Современные угрозы и каналы утечки информации

Вместе с несколькими другими вирусами («cascad», «sloked», «vienna») вирус «Jerusalem» распространился по тысячам компьютеров, оставаясь незамеченным - антивирусные программы еще не были распространены в то время так же широко как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов. Показателен тот факт, что в том же году компьютерный гуру и человек - легенда Питер Нортон высказался против существования вирусов. Он объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал фирме Symantec через некоторое время начать собственный антивирусный проект - Norton AntiVirus.

Начали появляться заведомо ложные сообщения о компьютерных вирусах, никакой реальной информации не содержащие, но вносившие панику в стройные ряды компьютерных пользователей. Одна из первых таких «злых шуток» (современный термин - «virus hoax») принадлежит некому Mike RoChenle (псевдоним похож на «Microchannel»), который разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бод. Как это ни смешно, многие пользователи отказались от стандарта тех дней 2400 и снизили скорость своих модемов до 1200 бод. Подобные «hoax»-ы появляются и сейчас. Наиболее известны на сегодняшний день - GoodTimes и RoldFree.

Ноябрь 1988: повальная эпидемия сетевого вируса Морриса (другое название - Internet Worm). Вирус заразил более 6000 компьютерных систем в США (включая NASA Research Institute) и практически парализовал их работу. По причине ошибки в коде вируса он, как и вирус-червь «Cristmas Tree», неограниченно рассылал свои копии по другим компьютерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.

Вирус использовал для своего размножения ошибки в операционной системе Unix для VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал несколько других оригинальных идей, например, подбор паролей пользователей. Подробнее об этом вирусе и связанным с ним инцидентом можно прочитать в достаточно подробной и интересной статье Игоря Моисеева в журнале КомпьютерПресс, 1991, N 8, 9.

Декабрь 1988: сезон вирусов-червей продолжается, на этот раз в сети DECNet. Вирус-червь Hi.Com выводил на экран изображение елочки и извещал пользователей, что им следует «stop computing and have a good time at home!!!».

Появляются новые антивирусные программы, например, Dr.Solomon's AntiVirus Toolkit, являющийся на сегодняшний день одним из самых мощных антивирусов.

1989 год

Появляются новые вирусы - «FuManchu» и целые семейства - «Vacsina» и «Yankee». Первый имел крайне опасное проявление - с 13 октября по 31 декабря он форматировал винчестер. Этот вирус вырвался «на свободу» и вызвал повальную истерию в средствах массовой информации в Голландии и Великобритании.

Сентябрь 1989: на рынок выходит еще одна антивирусная программа - IBM AntiVirus.

Октябрь 1989: в сети DECNet зафиксирована еще одна эпидемия вируса-червя - «WANK Worm».

Декабрь 1989: инцидент с «троянским конем» «Aids». Было разослано 20.000 его копий на дискетах, помеченных как «AIDS Information Diskette Version 2.0». После 90 загрузок системы «троянец» шифровал имена всех файлов на диске, делал их невидимыми (атрибут «hidden») и оставлял на диске только один читаемый файл - счет на 189 долларов, который следовало послать по адресу PO Box 7, Panama. Автор «троянца» был пойман и приговорен к тюремному заключению.

Следует отметить тот факт, что 1989 год являлся началом повальной эпидемии компьютерных вирусов в России - все те же вирусы «Cascade», «Jerusalem» и «Vienna» заполонили компьютеры российских пользователей. К счастью, российские программисты довольно быстро разобрались с принципами их работы и практически сразу появилось несколько отечественных противоядий-антивирусов.

Мое первое знакомство с вирусом (это был вирус «Cascade») произошло в октябре 1989 года - вирус оказался обнаруженным на моем рабочем компьютере. Именно это и послужило толчком для моей профессиональной переориентации на создание программ-антивирусов. Кстати, тот первый вирус я вылечил популярной в те времена антивирусной программой ANTI-KOT Олега Котика. Месяцем позже второй инцидент (вирус «Vacsina») был закрыт при помощи первой версии моего антивируса -V (который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro). К концу 1989 года на просторах России паслось уже около десятка вирусов (перечислены в порядке их появления): две версии «Cascade», несколько вирусов «Vacsina» и «Yankee», «Jerusalem», «Vienna», «Eddie», «PingPong».

1990 год

Этот год принес несколько довольно заметных событий. Первым из них является появление первых полиморфик - вирусов «Chameleon» (другое название - «V2P1», «V2P2» и «V2P6»). До этого момента антивирусные программы для поиска вирусов пользовались так называемыми «масками» - кусками вирусного кода. После появления вирусов «Chameleon» разработчики антивирусных программ были вынуждены искать другие методы их обнаружения.

Вторым событием являлось появление болгарского «завода по производству вирусов»: огромное количество новых вирусов имели болгарское происхождение. Это были целые семейства вирусов «Murphy», «Nomenclatura», «Beast» (или «512», «Number-of-Beast»), новые модификации вируса «Eddie» и др. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и скрытия себя в системе. В Болгарии же впервые появилась и первая BBS, ориентированная на обмен вирусами и информацией для вирусописателей.

В июле 1990 произошел инцидент с компьютерным журналом PC Today (Великобритания). Он содержал флоппи-диск, зараженный вирусом «DiskKiller». Было продано более 50.000 копий журнала.

Во второй половине 1990-го появились два стелс - монстра - «Frodo» и «Whale». Оба вируса использовали крайне сложные стелс - алгоритмы, а девятикилобайтный «Whale» к тому же применял несколько уровней шифровки и анти-отладочных приемов.

Появились и первые известные мне отечественные вирусы: «Peterburg», «Voronesh» и ростовский «LoveChild».

1991 год

Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Растет и антивирусная активность: сразу два софтверных монстра (Symantec и Central Point) выпускают собственные антивирусные программы - Norton AntiVirus и Central Point AntiVirus. Следом появляются менее известные антивирусы от Xtree и Fifth Generation.

В апреле разразилась настоящая эпидемия файлово - загрузочного полиморфик - вируса «Tequila», а в сентябре подобная же «история» произошла с вирусом «Amoeda». Россию эти события практически не затронули.

Лето 1991: эпидемия вируса «Dir ll», использовавшего принципиально новые способы заражения файлов (link-вирус).

В целом, год 1991 был достаточно спокойным - этакое затишье перед бурей, разразившейся в 1992-м.

1992 год

Вирусы для не - IBM-PC и не - MS-DOS практически забыты: «дыры» в глобальных сетях закрыть, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. На этом фоне выделяются несколько основных моментов:

Начало 1992: первый полиморфик - генератор VtE, на базе которого через некоторое время появляется сразу несколько полиморфик - вирусов. MtE явился также прообразом нескольких последующих полиморфик - генераторов.

Март 1992: эпидемия вируса «Michelangelo» («March6») и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своему продукту, т.е. в целях извлечения коммерческой выгоды. Так одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадали всего около 10.000 машин.

Июль 1992: появление первых конструкторов вирусов VCL и PS-MPS, которые увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.

Конец 1992: первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу в вирусописательстве.

1993 год

Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик - генераторов и конструкторов, помимо новых электронных изданий врусописателей появляется все больше и больше вирусов, использующих крайне необычные способы заражения файлов, проникновения в систему и т.д. Основными примерами являются:

«PMBS», работающий в защищенном режиме процессора Intel 80386.

«Strange» (или «Hmm») - сольное выступление на тему «стелс-вирус», однако выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h.

«Shadowgard» и «Carbuncle», значительно расширившие диапазон алгоритмов компаньон - вирусов;

«Emmie», «Metallica», «Bomber», «Urugyay» и «Cruncher» - использование принципиально новых приемов «спрятывания» своего кода в зараженных файлах.

Весной 1993 Microsoft выпустил свой собственный антивирус MSAV, основой которого послужил CPAV от Central Point.

1994 год

Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярными, эти диски оказались одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер - диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходится - их придется просто уничтожить.

В начале года в Великобритании появились два крайне сложных полиморфик-вируса - «SMEG Pathogen» и «SMEG Queeg» (до сих пор не все антивирусные программы в состоянии достичь 100%-го результата при их детектировании). Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.

Еще одну волну паники вызвало сообщение о якобы существующем вирусе «GoodTimes», распространяющем себя по сети Интернет и заражающем компьютер при получении электронной почты. На какого такого вируса на самом деле не существовало, однако через некоторое время появился обычный DOS-вирус с текстом «Good Times», вирус этот получил название «GT - Spoof».

Активизируются правоохранительные органы: летом 1994 автор SMEG был «вычислен» и арестован. Примерно в то же самое время в той же Великобритании арестована целая группа вирусописателей, называвшая себя ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще один автор вирусов был арестован в Норвегии.

Появляются несколько новых достаточно необычных вирусов:

Январь 1994: «Shifter» - первый вирус, заражающий объектные модули OBJ-файлы «Phantom1» - эпидемия первого полиморфик-вируса в Москве.

Апрель 1994: «SrcVir» - семейство вирусов, заражающих исходные тексты программ (C и Pascal).

Июнь 1994: «OneHalf» - начало повальной эпидемии вируса, до сих пор являющегося самым популярным вирусом в России.

Сентябрь 1994: «Зараза» - эпидемия файлово - загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.

В 1994 году (весна) перестал существовать один из антивирусных лидеров того времени - Central Point. Он был приобретен фирмой Симантек, которая до того уже успела «проглотить» несколько небольших фирм, занимавшихся антивирусными разработками - Peter Norton Computing, Certus International и Fifth Generation Systems.

1995 год

Ничего действительно заметного в области DOS-вирусами не произошло, хотя появляется несколько достаточно сложных вирусов-монстров типа «NightFall», «Nostradamys», «Nutcracker» и таких забавных вирусов, как «двуполый» вирус «RMNS» и BAT-вирус «Winstart». Широкое распространение получили вирусы «ByWay» и «DieHard2» - сообщения о зараженных компьютерах были получены практически со всего мира.

Февраль 1995: произошел инцидент с Microsoft: на диске, содержащем демонстрационную версию Windows95, обнаружен вирус «Form». Копии этого диска Microsoft разослал бета-тестерам, один из которых не поленился проверить диск на вирусы.

Весна 1995: аннонсирован альянс двух антивирусных компаний - ESaSS (ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы.

Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в «живом виде» обнаружен первый вирус для Microsoft Word («Concept»). Буквально за месяц вирус «облетел» весь земной шар, заполонил компьютеры пользователей MS - Word и прочно занял первое место в статистических исследованиях, проводимых различными компьютерными изданиями.

1996 год

Январь 1996: два достаточно заметных события - появился первый вирус для Windows95 («Win95.Boza») и эпидемия крайне сложного полиморфик-вируса «Zhengxi» в Санкт-Петербурге.

Март 1996: первая эпидемия вируса для Windows 3.x. Его имя - «Win.Tentacle». Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Интересность этого события состояла в том, что это был ПЕРВЫЙ Windows-вирус, вырвавшийся на свободу. До той поры (насколько мне известно) все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в «живом виде» встречались только загрузочные, DOS- и Macro-вирусы.

Июнь 1996: «OS2.AEP» - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом «компаньон».

Июль 1996: «Laroux» - первый вирус для Microsoft Excel, к тому же пойманный в «живом виде» (практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР). Как и у MS-Word-вирусов, принцип действия «Laroux» основывается на наличии в файлах так называемых макросов - программ на языке Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS - Word. Как оказалось, встроенный в Excel язык Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997 стал причиной эпидемии в компьютерных фирмах Москвы.

Декабрь 1996: «Win95.Punch» - первый «резидентный» вирус для Win95. Загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.

В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андеграунда на операционную систему Windows32 (Windows95 и Windows NT) и на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows95/NT и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс - и полиморфик - механизмы и т.п. Таким образом, компьютерные вирусы вышли на новый виток своего развития - на уровень 32-битных операционных систем. За два года вирусы для Windows32 повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно новом технологическом уровне.

1997 год

Февраль 1997: «Linux.Bliss» - первый вирус для Linux (разновидность юникса). Так вирусы заняли еще одну «биологическую» нишу.

Февраль-апрель 1997: Макро-вирусы перебрались и в Office97. Первые из них оказались всего лишь «отконвертированными» в новый формат макро-вирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97.

Март 1997: «ShareFun» - макро-вирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS - Mail.

Апрель 1997: «Homer» - первый сетевой вирус-червь, использующий для своего размножения File Transfer Protocol (ftp). Июнь 1997: Появление первого самошифрующегося вируса для Windows95. Вирус, имеющий российское происхождение, был разослан на несколько BBS в Москве, что стало причиной эпидемии.

Ноябрь 1997: Вирус “Esperanto”. Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы Mac OS (Макинтош).

Декабрь 1997: появилась новая форма вируса - черви mIRC. Оказалось, что наиболее популярная утилита Windows IRC (Internet Relay Chat), известная как mIRC, содержала «дыру», позволяющую вирусным скриптам передавать себя по IRC-каналам. В очередной версии IRC дыра была закрыта, и mIRC-черви канули в лету.

Основным антивирусным событием в 1997 году стало, конечно же, отделение антивирусного подразделения фирмы КАМИ в независимую компанию «Лаборатория Касперского», зарекомендовавшую себя на сегодняшний день как признанный технический лидер антивирусной индустрии. Начиная с 1994 года основной продукт компании - антивирусный сканер AntiViral Toolkit Pro (AVP) - стабильно показывает высокие результаты в многочисленных тестах, проводимых различными тестовыми лабораториями всего мира. Отделение в независимую компанию позволило по началу небольшой группе разработчиков стать первой по значимости антивирусной компанией на отечественном рынке и достаточно заметной фигурой на ринке мировом. За короткие сроки были разработаны и выпущены версии для практически всех популярных платформ, предложены новые антивирусные решения, создана сеть международной дистрибуции и технической поддержки.

В октябре 1997 года было подписано соглашение о лицензировании технологий AVP финской компанией DataFellows для использования в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания DataFellows была известна как производитель антивируса F-PROT.

Год 1997 также заметен по нескольким скандалам, разразившимся между основными производителями антивирусов в США и Европе. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили «закладку» в программах одного из своих основных конкурентов - в антивирусе фирмы Dr.Solomon. Заявление от McAfee гласило, что если антивирус Dr.Solomon при сканировании обнаруживает несколько вирусов различных типов, то дальнейшая его работа происходит в усиленном режима. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr.Solomon работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee «cheat mode» - «режим обмана»), позволяющий детектировать вирусы, невидимые для Dr.Solomon при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr.Solomon показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.

Через некоторое время Dr.Solomon нанес ответный удар, пришедшийся на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись тексту «The Number One Choice Worldwide. No Wonder The Doctor's Left Town». Одновременно с этим компания McAfee вела юридические тяжбы с другой антивирусной компанией Trend Micro по поводу нарушения патента на технологию сканирования данных, передаваемых по Интернет и электронной почте. В этот же конфликт c Trend Micro оказалась втянута фирма Symantec. Затем Symantec предъявил иск McAfee по обвинению в использовании кодов Symantec в продуктах McAfee. Ну и т.д.

Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Assotiates и о позиционировании усилий не только в области антивирусных защит, но и в разработке универсальных систем компьютерной безопасности, шифрования и сетевого администрирования. Начиная с этого момента вирусной и антивирусной истории McAfee следует читать как NAI.

1998 год

Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в Интернет, и несколько утилит скрытого администрирования. Зафиксированы инциденты с зараженными CD-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами «CIH» и «Marburg».

Начало года: Эпидемия целого семейства вирусов «Win32.HLLP.DeTroie», не только заражающих выполняемые файлы Windows32, но и способные передать своему «хозяину» информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франко - говорящие страны.

Февраль 1998: обнаружен еще один тип вируса, заражающий таблицы Excel - «Excel4.Paix» (или «Formula.Paix»). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код.

Февраль-март 1998: «Win95.HPS» и «Win95.Marburg» - первые полиморфные Windows32-вирусы, обнаруженные к тому же "в живом виде". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.

Март 1998: “AccessiV” - первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами “Word.Concept» и «Excel.Laroux», он не стал, поскольку все уже привыкли к тому, что приложения MS Office падают одно за другим.

Март 1998: Макро-вирус «Cross» - первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-проложения в другое. Май 1998: вирус «RedTeam». Заражает EXE-файлы Windows, рассылает зараженные файлы при помощи электронной почты Eudora. Июнь: эпидемия вируса «Win95.CIH», ставшая сначала массовой, затем глобальной, а затем повальной - сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные Интернет - конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных Web-серверов - они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов «популярности» вирус «подвинул» таких вирусных суперзвезд, как «Word.CAP» и «Excel.Laroux». Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы. Август 1998: появление нашумевшего «BackOrifice» («Backdoor.BO») - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за «BackOrifice» появились несколько других аналогичных программ: «NetBus», «Phase» и прочие.

Также в августе появился первый вирус, заражающий выполняемые модули Java - «Java.StangeBrew». Данный вирус не представлял какой - либо опасности для пользователей Интернет, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре Web-серверов.

Ноябрь 1998: «VBScript.Rabbit» - интернетэкспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса («HTML.Internal»). Становится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, Web-сервера и/или активно распространяющегося по электронной почте.Произошли также заметные перестановки в антивирусном мире. В мае 1998 компании Symantec и IBM объявили об объединении своих усилий на антивирусном фронте: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus (IBMAV) прекращает свое существование. На это моментально отреагировали основные конкуренты: Dr.Solomon и NAI (ранее - McAfee) тут же выпустили пресс-релизы с предложениями о льготном опдейте бывших пользователей IBMAV своими собственными антивирусами.

Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon. Он был куплен компанией NAI (McAfee) за 640 миллионов долларов путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.

4.8 Вирусописание как психологический феномен

Говорят, что компьютерные вирусы - это первый удачный эксперимент по созданию искусственной жизни с неудачным выбором формы ее жизнедеятельности.

Специфика этой формы жизни состоит в том, что вирусы выступают в роли арены борьбы одной части человечества с другой (программистов - вирусописателей и создателей антивирусов), причем именно эта борьба приводит к эволюции данной формы жизни. Аналогом с обычными формами вирусов и бактерий предостаточно. Ученые придумывают противоядия для борьбы с тем или иным штаммом, а микроорганизмы, в свою очередь, приспосабливаются, эволюционируют, становясь в определенном смысле более совершенными. Примерно то же происходит и с компьютерными вредоносными программами.

Вероятно, многие задумывались над вопросом, какие же качества человеческой психики приводят к такому парадоксальному феномену, как вирусописание? С точки зрения формальной логики это явление объяснить довольно сложно. Вирусописатели не получают за свой труд денег, преследуются по закон, сами страдают от вирусных атак и тем не менее продолжают свою деятельность. Более того, на «содержании» вирусописателей находятся десятки компаний, которые успешно продают антивирусные программы, имеют и признание и деньги. И тем не менее в стан программистов, занятых созданием антивирусов, не перебегают все те, кто профессионально занимается созданием вирусов, а ведь они подчас обладают очень высокой квалификацией.

Весьма точное объяснение данного парадокса заключается в гениальном высказывании, которое принадлежит перу Ларошфуко: « самая чистая форма радости - это злорадство». Действительно, какая «прибыль» от того, что у соседа «повис» компьютер? Никакой. А если это произошло с тысячей компьютеров?

Желание разрушить великое творение рук человеческих и тем самым как бы возвыситься над его создателем известно со времен Герострата. Видимо, перспектива вывода из строя такого чуда разума, как компьютерная система, и дает современным геростратам надежду на то, что они войдут в историю.Выбор не случаен.

Вирусописателей можно разделить на три категории: первые пишут вирусы и пытаются их внедрить в компьютерные системы собственными силами.

Вторая категория - это те, кто создает конструкторы для написания вирусов. Сами по себе авторы подобных разработок не запускают вредоносных программ, однако рассчитывают на то, что сделают это чужими руками. Третья категория - исследователи - вообще не стремятся к распространению вирусов, ими движут чисто научные вопросы, например «какие существуют принципиально новые методы внедрения вирусов в новые операционные системы» и т.п. Но, как говориться, то, что придумано светлыми головами, нередко попадает в нечистые руки. Интересно отметить, что причины многих вирусных эпидемий кроются не только в действиях вирусописателей, но и в психологии вирусополучателей. Известно, что почтовые вирусы должны заставить получателя открыть приложение от неизвестного посланника, что в принципе не так просто сделать, особенно сейчас, когда всем отлично известно, насколько это опасно. И здесь авторы вирусов (тонкие психологи) используют слабые места человеческой натуры. Так, любопытство переопределило успех вируса, в котором все искали фото Курниковой, чувство одиночества и дефицит любви проложили путь вирусу «I love you», жадность заставляет читать незнакомые письма, если там написано, что вы должны оплатить счет за сервис, которым вы никогда не пользовались, и т.д. Воистину, человек интересное создание, мотивация его поступков нетривиальна. Остается только удивляться его способности разрушать природу, которая обеспечивает его жизнь, и желанию разрушать компьютерные системы, от которых зависит его безопасность.

Однако на проблему можно посмотреть и с другой стороны. Результатом борьбы с вирусами является эволюция не только вирусов, но и систем безопасности. Вирусы находятся находят все новые и новые «дыры» в этих системах и тем самым становятся стимулом для их совершенствования.

5. Антивирусы

Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы.

Антивирусы появились более десяти лет назад, в первое время они распространялись как бесплатное противоядие. Не было должной поддержки сервиса, поскольку проекты были не коммерческие. Как индустрия служба создания и предоставления антивирусных программ оформилась примерно в 1992 году.

Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делит на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры, мониторы.

5.1 Детекторы

Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых - сигнатур - устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

5.2 Фаги

Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» («пожирания») вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

5.3 Вакцины

В отличие от детекторов и фагов, вакцины по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней.

Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.

Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе.

В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программ, ее контрольная сумма и т.п.

5.4 Прививки

Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицированные программы каким-либо признаком с тем, чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ.

Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака считает ее инфицированной и «оставляет в покое».

5.5 Ревизоры

Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняющему файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов.

Если при этом обнаруживается, что согласно имеющейся системной информации файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным.

Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле, в связи с чем увеличение длин исполняемых файлов, имеющего место при вакцинировании, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует повторного запуска.

5.6 Монитор

Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы.

Антивирусы рассмотренных типов существенно повышают вирусозащитность отдельных ПЭВМ и информационно-вычислительных сетей в целом, однако в связи со свойственными им ограничениями, естественно, не являются панацеей. Так, для разработки детекторов, фагов и прививок нужно иметь тексты вирусов, что возможно только для выявленных вирусов.

Вакцины обладают потенциальной способностью защиты программ не только от известных, но и от новых вирусов, однако обнаруживают факт заражения только в тех случаях, если сами были имплантированы в защищаемую программу раньше вируса.

Результативность применения ревизоров зависит от частоты их запуска, которая не может быть выше 1-2 раз в день в связи со значительными затратами времени на просмотр файлов. Мониторы контролируют процесс функционирования пользовательских программ постоянно, однако характеризуются чрезмерной интенсивностью ложных срабатываний, которые развивают у оператора «рефлекс подтверждения» и тем самым по существу минимизируют эффект от такого контроля. Анализ современных антивирусных программ показывает, что в последнее время наметилось явно выраженная тенденция к интеграции различных видов программ в единое программное средство с функциями детектора - ревизора - доктора, что делает это средство удобным для пользователя. Однако приходится констатировать, что в настоящее время абсолютной защиты от неизвестных вирусов не существует, поэтому антивирусные программы постоянно обновляются, как правило не реже одного раза в месяц.

5.7 Классификация антивирусов по способу воздействия на вирусы

Все антивирусы можно разделить на два больших класса: чистые антивирусы и антивирусы двойного назначения.

5.7.1 Чистый антивирус

Чистый антивирус отличается наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальная особенность в этом случае заключается в возможности лечения. Далее чистые антивирусы подразделяются по типу доступа к файлам на две категории - on access и on demand, которые соответственно осуществляют контроль по доступу или проверку по требованию.

Например, в терминологии продуктов «Лаборатории Касперского» on access - продукт - это «Монитор», а on demand - продукт - это «Сканер».

On demand - продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка.

On access - продукт - это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.

5.7.2 Программа двойного назначения

Программа двойного назначения - это программы, используемые и в антивирусах и в ПО, которое не является антивирусом.

Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.

От классического антивируса с антивирусным ядром, «узнающим» и лечащим от вирусов, которые анализировались в лаборатории и к которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего о них не знают. Это свойство блокираторов полезно тем, что они могут работать с любыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передача данных, то есть Интернет. При этом вирус всегда имеет некоторую фору (время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули.

Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.

На российском рынке в настоящее время присутствуют программные средства обнаружения и обезвреживания компьютерных вирусов, представлены в таблице 3.

Таблица 3 Современные антивирусные программные средства

Средство защиты	Назначение	Принцип действия
Детектор	Обнаружение зараженных вирусом файлов	Поиск участка кода, принадлежащего известному вирусу
Фильтр	Перехват «подозрительных» обращений к операционной системе и сообщение о них пользователю	Контроль действий, характерных для поведения вируса
Доктор (фаг)	«Лечение» зараженных программы или дисков	Уничтожение тела вируса
Ревизор	Постоянная ревизия целостности файлов	Запоминание сведений о состоянии программ и системных областей дисков, сравнение их состояния с исходным
Доктор - ревизор	Обнаружение и «лечение» зараженных файлов	Обнаружение изменений в файлах и дисках и возврат их в исходное состояние

Анализ современных антивирусных программ показывает, что в последнее время наметилась явно выраженная тенденция к интеграции различных видов программ в единое программное средство с функциями детектора- ревизора - доктора, что делает это средство удобным для пользователя. Однако приходится констатировать, что в настоящее время абсолютной защиты от неизвестных вирусов не существует, поэтому антивирусные программы постоянно обновляются, как правило не реже одного раза в месяц. Надежно защитить компьютер от вирусов может только сам пользователь. В первую очередь необходимо правильно организовать работу и избегать бесконтрольной переписи программ с других компьютеров. Далее, особу бдительность необходимо проявлять при работе с выходом в компьютерную сеть, где вероятность внедрения компьютерных вирусов резко возрастает. Учитывая то, что в основе большинства вредоносных программ присутствуют программные вирусы, последние всегда должны быть в поле зрения пользователя.

Далее рассмотрим наиболее популярные антивирусные программы представленные на российском рынке и их производителей.

5.8 Производители антивирусных программ

5.8.1 Российские производители антивирусных программ

5.8.1.1 «Лаборатория Касперского»

«Лаборатория Касперского» является крупнейшим российским разработчиком антивирусных систем безопасности. Как независимое юридическое лицо компания была образована в июне 1997 года. Разработка основного продукта «Лаборатории Касперского» - антивирусного комплекса «Антивирус Касперского» началась в 1989 году.

В России и странах бывшего СССР компанию представляют более 100 дилеров и дистрибьюторов. Свыше 30 российских производителей устанавливают продукты «Лаборатории Касперского» на компьютеры своей сборки.

Клиенты компании: Администрация Президента РФ; Федеральное агентство правительственной связи и информации при Президенте РФ; Конституционный суд РФ; Центральный банк РФ; Государственная налоговая полиция РФ; Российские представительства зарубежных банков и фирм Credit Swiss, Microsoft, Daimler Chrysler и многие другие.

AVP. Это российский программный пакет уже завоевал большую популярность в России. В нем присутствуют все мыслимые антивирусные модули, многочисленные настройки и варианты конфигураций. Программа хорошо зарекомендовала себя на многих предприятиях, однако даже ориентированный на индивидуального пользователя вариант явно предполагает достаточно высокую квалификацию владельца компьютера. Иначе говоря, не все пользователи смогут оценить некоторые особенности программного пакета:

Огромное количество кнопок, окошек и настроек может поставить в тупик, а несколько запутанные системные сообщения способны сбить с толку неопытного пользователя;

У автора имели место проблемы с установкой пакета в операционную систему Windows 2000 SP - 2, подобные случаи наблюдались и с операционной системой Windows NT;

В программе отсутствует собственный деинсталятор (есть только стандартный Windows), что затрудняет пользователю общение с компьютером при возникновении непонятных ситуации и конфликтов с другими ПО.

Разработка группы Евгения Касперского (1993 год). Прославилась своей способностью восстанавливать абсолютное большинство зараженных файлов, в том числе и таких, от восстановления которых отказывались российские и зарубежные аналоги.

5.8.1.2 «Диалог Наука»

ЗАО «Диалог Наука» создано 31 января 1992 года. Учредители - СП «Диалог» и Вычислительный центр Российской Академии наук. До этого 2 года коллектив был известен как Научный центр СП «Диалог» при Вычислительном центре РАН. В «Диалог Науке» работают 30 сотрудников, в основном выпускники МГУ, МФТИ, МИФИ, МАИ и других ведущих российских вузов.

ЗАО «Диалог Наука» ежегодно поставляет на рынок новые антивирусные программы и услуги, многие из которых не имеют аналогов в мире. Программы, созданные в «Диалог Науке», уже много лет являются самыми популярными антивирусами в России и других странах СНГ.

Сканер Doctor Web с 1966 года неизменно показывает высокие результаты в международных тестах журнала Virus Bulletin (Великобритания) и центра VTC (Германия). Программа Doctor Web многократно получала престижную награду «100% Virus Bulletin». В ней впервые в мире реализована полная проверка всей памяти Windows 9х, что позволяет непосредственно в памяти находить и обезвреживать сложные троянские программы и вирусы типа Back Orifice, Win.95.CIH («Чернобыль»), Win.32.Kriz, Code Red Worm и др. В резидентном стороже SpiDer Guard впервые в мире была реализована интеллектуальная технология контроля вирусной активности. Dos - версия этой программы хорошо знакома большому числу пользователей. Продукция компании «ДиалогНаука» уже несколько лет используется во многих государственных и образовательных учреждениях России, однако индивидуальный пользователь начал было постепенно отвыкать от знакомого паучка в углу экрана. Несмотря на традиционно сильный антивирусный сканер и блок эвристического анализа программы, те, кто отдавал предпочтение Windows- интерфейсу, до недавнего времени были склоны выбирать внешнее более привлекательные графические интерфейсы пакетов AVPили Norton Antivirus.

Первая версия Doctor Web с графическим интерфейсом появилась в апреле 1998 г., после чего пакет постоянно развивался и дополнялся, в том числе и резидентным монитором (сторожем)SpIDer Guard. Сегодняшняя версия пакета обрела удобную, интуитивно понятую и наглядную графическую оболочку. Что же касается его возможностей по поиску вирусов и рабочих характеристик, то их высокая оценка подтверждается победами в тестах авторитетного журнала Virus Bulletin. Так, например, этот антивирусный пакет оказался единственным в мире, способным обнаружить в памяти компьютера и обезвредить вирус - невидимку нового поколения, «прославившийся» под именем Code Red Worm в августе 2001 года. Идеальных программных продуктов не существует, но некоторое своеобразие поведения Doctor Web, возможно, в определенной степени связано с особенностями работы программы:

несколько замедленный (до 30 секунд) запуск программной оболочки (использование фирменной технологии полномасштабного сканирования системной памяти при каждом старте программы);

с настройками «по умолчанию» программа при обнаружении вируса сама не предлагает вариантов решений, ожидая реакции пользователя.

Абсолютно уникальные и высокоэффективные антивирусные механизмы впервые в мире были реализованы в ревизоре Adinf и универсальном лекаре Adinf Cure Module. Созданный в декабре 1996 года сервис «Скорая антивирусная помощь» в виде антивирусной online-помощи явился первой бесплатной и свободной услугой, представленной на мировом рынке антивирусного обслуживания в рамках глобальной сети Интернет.

ЗАО «Диалог Наука» имеет лицензию на деятельность в области защиты информации и сертификат на производство комплекта антивирусных программ от Государственной технической комиссии при Президенте Российской Федерации, а так же сертификат на антивирусные программы от Министерства обороны РФ.

Потребителями антивирусных программ и услуг ЗАО «Диалог Наука» являются более двух тысяч корпоративных клиентов в России и СНГ, в том числе такие общенациональные отечественные структуры, как Администрация Президента РФ, ГАС «Выборы», ГУИР ФАПСИ, министерства обороны, экономики и развития, финансов, промышленности, науки и технологий, образования, ФСН, РФФИ, Пенсионный фонд и др.

К сожалению, многие пользователи компьютеров не используют лицензионные версии антивирусных программ и на регулярной основе, что зачастую приводит к печальным последствиям. После каждой глобальной эпидемии какого-либо нового «шумного» компьютерного вируса, что пострадали именно те и только те, кто или вообще не использует антивирусные программы, или использует их очень старые (годовой давности) версии.

5.8.2 Западные производители антивирусных программ

5.8.2.1 Symantec

Norton antivirus является программой разработанной компанией Symanteс начиная с версии 3.0 продукт с каждой новой версией приобретает новые возможности, расширяя и совершенствуя уже имеющиеся. Именно в нем были впервые применены такие революционные возможности, как механизм эвристического анализа данных на предмет «вирусоподобных» инструкций и обновление антивирусной базы по сети Internet (Live Update). Именно Symantec первым добился в своем комплексе практически полного снятия необходимости контроля его работы. Все что требовалось от пользователя, - это канал доступа в Internet для автоматического получения обновлений. Этот серьезный и качественный продукт достаточно популярен во всем мире, в том числе и России. Присутствуют все самые современные функции, в том числе интеграция с офисным пакетом Microsoft Office 2000 (любой открываемый документ автоматически проверяется на наличие макровирусов). Настройки удобны и понятны, но при этом как бы «спрятаны за ширмой»: не очень квалифицированный пользователь может даже не догадываться об их существовании. Помимо обновлений антивирусной базы этот программный пакет получает по сети Интернет все обновления собственно антивирусных программ, а потому независимо от сроков приобретения данной системы защиты у пользователя всегда будет самая последняя ее версия.

Правда, здесь имеются свои «но»:

последние версии пакета существуют на нескольких языках, но русский в их число не входит;

по истечение года с момента регистрации потребуется внести абонементную плату за пользование постоянно обновляемой базой данных - в российских условиях оплачивать данную подписку непросто по разным, в том числе и по техническим причинам;

возникают определенные трудности (в том числе географические и языковые) с получением технической поддержке.

6. Современные угрозы утечки информации

Для защиты от разного рода атак можно применить две стратегии. Первая заключается в приобретении самых расхваливаемых (хотя не всегда самых лучших) систем защиты от всех возможных видов атак. Вторая стратегия, заключающаяся в предварительном анализе вероятных угроз и последующем выборе средств защиты от них.

Анализ угроз, или анализ риска, также может осуществляться двумя путями. Сложный, однако, более эффективный способ заключается в том, что прежде, чем выбирать наиболее вероятные угрозы, осуществляется анализ информационной системы, обрабатываемой в ней информации, используемого программно-аппаратного обеспечения и т.д. Это позволит существенно сузить спектр потенциальных атак и тем самым повысить эффективность вложения денег в приобретаемые средства защиты. Однако такой анализ требует времени, средств и, что самое главное, высокой квалификации специалистов, проводящих инвентаризацию анализируемой сети. Можно сделать выбор средств защиты на основе так называемых стандартных угроз, то есть тех, которые распространены больше всего.

Какие же виды угроз и атак являются самыми распространенными? Кто же чаще всего совершает компьютерные преступления и реализует различные атаки? Какие угрозы самые распространенные? Данные, полученные самым авторитетным в этой области источником - Институт компьютерной безопасности (CSI) и группой компьютерных нападений отделения ФБР в Сан-Франциско, в марте 2000 года в ежегодном отчете «2000 CSI/FBI Computer Crime and Security Survey» согласно этим данным:

90% респондентов (крупные корпорации и государственные организации) зафиксировали различные атаки на свои информационные ресурсы; 70% респондентов зафиксировали серьезные нарушения политики безопасности, например вирусы, атаки типа «отказ в обслуживании», злоупотребления со стороны сотрудников т.д.;