швидкість своїх модемів до 1200 бод. Подібні "hoax" з'являються і зараз. Найбільш відомі на сьогоднішній день - GoodTimes та Aol4Free.

Листопад 1988 р.: повальна епідемія мережевого вірусу Морріса (інша назва - Internet Worm). Вірус заразив понад 6000 комп'ютерних систем у США (включаючи NASA Research Institute) та практично паралізував їхню роботу. Через помилку в коді вірусу він, як і вірус-хробак "Cristmas Tree", необмежено розсилав свої копії по інших комп'ютерах мережі і, таким чином, повністю забрав під себе її ресурси. Загальні збитки від вірусу Морріса оцінили в 96 мільйонів доларів.

Вірус використав для свого розмноження помилки в операційній системі Unix для VAX та Sun Microsystems. Крім помилок у Unix вірус використав кілька інших оригінальних ідей, наприклад, підбір паролів користувачів. Докладніше про цей вірус і пов'язаний з ним інцидент можна прочитати в докладній і цікавій статті Ігоря Моїсеєва в журналі Комп'ютерПрес, 1991, N8,9.

Грудень 1988 року: сезон вірусів-хробаків триває, цього разу в мережі DECNet. Вірус-хробак HI.COM виводив на екран зображення ялинки і сповіщав користувачів, що їм слід "stop computing and have a good time at home!!!"

З'являються нові антивірусні програми, наприклад, Dr.Solomon's Anti-Virus Toolkit, що є на сьогоднішній день одним із найпотужніших антивірусів.

З'являються нові віруси - "Datacrime", "FuManchu" та цілі сімейства - "Vacsina" та "Yankee". Перший мав вкрай небезпечний прояв – з 13 жовтня до 31 грудня він форматував вінчестер. Цей вірус вирвався "на свободу" і викликав повальну істерію у засобах масової інформації у Голландії та Великій Британії.

Вересень 1989 року: на ринок виходить ще одна антивірусна програма - IBM Anti-Virus.

Жовтень 1989: у мережі DECNet зафіксовано ще одну епідемію вірусу-хробака - "WANK Worm".

Грудень 1989: інцидент із "троянським конем" "Aids". Було розіслано 20 000 його копій на дискетах, позначених як "AIDS Information Diskette Version 2.0". Після 90 завантажень системи "троянець" шифрував імена всіх файлів на диску, робив їх невидимими (атрибут "hidden") і залишав на диску лише один файл - рахунок на 189 доларів, який слід надіслати за адресою PO Box 7, Panama. Автор "троянця" був спійманий і засуджений до ув'язнення.

Слід зазначити той факт, що 1989 був початком повальної епідемії комп'ютерних вірусів в Росії - все ті ж віруси "Cascade", "Jerusalem" і "Vienna" заполонили комп'ютери російських користувачів. На щастя, російські програмісти досить швидко розібралися з принципами їхньої роботи і практично відразу з'явилося кілька вітчизняних протиотрут-антивірусів.

Моє перше знайомство з вірусом (це був вірус Cascade) відбулося в жовтні 1989 року - вірус виявився виявленим на моєму робочому комп'ютері. Саме це й стало поштовхом для моєї професійної переорієнтації на створення програм-антивірусів. До речі, той перший вірус я вилікував популярною на той час антивірусною програмою ANTI-KOT Олега Котика. Місяцем пізніше другий інцидент (вірус "Vacsina") був закритий за допомогою першої версії мого антивірусу -V (який за кілька років пізніше був перейменований в AVP - AntiViral Toolkit Pro). До кінця 1989 року на теренах Росії паслося вже близько десятка вірусів (перераховані в порядку їх появи): дві версії "Cascade", кілька вірусів "Vacsina" та "Yankee", "Jerusalem", "Vienna", "Eddie", "PingPong ".

Цей рік приніс кілька доволі помітних подій. Першою з них є поява перших поліморфік-вірусів "Chameleon" (інша назва - "V2P1", "V2P2" та "V2P6"). До цього моменту антивірусні програми для пошуку вірусів користувалися так званими масками - шматками вірусного коду. Після появи вірусів Chameleon розробники антивірусних програм були змушені шукати інші методи їх виявлення.

Другою подією була поява болгарського "заводу з виробництва вірусів": безліч нових вірусів мали болгарське походження. Це були цілі сімейства вірусів "Murphy", "Nomenclatura", "Beast" (або "512", "Number-of-Beast"), нові модифікації вірусу "Eddie" та ін. по кілька нових вірусів, використовували принципово нові алгоритми зараження і приховування себе системі. У Болгарії вперше з'явилася і перша BBS, орієнтована на обмін вірусами та інформацією для вірусописачів.

У липні 1990 стався інцидент із комп'ютерним журналом PC Today (Великобританія). Він містив флоппі-диск, заражений вірусом DiskKiller. Було продано понад 50 000 копій журналу.

У другій половині 1990-го з'явилися два стелс-монстри - "Frodo" та "Whale". Обидва віруси використовували вкрай складні стелс-алгоритми, а дев'ятикілобайтний "Whale" до того ж застосовував кілька рівнів шифрування та анти-налагоджувальних прийомів.

З'явилися і перші відомі мені вітчизняні віруси: "Peterburg", "Voronezh" та ростовський "LoveChild".

Населення комп'ютерних вірусів безупинно зростає, досягаючи вже кількох сотень. Зростає і антивірусна активність: відразу два софтверні монстри (Symantec і Central Point) випускають власні антивірусні програми - Norton Anti-Virus і Central Point Anti-Virus. Услід з'являються менш відомі антивіруси від Xtree та Fifth Generation.

У квітні вибухнула справжня епідемія файлово-завантажувального поліморфік-вірусу "Tequila", а у вересні подібна "історія" сталася з вірусом "Amoeba". Росію ці події практично не торкнулися.

Літо 1991: епідемія вірусу "Dir_II", який використовував принципово нові методи зараження файлів (link-вірус).

В цілому, рік 1991 був досить спокійним - таке затишшя перед бурею, що вибухнула 1992-го.

Віруси для не-IBM-PC і не-MS-DOS практично забуті: "дірки" у глобальних мережах закрити, помилки виправлені, і мережеві віруси-хробаки втратили можливість поширення. Все більшу і більшу значущість починають набувати файлові, завантажувальні та файлово-завантажувальні віруси для найпоширенішої операційної системи (MS-DOS) на найпопулярнішому комп'ютері (IBM-PC). Кількість вірусів зростає в геометричній прогресії, різні інциденти з вірусами трапляються майже щодня. Розвиваються різні антивірусні програми, виходять десятки кних та кілька регулярних журналів, присвячених вірусам. На цьому фоні виділяються кілька основних моментів:

Початок 1992 року: перший поліморфік-генератор MtE, на базі якого через деякий час з'являється відразу кілька поліморфік-вірусів. MtE був також прообразом кількох наступних полиморфик-генераторов.

Березень 1992: епідемія вірусу "Michelangelo" ("March6") та пов'язана з цим істерія. Напевно, це перший відомий випадок, коли антивірусні компанії роздмухували галас навколо вірусу не для того, щоб захистити користувачів від будь-якої небезпеки, а для того, щоб привернути увагу до свого продукту, тобто. з метою отримання комерційної вигоди. Так, одна американська антивірусна компанія заявила, що 6-го березня буде зруйнована інформація більш ніж на п'яти мільйонах комп'ютерів. В результаті шуму, що піднявся після цього, прибутки різних антивірусних фірм піднялися в кілька разів, а від вірусу в дійсності постраждали всього близько 10.000 машин.

Липень 1992: поява перших конструкторів вірусів VCL і PS-MPC, які збільшили і без того чималенький потік нових вірусів і, як і MtE у своїй області, підштовхнули вірусописувачів до створення інших більш потужних конструкторів.

Кінець 1992: перший вірус для Windows, що заражає файли цієї операційної системи, відкрив нову сторінку в вірусописі.

Вірусописувачі серйозно взялися за роботу: крім сотень рядових вірусів, принципово не відрізняються від своїх побратимів, крім цілого ряду нових поліморфік-генераторів і конструкторів, крім нових електронних видань вірусописачів з'являється все більше і більше вірусів, що використовують вкрай незвичайні способи зараження файлів і т.д. Основними прикладами є:

"PMBS", що працює у захищеному режимі процесора Intel 80386.

"Strange" (або "Hmm") - сольний виступ на тему "стелс-вірус", проте виконаний на рівні апаратних переривань INT 0Dh та INT 76h.

"Shadowgard" та "Carbuncle", що значно розширили діапазон алгоритмів компаньйон-вірусів;

"Emmie", "Metallica", "Bomber", "Uruguay" та "Cruncher" - використання принципово нових прийомів "сховання" свого коду в заражених файлах.

Навесні 1993 року Microsoft випустив свій власний антивірус MSAV, основою якого послужив CPAV від Central Point.

Все більшого значення набуває проблема вірусів на компакт-дисках. Швидко ставши популярними, ці диски виявилися одним з основних шляхів поширення вірусів. Зафіксовано одразу кілька інцидентів, коли вірус потрапляв на майстер-диск під час підготовки партії компакт-дисків. В результаті на комп'ютерний ринок було випущено чималі тиражі (десятки тисяч) заражених дисків. Природно, що про їхнє лікування годі й говорити - їх доведеться просто знищити.

На початку року у Великобританії з'явилися два вкрай складні поліморфіки-віруси - "SMEG.Pathogen" і "SMEG.Queeg" (досі не всі антивірусні програми в змозі досягти 100%-го результату при їх детектуванні). Автор вірусів поміщав заражені файли на станції BBS, що стало причиною справжньої епідемії та паніки у засобах масової інформації.

Ще одну хвилю паніки викликало повідомлення про нібито існуючий вірус "GoodTimes", що розповсюджує себе по мережі Інтернет і заражає комп'ютер при отриманні електронної пошти. На якого такого вірусу насправді не існувало, проте через деякий час з'явився звичайний DOS-вірус з текстом "Good Times", цей вірус отримав назву "GT-Spoof".

Активізуються правоохоронні органи: влітку 1994 року автор SMEG був "обчислений" і заарештований. Приблизно в той же час у тій же Великій Британії заарештовано цілу групу вірусописачів, яка називала себе ARCV (Assotiation for Really Cruel Viruses). Через деякий час ще один автор вірусів був заарештований у Норвегії.

З'являються кілька нових досить незвичайних вірусів:

Січень 1994 року: "Shifter" - перший вірус, що заражає об'єктні модулі (OBJ-файли). "Phantom1" - епідемія першого поліморфіка-вірусу в Москві.

Квітень 1994 року: "SrcVir" - сімейство вірусів, що заражають вихідні тексти програм (C і Pascal).

Червень 1994: "OneHalf" - початок повальної епідемії вірусу, що досі є найпопулярнішим вірусом у Росії.

Вересень 1994: "3APA3A" - епідемія файлово-завантажувального вірусу, що використовує вкрай незвичайний спосіб застосування в MS-DOS. Жоден антивірус не виявився готовим до зустрічі з подібним монстром.

У 1994 році (весна) перестав існувати один із антивірусних лідерів того часу – Central Point. Він був придбаний фірмою Сімантек, яка до того вже встигла проковтнути кілька невеликих фірм, які займалися антивірусними розробками - Peter Norton Computing, Certus International і Fifth Generation Systems.

Нічого дійсно помітного в області DOS-вірусами не сталося, хоча з'являється кілька досить складних вірусів-монстрів типу "NightFall", "Nostradamus", "Nutcracker" та таких кумедних вірусів, як "двостатеві" вірус "RMNS" і BAT-вірус "Winstart ". Широкого поширення набули віруси "ByWay" та "DieHard2" - повідомлення про заражені комп'ютери були отримані практично з усього світу.

Лютий 1995: інцидент з Microsoft: на диску, що містить демонстраційну версію Windows95, виявлено вірус "Form". Копії цього диска Microsoft розіслав бета-тестерам, один з яких не полінувався перевірити диск на віруси.

Весна 1995: анонсований союз двох антивірусних компаній - ESaSS (ThunderBYTE anti-virus) та Norman Data Defence (Norman Virus Control). Ці компанії, що випускають досить сильні антивіруси, об'єднали зусилля та розпочали розробку єдиної антивірусної системи.

Серпень 1995: один із поворотних моментів в історії вірусів та антивірусів: у "живому вигляді" виявлено перший вірус для Microsoft Word ("Concept"). Буквально за місяць вірус "облітив" всю земну кулю, заполонив комп'ютери користувачів MS-Word і міцно зайняв перше місце в статистичних дослідженнях, що проводяться різними комп'ютерними виданнями.

Січень 1996: дві досить помітні події - з'явився перший вірус для Windows95 ("Win95.Boza") та епідемія вкрай складного поліморфік-вірусу "Zhengxi" у Санкт-Петербурзі.

Березень 1996 року: перша епідемія вірусу для Windows 3.x. Його ім'я – "Win.Tentacle". Цей вірус заразив комп'ютерну мережу у шпиталі та кількох інших установах у Франції. Цікавість цієї події полягала в тому, що це був ПЕРШИЙ Windows-вірус, що вирвався на волю. До того часу (наскільки мені відомо) всі Windows-віруси жили тільки в колекціях та електронних журналах вірусописачів, а в "живому вигляді" зустрічалися лише завантажувальні, DOS-і Macro-віруси.

Червень 1996: "OS2.AEP" - перший вірус для OS/2, що коректно заражає EXE-файли цієї операційної системи. До цього в OS/2 зустрічалися лише віруси, які записувалися замість файлу, знищуючи його чи діючи методом "компаньйон".

Липень 1996: "Laroux" - перший вірус для Microsoft Excel, до того ж спійманий у "живому вигляді" (майже одночасно у двох нафтовидобувних компаніях на Алясці та в ПАР). Як і в MS-Word-вірусів, принцип дії "Laroux" полягає в наявності у файлах про макрос - програм мовою Basic. Такі програми можуть бути включені в електронні таблиці Excel так само, як і документи MS-Word. Як виявилося, вбудована в Excel мова Basic також дозволяє створювати віруси. Цей вірус у квітні 1997 став причиною епідемії в комп'ютерних фірмах Москви.

Грудень 1996 року: "Win95.Punch" - перший "резидентний" вірус для Win95. Завантажується в систему як VxD-драйвер, перехоплює звернення до файлів та заражає їх.

У цілому нині рік 1996 вважатимуться початком широкомасштабного наступу комп'ютерного андеграунду на операційну систему Windows32 (Windows95 і Windows NT) і додатки Microsoft Office. За цей та наступний рік з'явилося кілька десятків вірусів для Windows95/NT та кілька сотень макро-вірусів. У багатьох з них вірусописувачі застосовували нові прийоми і методи зараження, додавали стелс- і полиморфик-механизмы тощо. Таким чином, комп'ютерні віруси вийшли на новий виток свого розвитку - на рівень 32-бітних операційних систем. За два роки віруси для Windows32 повторили приблизно ті самі стадії, що рівно 10 років до того пройшли DOS-віруси, проте на абсолютно новому технологічному рівні.

Лютий 1997: "Linux.Bliss" - перший вірус для Linux (різновид юнікса). Так віруси зайняли ще одну "біологічну" нішу.

Лютий-квітень 1997: Макро-віруси перебралися в Office97. Перші з них виявилися лише "відконвертованими" у новий формат макро-вірусами для Word 6/7, проте практично відразу з'явилися віруси, орієнтовані тільки на документи Office97.

Березень 1997: "ShareFun" - макро-вірус, що вражає MS Word 6/7. Для свого розмноження використовує не лише стандартні можливості MS Word, але також розсилає свої копії електронною поштою MS-Mail.

Квітень 1997: "Homer" - перший мережевий вірус-хробак, який використовує для свого розмноження File Transfer Protocol (ftp).

Червень 1997: Поява першого вірусу, що самошифрується, для Windows95. Вірус, що має російське походження, був розісланий на кілька BBS у Москві, що спричинило епідемію.

Листопад 1997 року: Вірус "Esperanto". Спроба створення (на щастя, невдала) багатоплатформного вірусу, який працює не тільки під DOS і Windows, але може заражати і файли Mac OS (Макінтош).

Грудень 1997 року: з'явилася нова форма вірусу - черв'яки mIRC. Виявилося, що найпопулярніша утиліта Windows IRC (Internet Relay Chat), відома як mIRC, містила "дірку", що дозволяє вірусним скриптам передавати себе по IRC-каналах. У черговій версії IRC дірка була закрита, і mIRC-хробаки канули в лету.

Основною антивірусною подією в 1997 році стало, звичайно ж, відділення антивірусного підрозділу фірми КАМІ в незалежну компанію "Лабораторія Касперського", що на сьогоднішній день зарекомендувала себе як визнаний технічний лідер антивірусної індустрії. Починаючи з 1994 року основний продукт компанії – антивірусний сканер AntiViral Toolkit Pro (AVP) – стабільно показує високі результати у численних тестах, які проводяться різними тестовими лабораторіями всього світу. Відділення в незалежну компанію дозволило спочатку невеликій групі розробників стати першою за значимістю антивірусною компанією на вітчизняному ринку і досить помітною фігурою на ринку світовому. За короткі терміни було розроблено та випущено версії для практично всіх популярних платформ, запропоновано нові антивірусні рішення, створено мережу міжнародної дистрибуції та технічної підтримки.

У жовтні 1997 року було підписано угоду про ліцензування технологій AVP фінською компанією DataFellows для використання у своїй новій розробці FSAV (F-Secure Anti-Virus). До цього компанія DataFellows була відома як виробник антивірусу F-PROT.

Рік 1997 також помітний за декількома скандалами, що вибухнули між основними виробниками антивірусів у США та Європі. На початку року фірма McAfee оголосила про те, що її фахівці виявили "закладку" у програмах одного зі своїх основних конкурентів – в антивірусі фірми Dr.Solomon. Заява від McAfee свідчило, що й антивірус Dr.Solomon при скануванні виявляє кілька вірусів різних типів, то подальша його робота відбувається у посиленому режимі. Тобто якщо в звичайних умовах на незаражених комп'ютерах антивірус від Dr.Solomon працює у звичайному режимі, то при тестуванні колекцій вірусів перемикається в посилений режим (за термінологією McAfee "cheat mode" - "режим обману"), що дозволяє детектувати віруси, невидимі для Dr. .Solomon під час сканування у звичайному режимі. В результаті, при тестуванні на незаражених дисках антивірус від Dr.Solomon показує хороші швидкісні результати, а при тестуванні вірусних колекцій показує непогані результати детектування.

Через деякий час Dr.Solomon завдав удару у відповідь, що припав на некоректно побудовану рекламну кампанію McAfee. Конкретно претензії пред'являлися тексту "Number One Choice Worldwide. Одночасно з цим компанія McAfee вела юридичні позови з іншою антивірусною компанією Trend Micro з приводу порушення патенту на технологію сканування даних, що передаються по Інтернет та електронній пошті. У цей же конфлікт з Trend Micro виявилася втягнута фірма Symantec, потім Symantec висунув позов McAfee за звинуваченням у використанні кодів Symantec у продуктах McAfee.

Закінчився рік ще однією помітною подією, пов'язаною з ім'ям McAfee: фірми McAfee Associates і Network General оголосили про об'єднання в єдину компанію Network Assotiates і про позиціонування зусиль не тільки в галузі антивірусних захистів, але й у розробці універсальних систем комп'ютерної безпеки, шифрування та мережевого . Починаючи з цього моменту, вірусної та антивірусної історії McAfee слід читати як NAI.

Вірусна атака на MS Windows, MS Office та мережеві програми не слабшає. З'являються віруси, використовують усе складніші прийоми зараження комп'ютерів і нові методи проникнення через комп'ютерні мережі. Крім вірусів на арену виходять також численні троянські програми, що крадуть паролі доступу в Інтернет, і кілька утиліт прихованого адміністрування. Зафіксовані інциденти із зараженими CD-дисками: кілька комп'ютерних журналів поширювали на обкладинці диски з програмами, зараженими Windows-вірусами "CIH" та "Marburg".

Початок року: Епідемія цілого сімейства вірусів "Win32.HLLP.DeTroie", що не тільки заражають файли Windows32, але і здатні передати своєму "господарю" інформацію про заражений комп'ютер. Через використання специфічних бібліотек, присутніх тільки у французькій версії Windows, епідемія торкнулася лише франкомовних країн.

Лютий 1998: виявлено ще один тип вірусу, що заражає таблиці Excel - "Excel4.Paix" (або "Formula.Paix"). Даний тип макро-вірусу для свого впровадження в таблиці Excel використовує не звичайну для вірусів область макросів, а формули, які, як виявилося, також можуть містити код, що саморозмножується.

Лютий-березень 1998: "Win95.HPS" та "Win95.Marburg" - перші поліморфні Windows32-віруси, виявлені до того ж "у живому вигляді". Розробникам антивірусних програм довелося швидко адаптувати до нових умов методики детектування поліморфних вірусів, розрахованих до того тільки на DOS-віруси.

Березень 1998 року: "AccessiV" - перший вірус для Microsoft Access. Причиною галасу, як це було з вірусами "Word.Concept" та "Excel.Laroux", він не став, оскільки всі вже звикли до того, що програми MS Office падають одна за одною.

Березень 1998: Макро-вірус "Cross" - перший вірус, що заражає два різні програми MS Office: Access і Word. Слідом за ним з'явилися ще кілька макро-вірусів, які переносять свій код з одного Office-прокладання до іншого.

Травень 1998: вірус "Red Team". Заражає EXE-файли Windows, розсилає заражені файли за допомогою електронної пошти Eudora.

Червень: епідемія вірусу "Win95.CIH", що стала спочатку масовою, потім глобальною, а потім повальною - повідомлення про зараження комп'ютерних мереж та домашніх персональних комп'ютерів обчислювалися сотнями, якщо не тисячами. Початок епідемії зареєстрований на Тайвані, де невідомий хакер надіслав заражені файли в місцеві Інтернет-конференції. Звідти вірус пробрався до США, де через недогляд зараженими виявилися відразу кілька популярних Web-серверів - вони розповсюджували заражені вірусом ігрові програми. Швидше за все, саме ці заражені файли на ігрових серверах і спричинили повальну епідемію вірусу, що не слабшав протягом усього року. За результатами рейтингів "популярності" вірус "посунув" таких вірусних суперзірок, як "Word.CAP" та "Excel.Laroux". Слід звернути увагу також на небезпечний прояв вірусу: залежно від поточної дати вірус стирав Flash BIOS, що в деяких випадках могло призвести до заміни материнської плати.

Серпень 1998: поява гучного "BackOrifice" ("Backdoor.BO") - утиліти прихованого (хакерського) адміністрування віддалених комп'ютерів та мереж. Після "BackOrifice" з'явилися кілька інших аналогічних програм: "NetBus", "Phase" та інші.

Також у серпні з'явився перший вірус, який заражає модулі Java, що виконуються, - "Java.StangeBrew". Цей вірус не становив жодної небезпеки для користувачів Інтернету, оскільки на віддаленому комп'ютері неможливо використовувати необхідні для розмноження функції. Однак він проілюстрував той факт, що атаковані вірусами також можуть бути і програми, що активно використовуються при перегляді Web-серверів.

Відбулися помітні перестановки в антивірусному світі. У травні 1998 року компанії Symantec і IBM оголосили про об'єднання своїх зусиль на антивірусному фронті: спільний продукт при цьому поширюється фірмою Symantec під тією ж маркою Norton Anti-Virus, а IBM Anti-Virus (IBMAV) припиняє своє існування. На це миттєво відреагували основні конкуренти: Dr.Solomon і NAI (раніше - McAfee) відразу випустили прес-релізи з пропозиціями про пільговий опдей колишніх користувачів IBMAV своїми власними антивірусами.

Не минуло й місяця, як припинив існування і сам Dr.Solomon. Він купили компанія NAI (McAfee) за 640 мільйонів доларів шляхом обміну акцій. Ця подія викликала шок в антивірусному світі: конфлікт між двома найбільшими гравцями антивірусного бізнесу закінчився купівлею/продажем, в результаті якої з ринку зник один з найбільш помітних і технологічно сильних виробників антивірусного програмного забезпечення.

Все на світі має відбуватися повільно та

неправильно, щоб не зуміла загордитися людина,

щоб людина була сумна і розгублена.

(Венедикт Єрофєєв. "Москва - Півники")

5.Класифікація комп'ютерних вірусів

Віруси можна розділити на класи за такими основними ознаками:

" середовище проживання;

операційна система (OC);

особливості алгоритму роботи;

деструктивні можливості.

З СЕРЕДОВИЩА ПРОЖИВАННЯ віруси можна розділити на:

файлові;

завантажувальні;

мережеві.

Файлові віруси або різними методами впроваджуються у виконувані файли (найпоширеніший тип вірусів), або виробляють файли-двійники (компаньон-віруси), або застосовують особливості організації файлової системи (link-віруси).

Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або сектор, що містить системний завантажувач вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор.

Макро-віруси заражають файли-документи та електронні таблиці кількох популярних редакторів.

Мережеві віруси використовують для свого розповсюдження протоколи або команди комп'ютерних мереж та електронної пошти.

Існує велика кількість поєднань – наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс та поліморфік-технології. Інший приклад такого поєднання - мережевий макро-вірус, який не тільки заражає редаговані документи, але й розсилає свої копії електронною поштою.

ОПЕРАЦІЙНА СИСТЕМА, що заражається (вірніше, ОС, об'єкти якої схильні до зараження) є другим рівнем поділу вірусів на класи. Кожен файловий чи мережевий вірус заражає файли якоїсь однієї чи кількох OS - DOS, Windows, Win95/NT, OS/2 тощо. Макро-віруси заражають файли форматів Word, Excel, Office97. Завантажувальні віруси також орієнтовані конкретні формати розташування системних даних у завантажувальних секторах дисків.

Серед ОСОБЛИВостей АЛГОРИТМУ РОБОТИ вірусів виділяються такі пункти:

резидентність;

використання стелс-алгоритмів;

самошифрування та поліморфічність;

використання нестандартних прийомів.

РЕЗИДЕНТНИЙ вірус при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження та впроваджується у них. p align="justify"> Резидентні віруси знаходяться в пам'яті і є активними аж до вимкнення комп'ютера або перезавантаження операційної системи. Нерезидентні віруси не заражають пам'ять комп'ютера та зберігають активність обмежений час. Деякі віруси залишають в оперативній пам'яті невеликі резидентні програми, які не розповсюджують вірус. Такі віруси вважаються нерезидентними.

Резидентними можна вважати макро-віруси, оскільки вони є у пам'яті комп'ютера весь час роботи зараженого редактора. У цьому роль операційної системи перебирає редактор, а поняття " перезавантаження операційної системи " трактується як із редактора.

У багатозадачних операційних системах час життя резидентного DOS-вірусу також може бути обмежений моментом закриття зараженого DOS-вікна, а активність завантажувальних вірусів в деяких операційних системах обмежується моментом інсталяції дискових драйверів OC.

Використання СТЕЛС-алгоритмів дозволяє вірусам повністю або частково приховати себе у системі. Найбільш поширеним стелс-алгоритмом є перехоплення запитів OC читання/запис заражених об'єктів. Стелс-віруси у своїй або тимчасово лікують їх, або " підставляють " замість себе незаражені ділянки інформації. У разі макро-вірусів найпопулярніший спосіб – заборона викликів меню перегляду макросів. Один із перших файлових стелс-вірусів - вірус "Frodo", перший завантажувальний стелс-вірус - "Brain".

САМОШИФРУВАННЯ та ПОЛІМОРФІЧНІСТЬ використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру детектування вірусу. Поліморфік-віруси (polymorphic) - це важковиявлені віруси, які мають сигнатур, тобто. що не містять жодної постійної ділянки коду. Найчастіше два зразки однієї й тієї ж поліморфік-вируса нічого очікувати мати жодного збіги. Це досягається шифруванням основного тіла вірусу та модифікаціями програми-розшифрувальника.

Різні НЕСТАНДАРТНІ ПРИЙОМИ часто використовуються у вірусах для того, щоб якомога глибше сховати себе в ядрі OC (як це робить вірус "3APA3A"), захистити від виявлення свою резидентну копію (віруси "TPVO", "Trout2"), утруднити лікування від вірусу (наприклад, помістивши свою копію у Flash-BIOS) тощо.

ДЕСТРУКТИВНІ МОЖЛИВОСТІ віруси можна розділити на:

· нешкідливі, тобто ніяк не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску внаслідок свого розповсюдження);

- безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску та графічними, звуковими та ін. ефектами;

небезпечні віруси, які можуть призвести до серйозних збоїв у роботі комп'ютера;

дуже небезпечні, в алгоритм роботи яких свідомо закладені процедури, які можуть призвести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і навіть, як говорить одна з неперевірених комп'ютерних легенд, сприяти швидкому зносу рухомих частин механізмів – вводити в резонанс та руйнувати головки деяких типів вінчестерів.

Але навіть якщо в алгоритмі вірусу не знайдено гілок, що завдають шкоди системі, цей вірус не можна з упевненістю назвати нешкідливим, тому що проникнення його в комп'ютер може спричинити непередбачувані і часом катастрофічні наслідки. Адже вірус, як і будь-яка програма, має помилки, внаслідок яких можуть бути зіпсовані як файли, так і сектори дисків (наприклад, цілком нешкідливий на перший погляд вірус DenZuk досить коректно працює з 360K дискетами, але може знищити інформацію на дискетах більшого обсягу). До цих пір трапляються віруси, що визначають "COM або EXE" не за внутрішнім форматом файлу, а щодо його розширення. Природно, що з розбіжності формату і розширення імені файл після зараження виявляється непрацездатним. Можливе також "заклинювання" резидентного вірусу та системи при використанні нових версій DOS, під час роботи у Windows або з іншими потужними програмними системами. І так далі.

6. Перспективи: що буде завтра та післязавтра

6.1. Що буде завтра?

Чого очікувати від комп'ютерного андеграунду у наступні роки? Швидше за все основними проблемами залишаться: 1) поліморфік-DOS-віруси, яких додадуться проблеми поліморфізму в макро-вірусах і вірусах для Windows і OS/2; 2) макро-віруси, які будуть знаходити все нові та нові прийоми зараження та приховування свого коду в системі; 3) мережеві віруси, що використовують для свого розповсюдження протоколи та команди комп'ютерних мереж.

Пункт 3) знаходиться поки тільки на ранній стадії - віруси роблять перші боязкі спроби самостійно поширювати свій код по MS Mail і користуючись ftp, проте все ще попереду.

Не виключено, що з'являться й інші проблеми, які принесуть чимало неприємностей користувачам та достатню кількість неурочних розробників антивірусних програм. Проте я дивлюся на майбутнє з оптимізмом: усі проблеми, що коли-небудь виникали в історії розвитку вірусів, були досить успішно вирішені. Швидше за все так само успішно вирішуватимуться і майбутні проблеми, які поки що тільки витають ідеями в запаленому розумі вірусописачів.

6.2. Що буде післязавтра?

Що буде післязавтра і як довго взагалі існуватимуть віруси? Для того, щоб відповісти на це питання, слід визначити, де і за яких умов водяться віруси.

Основна живильне середовище для масового поширення вірусу в ЕОМ, мій погляд, повинна містити такі необхідні компоненти:

незахищеність операційної системи (ОС);

наявність різноманітної і досить повної документації по OC і "залізу";

" Широке поширення цієї ОС і цього "заліза".

Слід зазначити, що поняття операційної системи є досить розтяжним. Наприклад, для макро-вірусів операційною системою є редактори Word та Excel, оскільки саме редактори, а не Windows надають макро-вірусам (тобто програмам на Бейсику) необхідні ресурси та функції.

Якщо в операційній системі присутні елементи захисту інформації, як це зроблено практично у всіх ОС, вірусу буде дуже важко вразити об'єкти свого нападу, тому що для цього потрібно (як мінімум) зламати систему паролів та привілеїв. В результаті робота, необхідна для написання вірусу, виявиться під силу тільки професіоналам високого рівня (вірус Морріса для VAX – приклад цього). А у професіоналів, на мій погляд, рівень порядності все-таки набагато вищий, ніж серед споживачів їхньої продукції, і, отже, кількість створених і запущених у велике життя вірусів ще більше скоротиться.

Для масового виробництва вірусів також потрібна і достатня кількість інформації про середовище їх проживання. Який відсоток від числа системних програмістів, що працюють на міні-ЕОМ в операційних системах UNIX, VMS і т.д. знає систему управління процесами в оперативній пам'яті, повні формати файлів і завантажувальних записів на диску? (тобто інформацію, необхідну створення вірусу). І отже, який відсоток від їхньої кількості може виростити справжнього повноцінного звіра? Інший приклад - операційна система Novell NetWare, досить популярна, але дуже слабко документована. В результаті мені поки не відомо жодного вірусу, що вразив файли Novell NetWare, незважаючи на численні обіцянки вірусописачів випустити такий вірус найближчим часом.

Ну а з приводу широкого поширення ОС як необхідної умови для вірусної навали і говорити набридло: на 1000 програмістів лише 100 здатні написати вірус, на цю сотню припадає один, який цю ідею доведе до завершення. Тепер отриману пропорцію множимо на кількість тисяч програмістів - і отримуємо результат: з одного боку 15.000 або навіть 20.000 повністю IBM-сумісних вірусів, з іншого - кілька сотень вірусів для Apple-Macintosh. Така сама невідповідність пропорцій спостерігається і в порівнянні загальної кількості вірусів для Windows (кілька десятків) і для OS/2 (кілька штук).

Наведеним вище трьом умовам "розквіту" комп'ютерних вірусів задовольняють відразу кілька OS (включаючи редактори), вироблених фірмою Microsoft (DOS, Windows, Win95/NT і Word, Excel, Office97), що дає благодатний грунт існування найрізноманітніших файлових і макро-вирусов . Задовольняють наведеним умовам також стандарти розбиття жорстких дисків. Результат - різноманітні варіанти завантажувальних вірусів, що вражають систему на момент її завантаження.

Для того, щоб прикинути тривалість навали комп'ютерних вірусів у будь-якій OC, треба оцінити час співіснування наведених вище необхідних умов.

Досить очевидно, що в найближчому майбутньому фірми IBM і Apple не збираються поступатися масовим ринком своїм конкурентам (на радість Apple- і IBM-програмістам), навіть якщо для цього цим фірмам доведеться об'єднати зусилля. Не можна і усічення потоку інформації з найбільш поширеним системам, оскільки це вдарить за кількістю додатків їм, отже, і з їхньої " проданості " . Залишається лише одне – захист ОС. Проте, захищеність ОС вимагає виконання деяких правил (паролей тощо), що призводить до низки незручностей. Тому мені здається малоймовірним, що такі ОС стануть популярними серед звичайних користувачів - секретарок, бухгалтерів, на домашніх комп'ютерах, і т.д., або функції захисту будуть відключатися користувачем ще при установці ОС.

Виходячи з вищесказаного, можна зробити єдиний висновок: віруси успішно впровадилися в повсякденне комп'ютерне життя і залишати його в найближчому майбутньому не збираються.

Комп'ютерні віруси – міф та реальність?

Сподобалось? Подякуйте, будь ласка, нам! Для Вас це безкоштовно, а нам – велика допомога! Додайте наш сайт у свою соціальну мережу:

Є. КАСПЕРСЬКИЙ та Д. ЗЕНКІН

Епідемія комп'ютерного вірусу "LoveLetter" ("Любовні листи"), що спалахнула в травні цього року, ще раз підтвердила небезпеку, яку таїть у собі подібна "комп'ютерна фауна". Проникнувши в сотні тисяч комп'ютерів у всьому світі, вірус знищив величезну кількість важливої ​​інформації, буквально паралізувавши роботу найбільших комерційних та державних організацій.

Так виглядають "любовні листи", що розсилаються вірусом "LoveLetter" no електронною поштою. Щоб запустити вірус, достатньо натиснути на значок.

Такий малюнок показує вірус "Tentacle" ("Щупальце") при спробі переглянути будь-який файл із розширенням GIF на заражених комп'ютерах. Напис на малюнку: Я вірус Щупальце.

Вірус "Marburg" показує ці чарівні хрестики і видаляє файли з дисків.

Скрипт-вірус "Monopoly" знущався з глави компанії Microsoft Білла Гейтса. Крім показу кумедної картинки, вірус непомітно відсилає з комп'ютера секретну інформацію.

На жаль, феномен "комп'ютерного вірусу" досі викликає швидше забобонний трепет, ніж бажання тверезо розібратися в ситуації та вжити заходів безпеки. Які вони – ці віруси? Наскільки вони небезпечні? Які методи антивірусного захисту існують сьогодні та наскільки вони ефективні? На ці та інші теми розмірковують спеціалісти провідного російського виробника антивірусних програм "Лабораторії Касперського".

ЩО ТАКЕ КОМП'ЮТЕРНИЙ ВІРУС?

На це, здавалося б, просте питання досі не знайдено однозначної відповіді. У спеціалізованій літературі можна знайти сотні визначень поняття "комп'ютерний вірус", при цьому багато з них відрізняються чи не діаметрально. Вітчизняна "вірусологія" зазвичай дотримується наступного визначення: комп'ютерним вірусом називається програма, яка без відома користувача впроваджується в комп'ютери і робить там різні несанкціоновані дії. Це визначення було б неповним, якби ми не згадали про ще одну властивість, обов'язкову для комп'ютерного вірусу. Це його здатність "розмножуватися", тобто створювати свої дублікати і впроваджувати їх у обчислювальні мережі та/або файли, системні області комп'ютера та інші об'єкти, що виконуються. Причому дублікати вірусу можуть і не співпадати з оригіналом.

Здатність вірусів до "розмноження" викликає в деяких людей бажання порівнювати їх з "особливою формою життя" і навіть наділяти ці програми якимось "злим інтелектом", що змушує їх робити мерзенні витівки задля досягнення поставленої мети. Однак це не більше ніж вигадка та гра фантазії. Подібне сприйняття подій нагадує середньовічні уявлення про злих духів та відьм, яких ніхто не бачив, але всі боялися. "Розмноження" вірусів нічим не відрізняється від, наприклад, копіювання програмою файлів з однієї директорії до іншої. Відмінність лише тому, що ці дії виконуються без відома користувача, тобто на екрані не з'являється жодних повідомлень. У всьому іншому вірус - звичайнісінька програма, що використовує ті чи інші команди комп'ютера.

Комп'ютерні віруси - одне із підвидів великого класу програм, званих шкідливими кодами. Сьогодні ці поняття часто ототожнюють, однак, з наукового погляду це не так. До групи шкідливих кодів входять також звані "хробаки" і "Троянські коні". Їхня головна відмінність від вірусів у тому, що вони не можуть "розмножуватися".

Програма-хробак поширюється по комп'ютерних мережах (локальним чи глобальним), не вдаючись до "розмноження". Натомість вона автоматично, без відома користувача, розсилає свій оригінал, наприклад, електронною поштою.

"Троянські" програми взагалі позбавлені будь-яких вбудованих функцій поширення: вони потрапляють на комп'ютери виключно "за допомогою" своїх авторів або осіб, які їх незаконно використовують. Згадаймо "Іліаду" Гомера. Після багатьох безуспішних спроб взяти Трою штурмом, греки вдалися до хитрощів. Вони побудували статую коня і залишили її троянцям, вдавши, що відступають. Проте кінь був усередині порожнім і приховував загін грецьких солдатів. Троянці, що поклонялися божеству образ коня, самі втягнули статую у ворота міста. "Троянські" програми використовують схожий спосіб застосування: вони потрапляють у комп'ютери під виглядом корисних, забавних і, часто, дуже прибуткових програм. Наприклад, користувачеві надходить лист електронною поштою з пропозицією запустити надісланий файл, де лежить, скажімо, мільйон рублів. Після запуску цього файлу в комп'ютер непомітно потрапляє програма, яка робить різні небажані дії. Наприклад, вона може шпигувати за власником зараженого комп'ютера (стежити, які сайти він відвідує, які використовує паролі для доступу до Інтернету тощо) і потім надсилати отримані дані своєму автору.

Останнім часом почастішали випадки появи так званих "мутантів", тобто шкідливих кодів, що поєднують у собі особливості одразу кількох класів. Типовий приклад - макровірус "Melissa", що спричинив велику епідемію в березні минулого року. Він поширювався мережами як класичний Інтернет-хробак. "LoveLetter" - також помісь мережевого хробака та вірусу. У більш складних випадках шкідлива програма може містити в собі характеристики всіх трьох типів (такі, наприклад, вірус "BABYLONIA").

ПОХОДЖЕННЯ КОМП'ЮТЕРНИХ ВІРУСІВ

Хоч як це дивно, ідея комп'ютерних вірусів виникла задовго до появи персональних комп'ютерів. У 1959 році американський вчений Л. С. Пенроуз (L. С. Penrose) опублікував у журналі "Scientific American" статтю, присвячену самовідтворюваним механічним структурам. У цій статті було описано найпростішу модель двомірних структур, здатних до активації, розмноження, мутацій, захоплення. Незабаром дослідник із США Ф. Г. Сталь (F. G. Stahl) реалізував цю модель за допомогою машинного коду IBM 650.

У ті часи комп'ютери були величезними, складними в експлуатації та надзвичайно дорогими машинами, тому їх володарями могли стати лише великі компанії чи урядові обчислювальні та науково-дослідні центри. Але 20 квітня 1977 року з конвеєра сходить перший "народний" персональний комп'ютер Apple II. Ціна, надійність, простота та зручність у роботі визначили його широке поширення у світі. Загальний обсяг продажів комп'ютерів цієї серії становив понад три мільйони штук (без урахування його численних копій, таких, як Правець 8М/С, Агат та ін.), що на порядок перевищувало кількість усіх інших ЕОМ, що були на той час. Тим самим доступ до комп'ютерів отримали мільйони людей різних професій, соціальних верств і складу розуму. Не дивно, що саме тоді й з'явилися перші прототипи сучасних комп'ютерних вірусів, адже було виконано дві найважливіші умови їх розвитку – розширення "життєвого простору" та поява засобів розповсюдження.

Надалі умови ставали дедалі сприятливішими для вірусів. Асортимент доступних рядовому користувачеві персональних комп'ютерів розширювався, крім гнучких 5-дюймових магнітних дисків з'явилися жорсткі, бурхливо розвивалися локальні мережі, а також технології передачі інформації за допомогою звичайних телефонних ліній, що комутуються. Виникли перші мережеві банки даних BBS (Bulletin Board System), або "дошки оголошень", які значно полегшували обмін програмами між користувачами. Пізніше багато хто з них переріс у великі онлайнові довідкові системи (CompuServe, AOL та ін.). Усе це сприяло виконанню третього найважливішого умови розвитку та поширення вірусів - стали виникати окремі особи та групи людей, котрі займаються їх створенням.

Хто пише вірусні програми та навіщо? Це питання (з проханням вказати адресу та номер телефону) особливо хвилює тих, хто вже зазнав вірусної атаки і втратив результати багаторічної копіткої роботи. Сьогодні портрет середньостатистичного "вірусописача" виглядає так: чоловік, 23 роки, співробітник банку або фінансової організації, який відповідає за інформаційну безпеку або мережеве адміністрування. Проте за нашими даними, його вік дещо нижчий (14-20 років), він навчається чи не має заняття взагалі. Головне, що поєднує всіх творців вірусів - це бажання виділитися і виявити себе, нехай навіть на геростратовій ниві. У повсякденному житті такі люди часто виглядають зворушливими тихонями, які й мухи не скривдять. Вся їхня життєва енергія, ненависть до світу і егоїзм знаходять вихід у створенні дрібних "комп'ютерних мерзотників". Вони трясуться від задоволення, коли дізнаються, що їхнє "дітище" викликало справжню епідемію в комп'ютерному світі. Втім, це вже сфера компетенції психіатрів.

90-ті роки, що ознаменувалися розквітом глобальної мережі Інтернет, виявилися найблагодатнішим часом для комп'ютерних вірусів. Сотні мільйонів людей по всьому світу мимоволі стали "користувачами", а комп'ютерна грамотність стала майже так само необхідна, як уміння читати і писати. Якщо раніше комп'ютерні віруси розвивалися переважно екстенсивно (тобто зростала їх кількість, але з якісні характеристики), то сьогодні завдяки вдосконаленню технологій передачі можна говорити про зворотне. На зміну "примітивним предкам" приходять все більш "розумні" та "хитрі" віруси, набагато краще пристосовані до нових умов проживання. Сьогодні вірусні програми вже не обмежуються псуванням файлів, завантажувальних секторів або програвання невинних мелодій. Деякі їх здатні знищувати дані на мікросхемах материнських плат. При цьому технології маскування, шифрації та розповсюдження вірусів часом дивують навіть найбувалиших фахівців.

ЯКІ БУВАЮТЬ ВІРУСИ

На сьогоднішній день зареєстровано близько 55 тисяч комп'ютерних вірусів. Їх кількість постійно зростає, з'являються нові, раніше невідомі типи. Класифікувати віруси стає важче рік у рік. У випадку їх можна розділити на групи за такими основними ознаками: довкілля, операційна система, особливості алгоритму роботи. Згідно з цими трьома класифікаціями відомий вірус "Чорнобиль", наприклад, можна віднести до файлових резидентних неполіморфічних Windows-вірусів. Пояснимо докладніше, що це означає.

1. Середовище проживання

Залежно від довкілля розрізняють файлові, завантажувальні та макровіруси.

Спочатку найпоширенішою формою комп'ютерної "зарази" були файлові віруси, що "мешкають" у файлах і папках операційної системи комп'ютера. До них відносяться, наприклад, " overwriting " - віруси (від англ. " записувати поверх " ). Потрапляючи в комп'ютер, вони записують свій код замість коду файлу, що заражається, знищуючи його вміст. Звичайно, при цьому файл перестає працювати і не відновлюється. Однак це досить примітивні віруси: вони, як правило, дуже швидко виявляють себе і не можуть стати причиною епідемії.

Ще "хитро" поводяться "companion"-віруси (від англ. "Приятель", "компаньйон"). Вони не змінюють сам файл, але створюють для нього файл-двійник таким чином, що при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус. Наприклад, "companion"-віруси, що працюють під DOS, використовують особливість цієї операційної системи в першу чергу виконувати файли з розширенням СОМ, а потім вже з розширенням ЕХЕ. Такі віруси створюють для ЕХЕ-файлів двійники, що мають те саме ім'я, але з розширенням СОМ. Вірус записується в СОМ-файл і не змінює ЕХЕ-файл. При запуску зараженого файлу DOS першим виявить і виконає саме СОМ-файл, тобто вірус, а потім вірус запустить файл з розширенням ЕХЕ.

Іноді "соmpanion"-віруси просто перейменовують файл, що заражається, а під старим ім'ям записують на диск свій власний код. Наприклад, файл XCOPY.EXE перейменовується на XCOPY.EXD, а вірус записується під ім'ям XCOPY.EXE. При запуску файлу керування отримує код вірусу, який вже запускає оригінальний XCOPY, що зберігається під ім'ям XCOPY.EXD. Подібного типу віруси були виявлені в багатьох операційних системах - не тільки в DOS, а й у Windows та OS/2.

Є й інші способи створення файлів-двійників. Наприклад, віруси типу "path-companion" "грають" на особливостях DOS PATH - ієрархічного запису розташування файлу в системі DOS. Вірус копіює свій код під ім'ям файлу, що заражається, але поміщає його не в ту ж директорію, а на один рівень вище. І тут DOS першим виявить і запустить саме файл-вирус.

Принцип дії завантажувальних вірусівзаснований на алгоритмах запуску операційної системи. Ці віруси заражають завантажувальний сектор (boot-сектор) дискети або вінчестера – спеціальну область на диску, що містить програму початкового завантаження комп'ютера. Якщо змінити вміст завантажувального сектора, можливо, ви навіть не зможете запустити ваш комп'ютер.

Макровіруси- Різновид комп'ютерних вірусів, створених за допомогою макромов, вбудованих в популярні офісні програми на кшталт Word, Excel, Access, PowerPoint, Project, Corel Draw та ін (див. "Наука і життя" № 6, 2000). Макромови використовуються для написання спеціальних програм (макросів), що дозволяють підвищити ефективність роботи офісних програм. Наприклад, у Word можна створити макрос, що автоматизує процес заповнення та розсилки факсів. Тоді користувачеві достатньо буде ввести дані в поля форми і натиснути кнопку - все інше макрос зробить сам. Біда в тому, що, крім корисних, в комп'ютер можуть потрапити і шкідливі макроси, що мають здатність створювати свої копії та здійснювати деякі дії без відома користувача, наприклад, змінювати зміст документів, прати файли або директорії. Це і є макровірус.

Чим ширші можливості тієї чи іншої макромови, тим хитрішими, витонченішими і небезпечнішими можуть бути написані на ньому макровіруси. Найпоширеніша сьогодні макромова - Visual Basic for Applications (VBA). Його можливості стрімко зростають із кожною новою версією. Таким чином, чим досконалішими будуть офісні програми, тим небезпечніше працюватиме в них. Тому макровіруси становлять сьогодні реальну загрозу для комп'ютерних користувачів. За нашими прогнозами, з кожним роком вони ставатимуть все більш невловимими і небезпечними, а швидкість їхнього поширення скоро досягне небувалих величин.

2. Використана операційна система.

Кожен файловий чи мережевий вірус заражає файли однієї чи кількох операційних систем - DOS, Windows, OS/2, Linux, MacOS тощо. На цьому заснований другий спосіб класифікації вірусів. Наприклад, вірус "BOZA", що працює тільки в Windows і ніде більше, відноситься до Windows-вірусів. Вірус "BLISS" - до Linux-вірусів і т.д.

3. Алгоритми роботи.

Віруси можна також розрізняти за використовуваними ними алгоритмами роботи, тобто різним програмним хитрощам, що робить їх настільки небезпечними та важколовимими.

По-перше, всі віруси можна розділити на резидентні та нерезидентні. Резидентний вірус подібний до шпигуна, що постійно працює в чужій країні. Потрапивши при завантаженні в оперативну пам'ять комп'ютера, вірус залишається в ній, доки комп'ютер не буде вимкнений або перезавантажений. Саме звідти вірус-резидент і чинить усі свої деструктивні дії. Нерезидентні віруси не заражають пам'ять комп'ютера і здатні "розмножуватися" лише якщо їх запустити.

До резидентних можна також віднести всі макровіруси. Вони присутні в пам'яті комп'ютера протягом усього часу зараженого ними програми.

По-друге, віруси бувають видимими та невидимими. Для простого обивателя невидимість вірусу - мабуть, найзагадковіша його властивість. Проте нічого демонічного у цьому немає. "Невидимість" полягає в тому, що вірус за допомогою програмних хитрощів не дає користувачеві або антивірусній програмі помітити зміни, які він вніс у заражений файл. Постійно перебуваючи у пам'яті комп'ютера, вірус-невидимка перехоплює запити операційної системи на читання та запис таких файлів. Перехопивши запит, він підставляє замість зараженого файлу початковий незіпсований варіант. Таким чином користувачеві завжди трапляються на очі лише "чисті" програми, тоді як вірус непомітно вершить свою "чорну справу". Одним із перших файлових вірусів-невидимок був "Frodo", а першим завантажувальним невидимкою - вірус "Brain".

Щоб максимально замаскуватися від антивірусних програм, практично всі віруси використовують методи самошифруванняабо поліморфічності, тобто вони можуть самі себе зашифровувати та видозмінювати. Змінюючи свій зовнішній вигляд (програмний код), віруси повністю зберігають здатність здійснювати ті чи інші шкідливі дії. Раніше антивірусні програми вміли виявляти віруси тільки "в обличчя", тобто за їх унікальним програмним кодом. Тому поява вірусів-поліморфіків кілька років тому справила справжню революцію у комп'ютерній вірусології. Нині вже існують універсальні методи боротьби з такими вірусами.

МЕТОДИ БОРОТЬБИ З КОМП'ЮТЕРНИМИ ВІРУСАМИ

Необхідно пам'ятати головну умову боротьби з комп'ютерними вірусами – не панікувати. Цілодобово на варті комп'ютерної безпеки перебувають тисячі висококласних антивірусних фахівців, професіоналізм яких у багато разів перевершує сукупний потенціал усіх комп'ютерних хуліганів - хакерів. У Росії антивірусними дослідженнями займаються дві комп'ютерні компанії – "Лабораторія Касперського" (www.avp.ru) та "СалД" (www.drweb.ru).

Для того щоб успішно протистояти спробам вірусів проникнути у ваш комп'ютер, необхідно виконувати дві найпростіші умови: дотримуватися елементарних правил "комп'ютерної гігієни" та користуватися антивірусними програмами.

Відколи існує антивірусна індустрія, було винайдено безліч способів протидії комп'ютерним вірусам. Строкатість і різноманітність пропонованих сьогодні систем захисту воістину вражає. Спробуємо розібратися, у чому переваги та недоліки тих чи інших способів захисту та наскільки вони ефективні по відношенню до різних типів вірусів.

На сьогоднішній день можна виділити п'ять основних підходів щодо забезпечення антивірусної безпеки.

1. Антивірусні сканери.

Піонер антивірусного руху - програма-сканер, що з'явилася світ практично одночасно з самими комп'ютерними вірусами. Принцип роботи сканера полягає у перегляді всіх файлів, завантажувальних секторів та пам'яті з ланцюгом виявлення в них вірусних сигнатур, тобто унікального програмного коду вірусу.

Головний недолік сканера – нездатність відстежувати різні модифікації вірусу. Наприклад, існує кілька десятків варіантів вірусу "Melissa", і для кожного з них антивірусним компаніям доводилося випускати окреме оновлення антивірусної бази.

Звідси випливає і друга проблема: на час між появою нової модифікації вірусу та виходом відповідного антивірусу користувач залишається практично незахищеним. Щоправда, пізніше експерти придумали та впровадили у сканери оригінальний алгоритм виявлення невідомих вірусів – евристичний аналізатор, який перевіряв код програми на можливість присутності в ньому комп'ютерного вірусу. Однак цей метод має високий рівень помилкових спрацьовувань, недостатньо надійний і, крім того, не дозволяє ліквідувати виявлені віруси.

І, нарешті, третій недолік антивірусного сканера - він перевіряє файли лише тоді, коли ви його про це попросите, тобто запустіть програму. Тим часом, користувачі дуже часто забувають перевіряти сумнівні файли, завантажені, наприклад, з Інтернету, і в результаті своїми власними руками заражають комп'ютер. Сканер здатний визначити факт зараження лише після того, як у системі вже з'явився вірус.

2. Антивірусні монітори.

По суті антивірусні монітори - це різновид сканерів. Але на відміну від останніх вони постійно перебувають у пам'яті комп'ютера та здійснюють фонову перевірку файлів, завантажувальних секторів та пам'яті в масштабі реального часу. Для активації антивірусного захисту користувачеві достатньо завантажити монітор під час завантаження операційної системи. Всі файли, що запускаються, будуть автоматично перевірятися на віруси.

3. Ревізори змін.

Робота цього виду антивірусних програм заснована на знятті оригінальних "відбитків" (CRC-сум) з файлів та системних секторів. Ці "відбитки" зберігаються у базі даних. При наступному запуску ревізор звіряє "відбитки" з їх оригіналами і повідомляє користувача про зміни, що відбулися.

У ревізорів змін також є недоліки. По-перше, вони не здатні зловити вірус у момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся по комп'ютеру. По-друге, вони не можуть виявити вірус у нових файлах (електронної пошти, дискет, файлів, що відновлюються з резервної копії, або при розпакуванні файлів з архіву), оскільки в базах даних ревізорів інформація про ці файли відсутня. Цим і користуються деякі віруси, заражаючи тільки файли, що створюються, і залишаючись, таким чином, невидимими для ревізорів. По-третє, ревізори вимагають регулярного запуску – чим частіше це робити, тим надійнішим буде контроль за вірусною активністю.

4. Імунізатори.

Антивірусні програми-імунізатори поділяються на два види: імунізатори, що повідомляють про зараження, та імунізатори, що блокують зараження будь-яким типом вірусу.

Перші зазвичай записуються на кінець файлів (за принципом файлового вірусу) і запуску файлу щоразу перевіряють його за зміну. Недолік у таких імунізаторів лише один, але він важливий: вони абсолютно не здатні виявляти віруси-невидимки, котрі хитро приховують свою присутність у зараженому файлі.

Другий тип імунізаторів захищає систему від ураження певним вірусом. Для цього файли модифікуються таким чином, щоб вірус сприймав їх за вже заражені. Наприклад, щоб запобігти зараженню СОМ-файлу вірусом "Jerusalem", достатньо дописати в нього рядок MsDos. А для захисту від резидентного вірусу на згадку про комп'ютер заноситься програма, що імітує копію вірусу. При запуску вірус натикається на неї і вважає, що система вже заражена і нею не можна займатися.

Звичайно, не можна імунізувати файли від усіх відомих вірусів: у кожного їх свої прийоми визначення зараженості. Саме тому імунізатори не набули великого поширення і в даний час практично не використовуються.

5. Поведінкові блокатори.

Усі перелічені вище типи антивірусів не вирішують головної проблеми – захисту від невідомих вірусів. Таким чином, комп'ютерні системи виявляються беззахисними перед ними, доки виробники антивірусів не розроблять протиотрути. Іноді на це йде кілька тижнів. За цей час можна втратити всю важливу інформацію.

Однозначно відповісти на питання "що ж робити з невідомими вірусами?" нам вдасться лише у майбутньому тисячолітті. Проте, вже сьогодні можна зробити деякі прогнози. На наш погляд, найбільш перспективний напрямок антивірусного захисту – це створення так званих поведінкових блокаторів. Саме вони здатні практично зі стовідсотковою гарантією протистояти атакам нових вірусів.

Що таке поведінковий блокатор? Це програма, що постійно перебуває в оперативній пам'яті комп'ютера і перехоплює різні події в системі. У разі виявлення "підозрілих" дій (які може виробляти вірус або інша шкідлива програма) блокатор забороняє цю дію або запитує дозвіл у користувача. Іншими словами, блокатор не шукає код вірусу, але відстежує та запобігає його діям.

Теоретично блокатор може запобігти поширенню будь-якого як відомого, так і невідомого (написаного після блокатора) вірусу. Але проблема полягає в тому, що "вірусоподібні" дії може робити і сама операційна система, а також корисні програми. Поведінковий блокатор (тут мається на увазі "класичний" блокатор, який використовується для боротьби з файловими вірусами) не може самостійно визначити, хто саме виконує підозрілу дію - вірус, операційна система або якась програма, і тому змушений запитувати підтвердження у користувача. Таким чином користувач, який приймає кінцеве рішення, повинен мати достатні знання і досвід для того, щоб дати правильну відповідь. Але таких людей замало. Саме тому блокатори досі не стали популярними, хоча сама ідея їхнього створення з'явилася досить давно. Переваги цих антивірусних програм часто ставали їхніми недоліками: вони здавались занадто нав'язливими, обтяжуючи користувача своїми постійними запитами, і користувачі їх просто видаляли. На жаль, цю ситуацію може виправити лише використання штучного інтелекту, який самостійно розбирався б у причинах тієї чи іншої підозрілої дії.

Проте вже сьогодні поведінкові блокатори можуть успішно застосовуватися для боротьби з макровірусами. У програмах, написаних на макромові VBA, можна з дуже великою часткою ймовірності відрізняти шкідливі дії корисних. Наприкінці 1999 року "Лабораторія Касперського" розробила унікальну систему захисту від макровірусів пакету MS Office (версій 97 та 2000), засновану на нових підходах до принципів поведінкового блокатора, - AVP Office Guard. Завдяки проведеному аналізу поведінки макровірусів, були визначені послідовності їх дій, що найчастіше зустрічаються. Це дозволило впровадити в програму блокатора нову високоінтелектуальну систему фільтрації дій макросів, що практично безпомилково виявляє ті з них, які є реальною небезпекою. Завдяки цьому блокатор AVP Office Guard, з одного боку, ставить користувачеві набагато менше питань і не настільки "нав'язливий", як його файлові побратими, а з іншого - практично на 100% захищає комп'ютер від макровірусів як відомих, так і ще не написаних.

AVP Office Guard перехоплює та блокує виконання навіть багатоплатформних макровірусів, тобто вірусів, здатних працювати відразу в кількох додатках. Крім того, програма AVP Office Guard контролює роботу макросів із зовнішніми програмами, у тому числі і з поштовими програмами. Тим самим унеможливлюється поширення макровірусів через електронну пошту. Адже саме таким способом у травні цього року вірус "LoveLetter" вразив десятки тисяч комп'ютерів по всьому світу.

Ефективність блокатора була б нульовою, якби макровіруси могли довільно відключати його. (У цьому полягає один із недоліків антивірусного захисту, вбудованого в додатки MS Office.) В AVP Office Guard закладено новий механізм протидії атакам макровірусів на нього самого з метою його відключення та усунення із системи. Зробити це може лише сам користувач. Таким чином, використання AVP Office Guard позбавить вас вічного головного болю з приводу завантаження і підключення оновлень антивірусної бази для захисту від нових макровірусів. Одного разу встановлена, ця програма надійно захистить комп'ютер від макровірусів до виходу нової версії мови програмування VBA з новими функціями, які можуть бути використані для написання вірусів.

Хоча поведінковий блокатор і вирішує проблему виявлення та запобігання поширенню макровірусів, він не призначений для їх видалення. Тому його треба використовувати разом із антивірусним сканером, який здатний успішно знищити виявлений вірус. Блокатор дозволить безпечно перечекати період між виявленням нового вірусу та випуском оновлення антивірусної бази для сканера, не перериваючи роботу комп'ютерних систем через страх назавжди втратити цінні дані або серйозно пошкодити апаратну частину комп'ютера.

ПРАВИЛА "КОМП'ЮТЕРНОЇ ГІГІЄНИ"

" У жодному разі не відкривайте файли, що надсилаються електронною поштою невідомими вам людьми. Навіть якщо адресат вам відомий - будьте обережні: ваші знайомі та партнери можуть і не підозрювати, що в їх комп'ютері завівся вірус, який непомітно розсилає свої копії за адресами з їх адресної книги.

Обов'язково перевіряйте антивірусним сканером з максимальним рівнем перевірки всі дискети, компакт-диски та інші мобільні носії інформації, а також файли, які отримуються з мережі Інтернет та інших публічних ресурсів (BBS, електронних конференцій тощо).

Проводьте повну антивірусну перевірку комп'ютера після отримання його з ремонтних служб. Ремонтники користуються одними і тими самими дискетами для перевірки всіх комп'ютерів - вони дуже легко можуть занести "зараз" з іншої машини!

" Вчасно встановлюєте "латки" від виробників операційних систем і програм, що використовуються вами.

Будьте обережні, допускаючи інших користувачів до комп'ютера.

" Для підвищення збереження ваших даних періодично робіть резервну архівацію інформації на незалежні носії.

Програмне забезпечення буває різним: корисним і не дуже. В останньому випадку йдеться про горезвісні комп'ютерні віруси. Комп'ютерний вірус- шкідлива програма, яка вміє відтворювати копії самої себе і самостійно проникати (впроваджувати свої копії) в код інших програм, бази даних, завантажувальні сектори жорсткого диска і т.д. Кінцева мета більшості комп'ютерних вірусів - завдання певної шкоди реципієнту. Шкідливість комп'ютерних вірусів зводиться до видалення файлів, захоплення частини дискового простору комп'ютера, блокування роботи його користувачів, злому персональних даних тощо.

Одначе, не всі віруси для комп'ютерівнастільки ворожі. Деякі просто виводять на екран монітора невинні повідомлення гумористичного, рекламного чи політичного змісту. Жодної шкоди для комп'ютера при цьому не спостерігається. Чого не скажеш про користувача, нервова система якого зазнає певного випробування. Випробовування, з яким далеко не всі з нас можуть упоратися. Відірвані мишки, понівечені клавіатури та розбиті монітори в роликах – тому яскраве підтвердження.

Як ви вже, напевно, здогадалися, про історію комп'ютерних вірусів наша сьогоднішня розмова і йтиметься.

Чому саме "вірус"?

Екскурс в історію почну з походження назви «комп'ютерний вірус». Чому "вірус", а не, скажімо, "хвороба" чи "травма"? Відповідь проста - вся справа в разючому подібності механізму поширення біологічних та комп'ютерних вірусів. Подібно до того, як біологічний вірус захоплює клітину організму, репродукує себе в ній і потім окупує нову клітину, так само діє і комп'ютерний вірус. Проникнувши в ту чи іншу програму, створивши енну кількість копій себе, шкідливе програмне забезпечення починає захоплювати інші області комп'ютера, а потім переміщається на наступний пристрій. Погодьтеся, аналогія більш ніж очевидна. Власне тому і «вірус». Щоправда, не біологічний, а комп'ютерний.

Достовірно невідомо, хто і коли першим ужив це словосполучення. Тому, не претендуючи на істину в останній інстанції, озвучу ім'я людини, яка найчастіше згадується у цьому контексті. Це (на фото праворуч) - астрофізик і, за сумісництвом, письменник-фантаст із США. Багато хто вважає, що саме в його оповіданні «Людина у шрамах»(1970) слово "вірус" було вперше використано по відношенню до комп'ютерної програми.

Немає теорії – немає вірусів!

Як це часто буває, слово і справа помітно розходяться у часі. У нашому випадку підтвердженням цього може бути та обставина, що обґрунтування теоретичних основ створення та функціонування самовідтворюваних комп'ютерних програм (вірусів) відбулося за десятиліття до виникнення самої фрази.

Ще в 1949 році в Університеті штату Іллінойс американський математик угорського походження Джон фон Нейманвикладав курс лекцій на тему "Теорія та організація складних автоматичних пристроїв". Згодом відомий учений узагальнив свої лекційні матеріали і видав у 1951 році наукову працю зі схожою назвою «Теорія автоматичних пристроїв, що самовідтворюються». У роботі Джон фон Нейман детально описав механізм створення комп'ютерної програми, яка у процесі функціонування могла б сама себе відтворювати.

Наукові дослідження фон Неймана послужили головним поштовхом до практичного створення комп'ютерних вірусів у майбутньому, а сам учений по праву вважається батьком-теоретиком комп'ютерної вірусології.

Розвиваючи теорію американця, німецький дослідник Вейт Різакв 1972 році публікує статтю «Автоматичні пристрої, що самовідтворюються, з мінімальним обміном інформації». У ній вчений описує механізм роботи повноцінного вірусу, написаного мовою Ассемблер для комп'ютерної системи SIEMENS 4004/35.

Ще однією важливою науковою працею в цій галузі вважається диплом випускника Дортмундського університету Юргена Крауса. У 1980 році у своїй випускній роботі «Самовоспроизводящиеся програми» молодий дослідник розкрив питання теорії, описав вже існуючі на той час самовідтворювані програми для комп'ютера SIEMENS і першим акцентував увагу на тому, що комп'ютерні програми схожі на біологічні віруси.

Наглядовий читач може помітити, що згадані вище наукові дослідження стосувалися розробки виключно «миролюбних» комп'ютерних програм, здатних до відтворення самих себе. Про шкідливість своїх «пацієнтів» теоретики навіть не думали. За них це зробили інші особи, які вчасно розпізнали величезний потенціал цього програм для «пошкодження» комп'ютерів та іншої техніки. Але це було потім, а поки що від теорії перейдемо до практики.

Перші ластівки

У свої те, про що говорив і писав Джон фон Нейман, група співробітників американської компанії Bell Laboratoriesв 1961 створила для комп'ютерів IBM 7090 оригінальну гру Darwin. Під час цієї гри енна кількість асемблерних програм (організмів) завантажувалося в пам'ять комп'ютера. Організми, що належать одному гравцю, мали поглинути організми іншого гравця, захоплюючи при цьому все більше і більше ігрового простору. Перемогу святкував гравець, організми якого захоплювали всю ігрову пам'ять.

Тим з вас, шановні читачі, хто хоче детально ознайомитися з хронологією виникнення відомих комп'ютерних вірусів на планеті, можу порадити в англомовній. Там ви знайдете численні цікаві факти про «правіруси» (скажімо, Jerusalem/1987 або Morris worm/1988) та оновіть свої знання про свіже шкідливе ПЗ (наприклад, «троянському коні» Game Over/2013). Звичайно, якщо ви з англійською на ти.

Вірус вірусу - ворожнеча!

За роки, минулі з появи першого комп'ютерного вірусу, сформувалися основні типи (види) шкідливого програмного забезпечення. Стисло зупинюся на кожному з них.

Класифікація комп'ютерних вірусів:

• Мережевий хробак- вид «ворожого» ПЗ, здатний самостійно поширюватися з допомогою локальних чи глобальних комп'ютерних мереж. Першим представником є ​​згаданий Morris worm.


• Троянський кінь, троян- вид комп'ютерного вірусу, який розповсюджується (завантажується в ПК) безпосередньо людиною. На відміну від хробака, троян неспроможна самовільно захоплювати той чи інший комп'ютер. Першим «троянським конем» 1989 року став комп'ютерний вірус AIDS.


• Поліморфний комп'ютерний вірус- Шкідливе ПЗ, що має підвищений рівень захисту від виявлення його. Іншими словами, це комп'ютерний вірус, створений за допомогою спеціальної техніки програмування, що дозволяє йому довше залишатися невиявленим. Першим поліморфним вірусом був Chameleon (1990).


• Стелс-вірус- комп'ютерний вірус, здатний частково або повністю приховувати свою присутність у місці завантаження та активації. Фактично це вірус-невидимка, ключовою відмінністю якого від поліморфного вірусу є спосіб маскування. Механізм приховування присутності стелс-вірусу полягає у перехопленні ним звернень до операційної системи з боку антивірусного ПЗ. Прародителем цієї групи комп'ютерних вірусів прийнято вважати Frodo (1990).

Якщо щось робиться, значить, це комусь потрібно

Які цілі переслідують автори комп'ютерних вірусів? Та найрізноманітніші. Здебільшого, якщо вірити західним аналітикам, йдеться про виведення з ладу комп'ютерного обладнання конкурентів/недругів або викрадення коштів, що належать особам, атакованим вірусом.

У той же час існують інші, часом досить цікаві, причини розробки комп'ютерних вірусів. Одні діячі у вигляді вірусу поширюють політичну. Інші, сповнені турботою про оточуючих, за його допомогою вказують на вразливість певного софту. Є навіть люди, які, спостерігаючи наслідки вірусної атаки, отримують спотворене людське задоволення. Розважаються одним словом.

Також не можна скидати з рахунків і роль розробників у створенні та розповсюдженні комп'ютерних вірусів. Хтось може запитати себе: як же так? А ось так! Щороку збитки від вірусних атак у світі оцінюються у мільярди доларів США. Мільярдами обчислюється і капіталізація міжнародного ринку платного антивірусного софту. Можна дійти простої думки: це ж невичерпна золота жила. Спочатку вірус створюється (нехай і за допомогою посередників), а потім ефективно лікується замовником. За гроші.

У подібній немає нічого нового. Особливо якщо згадати те, що небайдужі активісти дорікають транснаціональним фармакологічним компаніям. Тоді в моїх домислах можна знайти здорове зерно. І навіть не одне.

Ось коротко вся історія появи комп'ютерних вірусів. Будьте обережні і нехай будуть з вами щастя, здоров'я та три мішки грошей.

Ілля Олександров

Історія комп'ютерних вірусів

До них уже звикли. Їх не бояться шкільні вчителі інформатики, про них не пишуть на перших шпальтах газет. Але вони продовжують виконувати свою руйнівну роль життя користувачів комп'ютерів.

Провісники електронних епідемій

Сказати де і коли з'явився перший вірус неможливо, оскільки таких даних у природі не існує. Якщо на "комп'ютері" Чарльза Беббіджа, "батька" першої обчислювальної машини, вірусів ще не було, до середини 70-х років минулого століття вони стали дуже поширеним і неприємним для більшості явищем. Проте, причини їх створення виникли майже відразу ж із створенням перших ЕОМ.

Ще в 1940 році математик Джон фон Нейман написав книгу, в якій були описані математичні автомати, що самовідтворюються, тобто принципи, які лягли в основу всіх вірусів. У 1959 році американський науковий журнал «Scientific American» опублікував статтю Л. Пенроуза, що розповідала про біологічні структури, що самостійно розповсюджуються. Автор розглянув здібності подібних структур до мутацій, активації та розмноження. Інший вчений, Ф. Шталь, отримані із цієї статті знання реалізував на практиці. Працюючи оператором у науково-дослідній лабораторії, він мав доступ до найпотужнішої на той час ЕОМ – IBM 650. Експеримент дуже здивував Шталя, перевершивши всі його очікування. Отриманий у результаті «мутації» математичних алгоритмів електронний «звіряток» видалив усі сліди своїх «батьків», присутніх у системі, після чого самознищився.

Природно, всі перераховані вище праці та досвіди були спрямовані не для того, щоб нинішні вірусописувачі щодня викидали в Інтернет мегабайти нової «зарази». Спочатку ці дослідження, що стосувалися галузі створення штучного інтелекту, являли собою академічний інтерес. Проте будь-яке відкриття, зроблене у мирних цілях, може бути без особливих труднощів перетворено на потужну зброю руйнування.

У 1961 році серед комп'ютерників була дуже популярна гра Darwin. Її сюжет і сенс були прості: гравець керував «расою», яка мала знищити своїх конкурентів. Вигравав той, хто захопить всю віддану під ігровий процес оперативну пам'ять. Особливих дій у грі не вимагалося: необхідно було лише розмножити належать до своєї раси на вільні осередки ОЗУ або ж захопити осередки супротивника. Подібний алгоритм дуже подібний до логіки роботи деструктивних програм.

Широке поширення комп'ютерних мереж стало каталізатором появи світ перших деструктивних програм – комп'ютерних вірусів.

70-ті роки: початок

Поява першого у світі комп'ютерного вірусу було зафіксовано на початку 70-х років минулого століття, коли на теренах військової комп'ютерної мережі APRAnet – прародительки сучасного Інтернету – було знайдено програму Creeper. Вірус був написаний для поширеної на той час операційної системи Tenex, в яку він проникав, поширюючись через модемний зв'язок. На екран заражених комп'ютерів періодично виводився напис: "I'M THE CREEPER: CATCH ME IF YOU CAN". Деструктивних дій Creeper не робив, обмежуючись лише цим повідомленням, що дратували користувачів. Трохи пізніше для нього було написано «протиотруту» – програма Reaper, яка знаходила файл з вірусом і видаляла його. Поширювалася вона, до речі, аналогічним із Creeper способом. Можна сказати, що перший у світі антивірус був створений "за аналогією зі шкідливою програмою".

У 1974 році "частим гостем" на різних серверах була програма з милим для тваринників назвою Rabbit. «Кролик» нічого, крім поширення та розмноження самого себе, не робив. Програма відтворювалася з величезною швидкістю, поступово займаючи всі системні ресурси. Іноді Rabbit навіть викликав збій у роботі серверів.

Інший приклад – логічна гра Pervading Animal для операційної системи Exec 8, сенс якої полягав у відгадуванні користувачем загаданої програмою тварини. Якщо йому це не вдавалося, гра пропонувала модернізувати її, після чого з'являлася можливість ставити додаткові питання.

Модифікована версія програми дивним чином починала копіюватися в інші директорії, у результаті через деякий час у всіх папках жорсткого диска містилася копія Pervading Animal. Оскільки кожен кілобайт простору був «на вагу золота», така поведінка гри мало кого втішила. Досі не ясно, чи була це помилка програмістів або задум вірусописачів. Втім, проблема була швидко вирішена – нова версія операційної системи Exec 8 базувалася на іншому типі файлової системи, де програма засмічувати файловий простір більше не могла.

80-ті: перші епідемії

До вісімдесятих років минулого століття комп'ютер перестав бути розкішшю, доступною лише обраним. Власників ПК стає дедалі більше, крім того, обмін інформацією між користувачами за допомогою електронних дощок оголошень (BBS – Buletin Board System) досяг міжнародного масштабу.

1981 року відбулася перша по-справжньому масова вірусна епідемія. Постраждали поширені на той час комп'ютери Apple II. Вірус Elk Clone записувався у завантажувальні сектори дискет у момент звернення до них користувача. Elk Clone спотворював зображення на моніторі, виводив на екран різні текстові повідомлення, змушував блимати текст. Недосвідчені користувачі впадали від дій вірусу в заціпеніння, тоді як він сам продовжував «переміщатися» з одного комп'ютера на інший.

У 1983 році американський програміст Лен Ейделман вперше вжив термін «вірус», яким він позначив програми, що саморозмножуються.

1986 року 19-річний пакистанець Басіт Фарук Алві написав вірус Brain. Так само як і Elk Clone, Brain вражав завантажувальні сектори дискет. Програма була орієнтована будь-які руйнівні функції, вона лише змінювала мітку всіх дискет на «(С)Brain». Як стверджує автор, він мав лише одну мету – з'ясувати рівень комп'ютерного піратства у себе в країні. Але вже через кілька тижнів після активації вірусу зараженими виявилися тисячі комп'ютерів по всьому світу, що викликало справжній переполох серед користувачів та обговорення в засобах масової інформації. У Brain був вперше використаний прийом, коли при читанні зараженого сектора диска вірус підставляв замість цього розділу незаражений.

У 1988 році була створена перша шкідлива програма, яка не просто заражала комп'ютер, а й завдавала йому реальної шкоди. Цей вірус був створений у Лехайському університеті, в якому, до речі, працював раніше згадуваний Фред Коен. Вірус Lehigh знищував інформацію на дисках, уражаючи системні файли COMMAND.COM. Наявність кваліфікованих спеціалістів в університеті виявилася порятунком – за стіни навчального закладу він так і не пробрався. Втім, чималу роль усуненні загрози епідемії відіграв і алгоритм самого Lehigh – під час форматування вінчестерів він самознищувався разом із рештою інформації.

У цей час почав активно розвиватися програмне забезпечення, що захищало комп'ютери від вірусів. Антивірусні програми того часу були простенькими сканерами, які за допомогою контекстного пошуку намагалися виявити вірусний код у програмах. Іншими поширеними «ліками» від шкідливих програм того часу були «імунізатори». Цей тип програмного забезпечення модифікував усі програми таким чином, щоб віруси вважали їх вже зараженими і не виконували по відношенню до них жодних дій. Після того, як кількість вірусів зросла у тисячі разів, використання імунізаторів було вже марним.

Антивірусні фірми найчастіше складалися із двох-трьох людей і свої продукти продавали за символічну суму або роздавали безплатно. Але поширеність захисних програм була дуже низька, та й безперервна поява нових вірусів робила їх безсилою. Інтернет на той час ще не встиг «вирватися» з «обіймів» учених та військових, а оновлюватись без наявності глобальної мережі було практично неможливо.

У середині 80-х з'явився термін «Virus Hoax» – «вірусна містифікація». Наприкінці вісімдесятих користувачі панічно боялися вірусів: міфи про програми, що виводять з ладу апаратну частину ПК, розбурхували розум кожного власника комп'ютера. Virus Hoax були нічим іншим, як помилковими чутками про нові комп'ютерні епідемії. Згадується історія, коли один жартівник розіслав різні BBS повідомлення про появу нового вірусу, який поширювався через модеми, що працювали зі швидкістю передачі інформації 2400 біт в секунду. Щоб не заразитись вірусом, автор рекомендував перейти на модеми зі швидкістю 1200 біт/с. І що ви думаєте? Маса користувачів викинула найшвидші модеми заради своєї «безпеки».

У 1988 відбулася перша епідемія, спричинена мережевим комп'ютерним вірусом. Згодом такі віруси стали називатися «хробаками». Створена Робертом Моррісом програма вражала комп'ютери, що працювали під ОС UNIX. У плани творця не входило заподіяння шкоди системі, хробак мав лише поринути у мережу ARPAnet і залишатися там непоміченим. Вірус володів можливістю розтину паролів в ОС, і в списку процесів, що виконувались дітище Морріса відображалося у вигляді звичайного користувача процесу. Хробак швидко саморозмножувався і пожирав всі вільні ресурси комп'ютера, внаслідок чого з ладу виходили цілі сервери. Деякі з них змогли повернутися до роботи лише за п'ять діб, оскільки вакцини проти хробака не існувало. За час свого «ходіння світом» вірус вразив близько 6000 комп'ютерних систем, торкнувшись навіть комп'ютерів дослідницького центру NASA. Роберт Морріс відбувся 400 годин громадських робіт, але увійшов в історію як автор першого руйнівного мережевого черв'яка.

90-ті: поліморфні віруси

На початку 90-х років минулого століття англійська компанія Sophos, в якій працювали Ян Храске, Ед Уайлдінг та Пітер Леймер, розпочала випуск журналу «Virus Bulletin». Virus Bulletin розповідав про комп'ютерні віруси, а також про всі аспекти захисту від них. Авторами журналу були програмісти, керівники антивірусних компаній, розробники ПЗ. Журнал був некомерційним: за всю його історію в ньому не було надруковано жодного рекламного оголошення. Через це Virus Bulletin не набув широкого поширення. Його читачами були переважно професіонали у сфері IT (інформаційних технологій), а також співробітники комп'ютерних фірм.

У 1990 року виник новий тип шкідливих програм – поліморфні віруси. "Поліморфізмом" була названа технологія, при якій вірус не можна було виявити сканером, який шукав віруси за допомогою фрагментів вже відомого шкідливого коду. Поліморфізм дозволяє програмам генерувати код під час виконання, у результаті чого копія вірусу кожному новому зараженому комп'ютері відрізнятиметься від попередньої. Першим подібним вірусом став Chameleon, написаний Марком Вашберном. Після появи поліморфних програм невід'ємною частиною антивірусу став емулятор для дешифрації кодів, вперше використаний Євгеном Касперським.

Цього ж року у Болгарії, яка тоді була центром світового вірусописання, з'явилася спеціалізована BBS, з якої кожен охочий міг завантажити шкідливі програми. Конференції, присвячені програмуванню вірусів, з'явилися й у UseNet.

У цей же час було опубліковано книгу «Маленька Чорна Книга про Комп'ютерні Віруси» Марка Людвіга. Вона стала "Біблією" всіх творців вірусів. Було сформовано так звану «VX-сцену» – спільноту програмістів, що спеціалізуються на створенні комп'ютерних вірусів.

Конструктори шкідливих програм

В 1992 хакер, відомий під ніком Dark Avenger, випустив у світ утиліту MtE (Mutation Engine). З її допомогою будь-який, навіть найпримітивніший вірус можна було зробити поліморфним. Цією ж людиною було вперше створено вірус Peach, наділений здатністю оминати антивірусне ПЗ. Peach видаляв основу змін програми Central Point AntiVirus. Ця програма, не знаходячи свою базу даних, вважала, що запущена вперше, і створювала її знову. Таким чином, вірус обходив захист та продовжував заражати систему.

Група програмістів, відома у мережі, як Nowhere Man, випустила конструктор вірусів VCL (Virus Creation Laboratory). Відтепер будь-який школяр, який навіть не володіє мовами програмування, міг озброїтися конструктором і зібрати вірус будь-якого типу та руйнівної сили. З появою VCL і так чималий "потік" нових комп'ютерних шкідників став просто величезним. Чи варто дивуватися, що через кілька днів після появи ОС Windows 3.11 з'явилася і перша деструктивна програма під цю платформу? Win.Vir_1_4 вражав виконувані файли операційної системи, приводячи деякі з них у непридатність.

Перший заарештований вірусописач

Протягом 1993-94 років побачили нові конструктори вірусів: PS-MPC і G2. Створені ними шкідливі програми стали найпоширенішою небезпекою в Інтернеті.

У цей же час відбувся справжній «бум» серед виробників антивірусів – їхні програми, нарешті, стали обов'язковою складовою практично до будь-якої ОС. На ринок безпеки вирішила поринути навіть Microsoft, що випустила Microsoft AntiVirus (MSAV). Спочатку програма була популярною, але згодом найбільший виробник програмного забезпечення у світі припинив розробку продукту.

Лідерство в цій галузі поступово виборола компанія Symantec, частиною якої стали найбільші виробники антивірусного програмного забезпечення: Central Point та Fifth Generation Systems.

Епідемія нового поліморфного вірусу, Pathogen, вже не була подією надзвичайною, до подібного роду подій всі вже почали звикати. Однак це був перший вірус, автор якого був знайдений та засуджений. Безробітний Крістофер Пайл за створення шкідливих програм був засуджений до 18 місяців ув'язнення.

Атака на Microsoft

В 1995 всі розіслані бета-тестерам диски з операційною системою Windows 95 були заражені завантажувальним вірусом Form. На щастя, один із них виявив недобре, і на прилавки магазинів надійшла нормальна, незаражена система.

У серпні того ж року з'явився перший макровірус, написаний мовою WordBasic, вбудованою у текстовий редактор MS Word. Макровірусом Concept були заражені сотні тисяч комп'ютерів по всій земній кулі, внаслідок чого він ще довго лідирував у статистичних дослідженнях комп'ютерних журналів.

В 1996 першу епідемію пережили користувачі Windows 95 - їх комп'ютери були уражені завантажувальним вірусом Boza. У липні того ж року автори макровірусів переключилися з Word на редактор електронних таблиць MS Excel, випустивши для нього вірус Laroux.

Не змусили на себе чекати і резидентні віруси, що використовують сервіси «нульового кільця» ОС. Win95.Punch завантажувався в систему як VxD-драйвер, перехоплював звернення до файлів та заражав їх.

Антивірусні чвари

До 1997 року операційна система Linux, яка раніше вважалася оплотом «чистоти та стабільності», більше не була платформою, вільною від вірусів. Linux.Bliss, що розповсюджувався за допомогою конференцій UseNet, заражав виконувані файли цієї ОС.

У цьому ж році було відзначено появу двох нових типів хробаків, що розповсюджувалися через IRC та FTP. Особливо великою їх кількістю міг «похвалитися» IRC, багато в чому через свою популярність, а також численні «дірки» mIRC – основного клієнта подібних мереж.

Під кінець ХХ століття в гонитві за лідерством стали нерідкими скандали серед виробників антивірусів. Так, представники компанії McAfee оголосили, що її програмісти виявили помилку в антивірусі фірми Dr.Solomon's. Суть заяви зводилася до того, що Dr.Solomon's міг знаходити нові та технічно досконалі віруси лише у спеціальному «посиленому» режимі, в який перемикався лише після знаходження звичайних, примітивних хробаків. В результаті антивірус показував хороші швидкісні результати при скануванні незаражених дисків, і відмінні показники виявлення під час роботи із зараженими файлами. У відповідь Dr.Solomon`s подала позов до суду на McAfee, причиною якого стала її "некоректно побудована рекламна компанія". У результаті вся "заварушка" завершилася покупкою McAfee контрольного пакету акцій Dr.Solomon`s.

Через деякий час публічну заяву зробили тайванські розробники з фірми Trend Micro, які звинуватили McAfee та Symantec у нібито «порушенні їхнього патенту на сканування даних». Світу були відразу представлені докази про «безгрішність» компаній, проте Trend Micro досягла свого, отримавши відмінну безкоштовну рекламу в засобах масової інформації.

Найбільш руйнівні віруси

Продовжувати докладну історію комп'ютерних вірусів аж до наших днів немає сенсу, оскільки щорічно з'являються сотні та тисячі нових шкідливих програм. Я обмежуся лише короткою розповіддю про найвідоміші віруси, що з'явилися після 1997 року:

CIH (1998)– збитки, завдані вірусом, склали близько 80 мільйонів доларів. Вірус був написаний програмістом з Тайваню, і став одним із найруйнівніших в історії. «Чих» заражав виконувані файли та активувався щороку 26 квітня – у день річниці аварії на Чорнобильській АЕС. CIH перезаписував FlashBIOS, після чого материнські плати ставали непридатними для використання. Перший та останній вірус, який завдавав шкоди апаратній частині ПК.

Melissa (1999)- 26 березня 1999 року цей макровірус, що розповсюджувався електронною поштою, заразив близько 20% офісних комп'ютерів по всьому світу. Найбільші корпорації, такі як Intel, були змушені припинити роботу всередині своїх локальних мереж. Збитки – від 300 до 500 мільйонів доларів.

ILOVEYOU (2000)- Скрипт, написаний на макромові Visual Basic. Як і Melissa, поширювався електронною поштою з темою листа «I love you». Вірус розсилав свої копії за всіма даними адресної книги поштового клієнта. Усі логіни та паролі, знайдені хробаком на комп'ютері, надсилалися автору програми. Останній, до речі, і не намагався приховуватись: він є жителем Філіппін, де покарань за комп'ютерні злочини не передбачено.

Code Red (2001)– мережевий хробак, який використовує помилку в мережевому сервісі Microsoft IIS. У заданий день заражені комп'ютери мали розпочати DDOS-атаку за списком різних серверів, серед яких були системи уряду США. Величезні масштаби епідемії і як наслідок – збитки у 2,5 мільярда (!) доларів.

Blaster (2003)– мережевий хробак, який виводив на заражених комп'ютерах повідомлення необхідність перезавантаження. Через кілька днів після його випуску в Інтернет (11 серпня) було заражено мільйони комп'ютерів по всьому світу.

Sobig.F (2003)– мережевий хробак, що розповсюджувався електронною поштою. Вірус, що розмножувався з величезною швидкістю, скачував на заражений комп'ютер додаткові файли, «спалюючи» трафік і ресурси системи. Цікава особливість – 10 вересня вірус припиняв свою діяльність, не представляючи загрози для користувача. Автор Sobig.F, за інформацію про який Microsoft пропонувала 250 тис. доларів, не знайдено досі.

Bagle (2004)– мережевий черв'як, що розповсюджувався за класичним способом, використовуючи файлові вкладення в електронних листах. На зараженому комп'ютері встановлювалася спеціальна «лазівка», якою зловмисник отримував повний доступом до системі. Вірус має понад сто модифікацій.

MyDoom (2004)– у січні 2004 року цей вірус швидко поширився по всьому Інтернету, внаслідок чого середня швидкість завантаження сайтів у глобальній мережі зменшилася на 50%. Черв'ю належить рекорд за швидкістю поширення: менш ніж за добу було заражено близько двох мільйонів комп'ютерів. Точну цифру через масштаби епідемії навести неможливо. Вірус був створений невідомим програмістом як експеримент, і самостійно припинив свою діяльність 12 лютого того ж року.

Sasser (2004)- Вірус викликав «перерву» в роботі французьких супутникових каналів передачі даних, скасував рейси деяких авіакомпаній, не кажучи вже про звичайні комп'ютери, чия робота була повністю призупинена. Поширювався Sasser завдяки помилці в системі безпеки Windows 2000 та XP, запускаючи на зараженому комп'ютері сканер портів. Вірус був написаний 17-річним німецьким школярем. Цікавим є той факт, що хлопець запустив вірус у мережу в День свого повноліття.

Кінця та краю немає

Історія комп'ютерних вірусів до кінця не дописана, продовжуючись і сьогодні. Можливо, коли ви читаєте ці рядки, який-небудь провінційний програміст пише новий вірус, ще більш хитромудрий і руйнівний, ніж усі перераховані вище.

Ну а нам залишається лише сподіватися на милість компаній-виробників антивірусів і стежити за безпекою своїх систем.

додаток

Віруси для мобільних пристроїв

У 2000 році було вперше знайдено вірус для платформи PalmOS. Програма Phage.936 переходила між КПК під час передачі через ІЧ-порт. При зараженні кишенькового комп'ютера були видалені деякі файли, а програми часто мимоволі закриваються. З того часу з'явилося кілька десятків вірусів для різних платформ КПК, хоча вони не такі різноманітні й «гнучкі», як їхні «побратими» для персональних комп'ютерів.

На сьогоднішній день не дивують шкідливі програми для смартфонів. Першим вірусом для ОС Symbian став вірус Cabir. Він не робив жодних деструктивних дій і був створений лише для демонстрації потенційної схильності мобільних пристроїв до вірусних атак та епідемій. Хробак поширювався через Bluetooth-з'єднання. Скільки ще залишилося чекати до появи руйнівних вірусів для мобільних пристроїв, покаже час.

1. http://www.viruslist.com/ru - вірусна енциклопедія, опис всіх вірусів. Новини та аналітичні огляди.
2. http://vx.netlux.org – журнали, статті про віруси. Вихідні коди та посібники.

Дмитро Мороз

Вконтакте

Складання