Рубрика:
БИТ. Бизнес & Информационные технологии /
История вопроса
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Илья Александров
История компьютерных вирусов
К ним уже привыкли. Их не боятся школьные учителя информатики, о них не пишут на первых полосах газет. Но они продолжают выполнять свою разрушительную роль в жизни пользователей компьютеров.
Предвестники электронных эпидемий
Сказать, где и когда появился первый вирус, невозможно, поскольку таких данных в природе не существует. Если на «компьютере» Чарльза Бэббиджа, «отца» первой вычислительной машины, вирусов ещё не было, к середине семидесятых годов прошлого века они стали весьма распространенным и неприятным для большинства явлением. Тем не менее, предпосылки к их созданию появились практически сразу же с созданием первых ЭВМ.
Еще в 1940 году математик Джон фон Нейман написал книгу, в которой были описаны самовоспроизводящиеся математические автоматы, то есть принципы, которые легли в основу всех вирусов. В 1959 году американский научный журнал «Scientific American» опубликовал статью Л. Пенроуза, рассказывавшую о самостоятельно распространяющихся биологических структурах. Автор рассмотрел способности подобных структур к мутациям, активации и размножению. Другой ученый, Ф. Шталь, полученные из этой статьи знания реализовал на практике. Работая оператором в научно-исследовательской лаборатории, он имел доступ к мощнейшей для того времени ЭВМ – IBM 650. Эксперимент очень удивил Шталя, превзойдя все его ожидания. Получившийся в результате «мутации» математических алгоритмов электронный «зверек» удалил все следы своих «родителей», присутствовавших в системе, после чего самоуничтожился.
Естественно, все вышеперечисленные труды и опыты были направлены не для того, чтобы нынешние вирусописатели ежедневно выбрасывали в Интернет мегабайты новой «заразы». Изначально эти исследования, относившиеся к области создания искусственного интеллекта, представляли собой академический интерес. Однако любое открытие, сделанное в мирных целях, может быть без особых трудностей превращено в мощное оружие разрушения.
В 1961 году среди компьютерщиков была очень популярна игра «Darwin». Её сюжет и смысл были просты: игрок руководил «расой», которая должна была уничтожить своих конкурентов. Выигрывал тот, кто захватит всю отданную под игровой процесс оперативную память. Особых действий в игре не требовалось: необходимо было лишь размножить принадлежащих к своей расе на свободные ячейки ОЗУ или же захватить ячейки противника. Подобный алгоритм очень похож на логику работы деструктивных программ.
Широкое распространение компьютерных сетей стало катализатором появления на свет первых деструктивных программ – компьютерных вирусов.
70-е годы: начало
Появление первого в мире компьютерного вируса было зафиксировано в начале 70-х годов прошлого столетия, когда на просторах военной компьютерной сети APRAnet – прародительницы современного Интернета – была найдена программа Creeper. Вирус был написан для распространенной в те времена операционной системы Tenex, в которую он проникал, распространяясь через модемную связь. На экран зараженных компьютеров периодически выводилась надпись: «I’M THE CREEPER: CATCH ME IF YOU CAN». Деструктивных действий Creeper не совершал, ограничиваясь лишь этим сообщением, раздражавшим пользователей. Чуть позже для него было написано «противоядие» – программа Reaper, находившая файл с вирусом и удалявшая его. Распространялась она, кстати, аналогичным с Creeper способом. Можно сказать, что первый в мире антивирус был создан «по аналогии с вредоносной программой».
В 1974 году «частым гостем» на различных серверах была программа с милым для животноводов названием Rabbit. «Кролик» ничего, кроме распространения и размножения самого себя, не делал. Программа самовоспроизводилась с огромной скоростью, постепенно занимая все системные ресурсы. Иногда Rabbit даже вызывал сбой в работе серверов.
Другой пример – логическая игра Pervading Animal для операционной системы Exec 8, смысл которой заключался в отгадывании пользователем загаданного программой животного. Если ему это не удавалось, игра предлагала модернизировать ее, после чего появлялась возможность задавать дополнительные наводящие вопросы.
Модифицированная версия программы странным образом начинала копироваться в другие директории, в результате чего через некоторое время во всех папках жесткого диска содержалась копия Pervading Animal. Так как в то время каждый килобайт пространства был «на вес золота», подобное поведение игры мало кого обрадовало. До сих пор не ясно, была ли это ошибка программистов либо же задумка вирусописателей. Впрочем, проблема была быстро решена – новая версия операционной системы Exec 8 базировалась на другом типе файловой системы, на которой программа засорять файловое пространство больше не могла.
80-е: первые эпидемии
К восьмидесятым годам прошлого столетия компьютер перестал быть роскошью, доступной лишь избранным. Владельцев ПК становится все больше, кроме того, обмен информацией между пользователями с помощью электронных досок объявлений (BBS – Buletin Board System) достиг международного масштаба.
В 1981 году произошла первая по-настоящему массовая вирусная эпидемия. Пострадали широко распространенные в то время компьютеры Apple II. Вирус Elk Clone записывался в загрузочные секторы дискет в момент обращения к ним пользователя. Elk Clone искажал изображение на мониторе, выводил на экран различные текстовые сообщения, заставлял мигать текст. Неискушенные пользователи впадали от действий вируса в оцепенение, в то время как он сам продолжал «перемещаться» с одного компьютера на другой.
В 1983 году американский программист Лен Эйделман впервые употребил термин «вирус», которым он обозначил саморазмножающиеся программы.
Спустя год Фред Коэн, один из самых авторитетных вирусологов, дал четкое определение понятию «компьютерный вирус»: «программа, способная «заражать» другие программы при помощи их модификации с целью внедрения своих копий».
В 1986 году 19-летний пакистанец Басит Фарук Алви написал вирус Brain. Также как и Elk Clone, Brain поражал загрузочные сектора дискет. Программа не была ориентирована на какие-либо разрушительные функции, она лишь меняла метку всех дискет на «(С)Brain». Как утверждает автор, он преследовал только одну цель – выяснить уровень компьютерного пиратства у себя в стране. Но уже через несколько недель после активации вируса зараженными оказались тысячи компьютеров по всему миру, что вызвало настоящий переполох среди пользователей и бурю обсуждений в средствах массовой информации. В Brain был впервые использован прием, когда при чтении зараженного сектора диска вирус подставлял вместо этого раздела незараженный.
В 1988 году была создана первая вредоносная программа, которая не просто заражала компьютер, но и наносила ему реальный вред. Этот вирус был создан в Лехайском университете, в котором, кстати, работал ранее упоминавшийся Фред Коэн. Вирус Lehigh уничтожал информацию на дисках, поражая системные файлы COMMAND.COM. Наличие квалифицированных специалистов в университете оказалось спасением – за стены учебного заведения он так и не пробрался. Впрочем, немалую роль в устранении угрозы эпидемии сыграл и алгоритм самого Lehigh – во время форматирования винчестеров он самоуничтожался вместе с остальной информацией.
В это же время начало активно развиваться программное обеспечение, защищавшее компьютеры от вирусов. Антивирусные программы того времени представляли собой простенькие сканеры, которые посредством контекстного поиска пытались обнаружить вирусный код в программах. Другим распространенным «лекарством» от вредоносных программ того времени были «иммунизаторы». Этот тип ПО модифицировал все программы таким образом, чтобы вирусы считали их уже зараженными и не выполняли по отношению к ним никаких действий. После того как количество вирусов возросло в тысячи раз, использование иммунизаторов было уже бесполезным.
Антивирусные фирмы чаще всего состояли из двух-трех человек и свои продукты продавали за символическую сумму либо раздавали бесплатно. Но распространенность защитных программ была очень низка, да и непрерывное появление новых вирусов делало их бессильными. Интернет в то время ещё не успел «вырваться» из «объятий» учёных и военных, а обновляться без наличия глобальной сети было практически невозможно.
В середине 80-х годов появился термин «Virus Hoax» – «вирусная мистификация». В конце восьмидесятых пользователи панически боялись вирусов: мифы о программах, выводящих из строя аппаратную часть ПК, будоражили ум каждого владельца компьютера. Virus Hoax были ничем иным, как ложными слухами о новых компьютерных эпидемиях. Вспоминается история, когда один шутник разослал на разные BBS сообщения о появлении нового вируса, который распространялся через модемы, работавшие со скоростью передачи информации 2400 бит в секунду. Чтобы не заразиться вирусом, автор рекомендовал перейти на модемы со скоростью 1200 бит/с. И что вы думаете? Масса пользователей выбросила более быстрые модемы ради своей «безопасности».
В 1988 произошла первая эпидемия, вызванная сетевым компьютерным вирусом. Впоследствии такие вирусы стали именоваться «червями». Созданная неким Робертом Моррисом программа поражала компьютеры, работавшие под ОС UNIX. В планы создателя не входило нанесение вреда системе, червь должен был лишь проникнуть в сеть ARPAnet и оставаться там незамеченным. Вирус обладал возможностью вскрытия паролей в ОС, и в списке выполнявшихся процессов детище Морриса отображалось в виде обычного пользовательского процесса. Червь стремительно саморазмножался и пожирал все свободные ресурсы компьютера, вследствие чего из строя выходили целые серверы. Некоторые из них смогли вернуться к работе лишь через пять суток, поскольку вакцины против червя не существовало. За время своего «хождения по миру» вирус поразил около 6000 компьютерных систем, затронув даже компьютеры исследовательского центра NASA. Роберт Моррис отделался 400 часами общественных работ, но вошел в историю как автор первого разрушительного сетевого червя.
90-е: полиморфные вирусы
В начале 90-х годов прошлого столетия английская компания Sophos, в которой работали Ян Храске, Эд Уайлдинг и Питер Лэймер, приступила к выпуску журнала «Virus Bulletin». Virus Bulletin рассказывал о компьютерных вирусах, а также обо всех аспектах защиты от них. Авторами журнала являлись программисты, руководители антивирусных компаний, разработчики ПО. Журнал был некоммерческим: за всю его историю в нем не было напечатано ни одного рекламного объявления. Из-за этого Virus Bulletin не получил широкой распространенности. Его читателями были в основном профессионалы в сфере IT (информационных технологий), а также сотрудники компьютерных фирм.
В 1990 году появился новый тип вредоносных программ – полиморфные вирусы. «Полиморфизмом» была названа технология, при которой вирус нельзя было обнаружить сканером, искавшим вирусы с помощью фрагментов уже известного вредоносного кода. Полиморфизм позволяет программам генерировать код во время исполнения, в результате чего копия вируса на каждом новом заражённом компьютере будет отличаться от предыдущей. Первым подобным вирусом стал Chameleon, написанный Марком Вашбёрном. После появления полиморфных программ неотъемлемой частью антивируса стал эмулятор для дешифрации кодов, впервые использованный Евгением Касперским.
В этом же году в Болгарии, которая тогда была центром мирового вирусописания, появилась специализированная BBS, с которой каждый желающий мог скачать вредоносные программы. Конференции, посвященные программированию вирусов, появились и в UseNet.
В это же время была опубликована книга «Маленькая Черная Книжка о Компьютерных Вирусах» Марка Людвига. Она стала «Библией» всех создателей вирусов. Была сформирована так называемая «VX-сцена» – сообщество программистов, специализирующихся на создании компьютерных вирусов.
Конструкторы вредоносных программ
В 1992 году хакер, известный под ником Dark Avenger, выпустил в свет утилиту MtE (Mutation Engine). С её помощью любой, даже самый примитивный вирус можно было сделать полиморфным. Этим же человеком был впервые создан вирус Peach, наделенный способностью обходить антивирусное ПО. Peach удалял базу изменений программы Central Point AntiVirus. Эта программа, не находив свою базу данных, считала, что запущена впервые, и создавала её вновь. Таким образом, вирус обходил защиту и продолжал заражать систему.
Группа программистов, известная в сети, как Nowhere Man, выпустила конструктор вирусов VCL (Virus Creation Laboratory). Отныне любой школьник, даже не владеющий языками программирования, мог вооружиться конструктором и собрать вирус любого типа и разрушительной силы. С появлением VCL и так немалый «поток» новых компьютерных вредителей стал просто огромным. Стоит ли удивляться, что спустя несколько дней после выхода в свет ОС Windows 3.11 появилась и первая деструктивная программа под эту платформу? Win.Vir_1_4 поражал исполняемые файлы операционной системы, приводя некоторые из них в негодность.
Первый арестованный вирусописатель
На протяжении 1993-94 годов свет увидели новые конструкторы вирусов: PS-MPC и G2. Сгенерированные ими вредоносные программы стали самой распространенной опасностью в Интернете.
В это же время состоялся настоящий «бум» среди производителей антивирусов – их программы, наконец-то, стали обязательной составляющей к практически любой ОС. На рынок безопасности решила проникнуть даже Microsoft, выпустившая Microsoft AntiVirus (MSAV). Первоначально программа была популярна, но впоследствии крупнейший производитель программного обеспечения в мире прекратил разработку продукта.
Лидерство в этой области постепенно завоевала компания Symantec, частью которой стали крупнейшие производители антивирусного программного обеспечения: Central Point и Fifth Generation Systems.
Эпидемия нового полиморфного вируса, Pathogen, уже не была событием из ряда вон выходящим, к подобного рода событиям все уже начали привыкать. Однако это был первый вирус, автор которого был найден и осуждён. Безработный Кристофер Пайл за создание вредоносных программ был приговорен к 18 месяцам тюремного заключения.
Атака на Microsoft
В 1995 году все разосланные бета-тестерам диски с операционной системой Windows 95 были заражены загрузочным вирусом Form. К счастью, один из них обнаружил неладное, и на прилавки магазинов поступила нормальная, незараженная система.
В августе того же года появился первый макровирус, написанный на языке WordBasic, встроенном в текстовый редактор MS Word. Макровирусом Concept были заражены сотни тысяч компьютеров по всему земному шару, вследствие чего он еще долго лидировал в статистических исследованиях компьютерных журналов.
В 1996 году первую эпидемию пережили пользователи Windows 95 – их компьютеры были поражены загрузочным вирусом Boza. В июле того же года создатели макровирусов переключились с Word на редактор электронных таблиц MS Excel, выпустив для него вирус Laroux.
Не заставили себя ждать и резидентные вирусы, использующие сервисы «нулевого кольца» ОС. Win95.Punch загружался в систему как VxD-драйвер, перехватывал обращения к файлам и заражал их.
Антивирусные склоки
К 1997 году операционная система Linux, ранее считавшаяся оплотом «чистоты и стабильности», больше не являлась платформой, свободной от вирусов. Linux.Bliss, распространявшийся посредством конференций UseNet, заражал исполняемые файлы этой ОС.
В этом же году было отмечено появление двух новых типов червей, распространявшихся через IRC и FTP. Особо большим их количеством мог «похвастаться» IRC, во многом из-за своей популярности, а также многочисленных «дыр» mIRC – основного клиента подобных сетей.
Под конец ХХ века в погоне за лидерством стали нередки скандалы среди производителей антивирусов. Так, представители компании McAfee объявили о том, что ее программисты обнаружили ошибку в антивирусе фирмы Dr.Solomon’s. Суть заявления сводилась к тому, что Dr.Solomon’s мог находить новые и технически совершенные вирусы только в специальном «усиленном» режиме, в который переключался лишь после нахождения обычных, примитивных червей. В результате антивирус показывал хорошие скоростные результаты при сканировании незараженных дисков, и отличные показатели обнаружения при работе с зараженными файлами. В ответ Dr.Solomon`s подала иск в суд на McAfee, причиной которого стала её «некорректно построенная рекламная компания». В итоге вся «заварушка» завершилась покупкой McAfee контрольного пакета акций Dr.Solomon`s.
Спустя некоторое время публичное заявление сделали тайваньские разработчики из фирмы Trend Micro, обвинившие McAfee и Symantec в якобы «нарушении их патента на сканирование данных». Миру были сразу представлены доказательства о «безгрешности» компаний, однако Trend Micro добилась своего, получив отменную бесплатную рекламу в средствах массовой информации.
Наиболее разрушительные вирусы
Продолжать подробную историю компьютерных вирусов вплоть до наших дней не имеет смысла, поскольку ежегодно появляются сотни и тысячи новых вредоносных программ. Я ограничусь лишь кратким рассказом о самых известных вирусах, появившихся после 1997 года:
CIH (1998) – ущерб, нанесенный вирусом, составил порядка 80 миллионов долларов. Вирус был написан программистом из Тайваня, и стал одним из самых разрушительных в истории. «Чих» заражал исполняемые файлы и активировался каждый год 26 апреля – в день годовщины аварии на Чернобыльской АЭС. CIH перезаписывал FlashBIOS, после чего материнские платы становились непригодными к использованию. Первый и последний вирус, который наносил вред аппаратной части ПК.
Melissa (1999) – 26 марта 1999 года этот макровирус, распространявшийся по электронной почте, заразил около 20% офисных компьютеров по всему миру. Крупнейшие корпорации, такие как Intel, были вынуждены прекратить работу внутри своих локальных сетей. Ущерб – от 300 до 500 миллионов долларов.
ILOVEYOU (2000) – скрипт, написанный на макроязыке Visual Basic. Так же как и Melissa, распространялся по электронной почте с темой письма «I love you». Вирус рассылал свои копии по всем данным адресной книги почтового клиента. Все логины и пароли, найденные червем на компьютере, отсылались автору программы. Последний, кстати, и не пытался скрываться: он является жителем Филиппин, где наказаний за компьютерные преступления не предусмотрено.
Code Red (2001) – сетевой червь, использующий ошибку в сетевом сервисе Microsoft IIS. В заданный день зараженные компьютеры должны были начать DDOS-атаку по списку различных серверов, среди которых были системы правительства США. Огромные масштабы эпидемии и как итог – убытки в 2,5 миллиарда (!) долларов.
Blaster (2003) – сетевой червь, выводивший на зараженных компьютерах сообщение о необходимости перезагрузки. Через пару дней после его выпуска в Интернет (11 августа) были заражены миллионы компьютеров по всему миру.
Sobig.F (2003) – сетевой червь, распространявшийся по электронной почте. Размножавшийся с огромной скоростью вирус скачивал на заражённый компьютер дополнительные файлы, «сжигая» трафик и ресурсы системы. Интересная особенность – 10 сентября вирус прекращал свою деятельность, больше не представляя угрозы для пользователя. Автор Sobig.F, за информацию о котором Microsoft предлагала 250 тыс. долларов, не найден до сих пор.
Bagle (2004) – сетевой червь, распространявшийся по классическому способу, используя файловые вложения в электронных письмах. На заражённом компьютере устанавливалась специальная «лазейка», через которую злоумышленник получал полный доступ к системе. Вирус имеет более ста модификаций.
MyDoom (2004) – в январе 2004 года этот вирус молниеносно распространился по всему Интернету, в результате чего средняя скорость загрузки сайтов в глобальной сети уменьшилась на 50%. Червю принадлежит рекорд по скорости распространения: менее чем за сутки было заражено около двух миллионов компьютеров. Точную цифру из-за масштабов эпидемии привести невозможно. Вирус был создан неизвестным программистом в качестве эксперимента, и самостоятельно прекратил свою деятельность 12 февраля того же года.
Sasser (2004) – вирус вызвал «перерыв» в работе французских спутниковых каналов передачи данных, отменил рейсы некоторых авиакомпаний, не говоря уже об обычных компьютерах, чья работа была полностью приостановлена. Распространялся Sasser благодаря ошибке в системе безопасности Windows 2000 и XP, запуская на зараженном компьютере сканер портов. Вирус был написан 17-летним немецким школьником. Интересен тот факт, что парень запустил вирус в сеть в День своего совершеннолетия.
Конца и края нет
История компьютерных вирусов до конца не дописана, продолжаясь и сегодня. Возможно, в то время как вы читаете эти строки, какой-нибудь провинциальный программист пишет новый вирус, еще более хитроумный и разрушительный, чем все вышеперечисленные.
Ну а нам остаётся лишь уповать на милость компаний-производителей антивирусов и следить за защищённостью своих систем.
Приложение
Вирусы для мобильных устройств
В 2000 году был впервые найден вирус для платформы PalmOS. Программа Phage.936 переходила между КПК во время передачи через ИК-порт. При заражении карманного компьютера могли быть удалены некоторые файлы, а приложения часто самопроизвольно закрываются. С тех пор появилось несколько десятков вирусов для различных платформ КПК, хотя они не столь разнообразны и «гибки», как их «собратья» для персональных компьютеров.
На сегодняшний день не вызывают удивления вредоносные программы для смартфонов. Первым вирусом для ОС Symbian, стал вирус Cabir. Он не совершал никаких деструктивных действий и был создан лишь для демонстрации потенциальной подверженности мобильных устройств к вирусным атакам и эпидемиям. Червь распространялся через Bluetooth-соединения. Сколько ещё осталось ждать до появления по-настоящему разрушительных вирусов для мобильных устройств, покажет время.
- http://www.viruslist.com/ru – вирусная энциклопедия, описание всех вирусов. Новости и аналитические обзоры.
- http://vx.netlux.org – журналы, статьи о вирусах. Исходные коды и руководства.
Редактор рубрики
Дмитрий Мороз
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|