Размещено на http://www.allbest.ru/

1970-е

В начале 1970-х годов (предположительно в 1973г.) в прототипе современного интернета -- военной компьютерной сети APRANET -- был обнаружен вирус Creeper, который перемещался по серверам под управлением операционной системы Tenex. Creeper был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: «I'M THE CREEPER : CATCH ME IF YOU CAN», которое выводилось на дисплей или на принтер. Для удаления вируса была написана первая антивирусная программа Reeper, которая аналогичным образом распространялась по сети, удаляла обнаруженные копии Creeper и затем (предположительно -- через определённый промежуток времени) самоликвидировалась. Доступной и достоверной информации о данном инциденте не обнаружено, по этой причине приведённые выше факты могут не вполне соответствовать истине.

Другие компьютерные легенды гласят, что также в начале 1970-х (предположительно -- в 1974г.) на мейнфреймах этого времени появляется программа, получившая название «Кролик» (Rabbit). Эта программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине «Кролик» нередко вызывал сбой в её работе. Скорее всего «Кролики» не передавались от системы к системе и являлись сугубо местными явлениями -- ошибками или шалостями системных программистов, обслуживавших компьютер.

1975

Другой инцидент, который с определенными оговорками также можно отнести к разряду вирусных, произошел на системе Univac 1108 с игрой Pervading Animal. При помощи наводящих вопросов игра пыталась определить имя животного, задуманного играющим. В программе была предусмотрена возможность самообучения: если ей не удавалось отгадать задуманное человеком название, игра предлагала модернизировать себя и ввести дополнительные наводящие вопросы. Модифицированная игра записывалась поверх старой версии, а также копировалась и в другие директории -- для того, чтобы сделать результат работы доступным и другим пользователям. В результате, через некоторое время все директории на диске содержали копии Pervading Animal.

В те времена такое поведение программы вряд ли могло понравиться инженерам и менеджерам компаний, и через некоторое время был запущена «программа-охотник» (которая так и называлась -- Hunter). Это была новая версия игры, целью которой было заменить все копии своей предшественницы, а затем удалить и себя саму. Однако позднее все решилось гораздо проще: для компьютеров Univac была выпущена новая версия операционной системы, в которой изменениям подверглась структура файловой системы, и игра потеряла возможность размножаться.

Описанный выше инцидент вполне реален, известны его участники и места событий -- в интернете можно найти даже исходные коды Pervading Animal.

1980-е

компьютерный вирус червь

Компьютеры становятся всё более и более популярными. Появляется всё больше и больше программ, авторами которых являются не фирмы-производители программного обеспечения, а частные лица. Развитие телекоммуникационных технологий даёт возможность относительно быстро и удобно распространять эти программы через серверы общего доступа -- BBS (Bulletin Board System). Позднее, полулюбительские, университетские BBS перерастают в глобальные банки данных, охватывающие практически все развитые страны. Они обеспечивают быстрый обмен информацией между самыми удаленными точками планеты. «Глобальная сеть» серверов BBS становится популярной и в результате привлекает внимание программистов-хулиганов. Появляется большое количество разнообразных «троянских коней» -- программ, не имеющих способности к размножению, но при запуске наносящих системе какой-либо вред.

1981

Apple II, разработанный в 1977, стал одним из наиболее успешных персональных компьютеров того времени -- было произведено около двух миллионов компьютеров этой марки. Он предназначался не только для профессионалов, но и для массового пользователя -- это был компьютер для дома, он использовался в школах и университетах. В результате своей массовости он стал жертвой первого документально зафиксированного компьютерного вируса -- некто Ричард Скрента (Richard Skrenta), один из миллионов пользователей Apple II, догадался разработать для этого компьютера саморазмножающуюся программу-вирус.

Вирус, получивший название Elk Cloner, записывался в загрузочные секторы дискет, к которым обращалась ОС компьютера. Проявлял себя вирус весьма многосторонне: переворачивал изображение на экране, заставлял мигать текст, выводил сообщение:

Elk Cloner: The program with a personality

It will get on all your disks

t will infiltrate your chips

Yes it's Cloner!

It will stick to you like glue

It will modify ram too

Send in the Cloner!

1983

Фред Коэн, родоначальник компьютерной вирусологии того времени, на семинаре по компьютерной безопасности в Лехайском университете (США) демонстрирует на системе VAX 11/750 вирусоподобную программу, способную внедряться в другие объекты. Годом позже, на 7-й конференции по безопасности информации, он дает научное определение термину «компьютерный вирус» как программе, способной «заражать» другие программы при помощи их модификации с целью внедрения своих копий.

1986

Зарегистрирована первая глобальная эпидемия вируса для IBM-совместимых персональных компьютеров. Вирус Brain, заражающий загрузочные сектора дискет, в течение нескольких месяцев распространился практически по всему миру. Причина такого «успеха» заключалась в полной неподготовленности компьютерного общества к встрече с таким явлением, как компьютерный вирус: антивирусных программ просто не было, а пользователи, в свою очередь, ничего не знали о новом компьютерном бедствии.

Вирус Brain был написан в Пакистане 19-летним программистом Баситом Фаруком Алви (Basit Farooq Alvi) и его братом Амжадом (Amjad). Они оставили в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Помимо заражения загрузочных секторов и изменения меток дискет на фразу «(c) Brain» вирус ничего не делал: он не оказывал никакого побочного воздействия и не портил информацию. Как утверждали авторы вируса, работавшие в компании по продаже программных продуктов, они решили выяснить уровень компьютерного пиратства у себя в стране. К сожалению, эксперимент быстро вышел из-под контроля и выплеснулся за границы Пакистана. Интересно, что вирус Brain являлся также и первым «вирусом-невидимкой». При обнаружении попытки чтения зараженного сектора диска вирус незаметно подставлял его незараженный оригинал.

В том же году немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к исполняемым MS-DOS-файлам формата COM. Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986, в Гамбурге, на форуме компьютерного андеграунда Chaos Computer Club, который в то время собирал хакеров, специализировавшихся на взломе VAX/VMS-систем.

1987

Появление вируса Vienna, заражавшего файлы операционной системы MS-DOS. Копия этого вируса попадает в руки все того же Ральфа Бюргера (по другой версии -- сам Бюргер и являлся автором этого вируса), который дизассемблирует вирус и помещает результат в свою книгу Computer Viruses: A High Tech Disease. Книга Бюргера популяризовала идею написания вирусов, объясняла, как это происходит, и служила, таким образом, толчком к написанию сотен или даже тысяч компьютерных вирусов, частично использовавших идеи из этой книги.

В том же году независимо друг от друга появляется еще несколько вирусов для IBM PC под управлением MS-DOS. Это знаменитые в прошлом Lehigh, заражающий только системный файл COMMAND.COM; Suriv-1 (другое название -- April1st), заражающий COM-файлы; Suriv-2, заражающий (впервые) EXE-файлы; и Suriv-3, заражающий как COM-, так и EXE-файлы. Появляются также несколько загрузочных вирусов (Yale в США, Stoned в Новой Зеландии и PingPong в Италии) и первый самошифрующийся файловый вирус Cascade.

Не остались в стороне и не-IBM-компьютеры: было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.

В декабре 1987 произошла первая известная глобальная эпидемия сетевого вируса Cristmas Tree, написанного на языке REXX. Вирус распространял себя в операционной среде VM/CMS. 9-го декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем -- в сеть IBM VNet. Через четыре дня (13 декабря) вирус парализовал сеть -- она была забита его копиями. При запуске вирус выводил на экран изображение рождественской ёлочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG.

В этом же году появляются первые специализированные антивирусные продукты. Так, британская компания Sophos для проверки целостности файлов (их незараженности) в январе выпустила антивирусную утилиту VACCINE, дополнив её в сентябре 1989 антивирусным сканером SWEEP.

1988

Одно из наиболее знаменательных событий в области вирусов в 1988 -- глобальная эпидемия упомянутого выше вируса Suriv-3, более известного под именем Jerusalem. Вирус был обнаружен одновременно в компьютерных сетях многих коммерческих фирм, государственных организаций и учебных заведений. Вирус обнаружил себя сам: в пятницу, 13-го, он уничтожал все запускаемые на заражённом компьютере файлы. В 1988 этой черной датой стало 13 мая. Именно в этот день сообщения о тысячах инцидентах с участием Jerusalem поступили со всех концов планеты, в первую очередь из Америки, Европы и с Ближнего Востока. Название, кстати, вирус получил по месту одного из инцидентов -- университета в Иерусалиме.

Стали появляться новые компании-разработчики антивирусного программного обеспечения. Как правило, это были маленькие, полулюбительские фирмы, чаще всего состоявшие из одного или двух-трех человек. Антивирусные программы представляли собой простейшие сканеры, использовавшие контекстный поиск для обнаружения уникальной последовательности кода вируса. Наряду со сканерами, большой популярностью пользовались иммунизаторы, модифицировавшие программы так, что вирусы считали их уже зараженными и не трогали. Позднее, когда количество вирусов увеличилось в сотни раз, иммунизаторы потеряли свою актуальность, потому как сделать «прививку» от всех них представлялось просто нереальным.

Вместе с несколькими другими вирусами (Cascade, Stoned, Vienna), вирус Jerusalem распространился по тысячам компьютеров, оставаясь незамеченным -- антивирусные программы еще не были распространены в то время так же широко как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов. Показателен тот факт, что в том же году компьютерный гуру того времени и человек-легенда Питер Нортон высказался против существования вирусов. Он объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал фирме Symantec через некоторое время начать собственный антивирусный проект -- Norton Anti-Virus.

В 1988 были зафиксированы первые случаи распространения так называемых «вирусных мистификаций». Это весьма интересный феномен, основанный на распространении ложных слухов о появлении новых, чрезвычайно опасных компьютерных вирусов. По сути дела эти слухи и были своего рода вирусами: напуганные пользователи распространяли такие сообщения по всем своим знакомым с необычайной скоростью. Одна из первых шуток такого характера принадлежит некому Mike RoChenle (псевдоним похож на английское слово «microchannel»), который в октябре 1988 разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бит в секунду. В качестве панацеи предлагалось как можно скорее перейти на использование модемов скоростью 1200 бит в секунду. Как это ни смешно, многие пользователи действительно последовали этому совету.

Ноябрь 1988: повальная эпидемия настоящего сетевого вируса, поразившего сеть ARPANET. Вирус, получивший название «червь Морриса» (Morris Worm) по имени своего автора Роберта Морриса, заразил более 6000 компьютерных систем в США -- около 10% всех серверов в сети. Среди жертв вируса был, например, Исследовательский центр NASA. По причине ошибки в коде вируса он, как и вирус-червь Christmas Tree, неограниченно рассылал свои копии по другим компьютерам сети, запускал их на выполнение и таким образом полностью забирал под себя все сетевые ресурсы -- и практически парализовал работу всей сети.

Для своего размножения вирус использовал ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал и несколько других оригинальных идей, например, подбор паролей пользователей (из списка, содержащего 481 вариант) для входа в системы под чужим именем. Общие убытки от вируса Морриса были оценены в 96 млн. долларов.

В апреле 1988 вышла первая версия Dr Solomon's Anti-Virus Toolkit -- один из наиболее известных антивирусных продуктов того времени. Программа была создана английским программистом Аланом Соломоном (Alan Solomon), завоевала огромную популярность и просуществовала до 1998 года, когда компания была поглощена другим производителем антивирусов -- американской Network Associates (NAI), также известной под именем McAfee.

1989

Появляются новые вирусы -- Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства -- Vacsina и Yankee. Вирус Datacrime имел крайне опасное проявление -- с 13 октября по 31 декабря он инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска, что приводило к уничтожению таблицы размещения файлов и безвозвратной потере данных. Несмотря на небольшое распространение, Datacrime вызвал повальную истерию в мировых средствах массовой информации. Последовательно воспроизведенные многими печатными изданиями сведения об этом вирусе вызвали существенное искажение его реальной опасности и механизма действия. В США он даже получил название «День Колумба», причем некоторые издания предположили, что вирус был написан никем иным как норвежскими террористами, пытавшимися отомстить за то, что открывателем Америки считается Колумб, а не Рыжий Эрик.

16 октября 1989 на компьютерах VAX/VMS в сети SPAN была зафиксирована эпидемия вируса-червя WANK Worm. Для распространения червь использовал протокол DECNet и менял системные сообщения на следующий текст:

WORMS AGAINST NUCLEAR KILLERS

Your System Has Been Officially WANKed

WANK также менял системный пароль пользователя на набор случайных знаков и пересылал его на имя GEMPAK в сети SPAN.

Декабрь 1989: инцидент с троянской программой Aids. Некий злоумышленник разослал 20 тысяч дискет с пометкой «AIDS Introductory Information Diskette Version 2.0» по адресам в Европе, Африке и Австралии. Дискеты содержали троянскую программу, которая при запуске автоматически внедрялась в систему, создавала собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы программа шифровала имена всех файлов, делала их невидимыми и оставляла на диске только один читаемый файл -- счет на 189 или 378 долларов США, который следовало оплатить и отослать по указанному троянской программой адресу в Панаме. Следствию удалось довольно быстро выявить автора троянца, которым оказался некий Джозеф Попп (Joseph Popp), позднее признанный невменяемым. Несмотря на это он был заочно приговорен к тюремному заключению итальянскими властями.

В сентябре 1989 увидела свет первая версия антивируса MсAfee VIRUSCAN. В том же 1989 году с антивирусным продуктом на рынок выходит образованная годом ранее тайваньская компания Trend Micro. В этом же году на международную арену выходят и другие антивирусы: F-Prot, ThunderBYTE, Norman Virus Control. Вирусная проблема начала привлекать внимание и компаний-гигантов. Так, в октябре появился в продаже антивирус от IBM, получивший название Virscan.

1990

Этот год принес несколько весьма заметных событий, ознаменовавших новый этап в области создания вирусов. Во-первых, это касается появления нового поколения компьютерной фауны -- полиморфных (мутирующих) вирусов. Первый представитель этого типа вредоносных программ (Chameleon) «эволюционировал» из двух других ранее известных вирусов -- Vienna и Cascade. В этом вирусе применялась новая технология скрытия вирусного кода -- основное тело вируса шифровалось. При этом в разных заражённых файлах ключ шифрования был различен, а код расшифровщика также менялся от заражения к заражению. Эта особенность делала антивирусные программы того времени малоэффективными: до этого они использовали обычный контекстный поиск «сигнатур», т.е. кусков вирусного кода, но в новом вирусе он просто отсутствовал. В результате разработчики антивирусных программ были вынуждены искать другие методы их обнаружения -- а именно применять специальные алгоритмические языки или использовать методы дешифрации вирусного кода.

В течение этого года и ряда последующих лет было обнаружено огромное количество новых вирусов, которые имели болгарское происхождение. Это были целые семейства вирусов -- Murphy, Nomenclatura, Beast, Eddie и многие другие. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и сокрытия себя в системе. В этом же году в Болгарии появилась первая BBS, ориентированная на обмен вирусами и информацией для вирусописателей (VX BBS). Идеология станции была исключительно проста: если пользователь передавал вирус, то взамен он мог загрузить один понравившийся ему вирус из каталога станции.

В июле 1990 года произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller. Было продано более 50 тысяч копий журнала. Название вируса соответствует его вредоносной функции -- в зависимости от некоторых условий вирус выводит на экран сообщение и уничтожает все данные на диске.

Во второй половине 1990-го появилось два «монстра-невидимки» -- Frodo и Whale. Оба вируса использовали крайне сложные алгоритмы сокрытия присутствия в системе («невидимости»), а девятикилобайтный вирус Whale (в то время -- огромный размер для вируса) к тому же применял несколько уровней шифровки и целый ряд хитрых антиотладочных приемов.

1991

Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен уникальных вирусов. Быстрый рост количества и качества компьютерной заразы и внимание, как со стороны пользователей, так и от средств массовой информации, определили начало формирования нового рынка -- средств защиты от компьютерных вирусов. Этот факт не ускользнул от внимания маркетинговых служб компаний-производителей программного обеспечения: конец 1990 -- начало 1991 стали временем создания целого ряда антивирусных продуктов. Во-первых, это Norton Antivirus компании Symantec, представленный в декабре 1990. Во-вторых, это Central Point Antivirus и антивирусный проект компании Fifth Generation Systems под названием Untouchable. Впрочем, оба они позднее были куплены компанией Symantec.

Также появляется первая версия антивируса от финской компании DataFellows (сменившей название на F-Secure в 1997). Продукт базировался на антивирусном «движке» от F-Prot и назывался F-Prot Professional. Факт того, что «движок» и анализ вирусов производился другой компанией, позволил DataFellows сконцентрироваться на продуктовой составляющей. В результате она первой выпустила несколько решений для Windows.

В апреле разразилась настоящая эпидемия файлово-загрузочного, полиморфного вируса Tequila. В сентябре подобный инцидент случился и с полиморфным вирусом Amoeba. Лето 1991: эпидемия вируса Dir_II, использовавшего принципиально новый способ заражения файлов (link-технологию).

1992

Вирусы для не-IBM PC и не-MS-DOS практически забыты: «дыры» в глобальных сетях закрыты, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Да и сами компьютерные сети, появившиеся и использовавшиеся в 70- и 80-х годах, постепенно теряют популярность и постепенно демонтируются. На смену им приходит единая сеть нового поколения -- интернет.

В результате всё большую и большую значимость начинают приобретать не сетевые вирусы, а файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (клонах IBM PC). Их количество растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных проблемам антивирусной безопасности. На этом фоне выделяются следующие основные события:

Начало года: появляется первый полиморфик-генератор MtE. Его главное предназначение -- возможность интеграции в другие вирусы для обеспечения их полиморфизма. Автор программы, печально известный Dark Avenger, делает все возможное, чтобы облегчить своим «коллегам» работу с MtE: генератор поставляется в виде готового объектного модуля и сопровождается подробной документацией. На базе MtE через некоторое время появляется сразу несколько полиморфных вирусов. MtE стал серьезной головной болью для антивирусных компаний -- некоторые из них даже через несколько месяцев не добились 100% результата обнаружения известных вариантов полиморфных MtE-вирусов. MtE также стал прообразом нескольких последующих полиморфик-генераторов.

Март: эпидемия вируса Michelangelo (March6) и связанная с этим истерия в прессе. Наверное, это первый случай, когда антивирусные компании «раздували шумиху» вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своим продуктам, т.е. в целях извлечения коммерческой выгоды. Так, одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм выросли в несколько раз, а от вируса в действительности пострадали всего несколько тысяч машин.

Июль: появление первых конструкторов вирусов VCL и PS-MPC -- утилит, облегчающих создание новых вирусов. VCL имел даже оконный пользовательский интерфейс, предлагающий любому создать свой собственный вирус несколькими движениями мыши. Конструкторы увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.

Конец года: обнаружение Win.Vir_1_4 -- первого вируса для Windows 3.x, заражающего исполняемые файлы этой операционной системы. Так была открыта новая страница в истории создания компьютерных вирусов.

Вирусы начинают бороться с антивирусными программами -- появляются первые анти-антивирусы. Одним из первых представителей этого класса стал вирус Peach, который удалял базу данных ревизора изменений Central Point Antivirus.

В органах внутренних дел по всему миру начинают развиваться специальные департаменты, занимающиеся исключительно компьютерными преступлениями. Достоянием гласности становятся все больше случаев успешной борьбы с создателями вирусов. Например, Отдел по борьбе с компьютерными преступлениями Скотланд Ярда (Computer Crime Unit of the New Scotland Yard) успешно «разоружает» английскую вирусную группу ARCV (Association for Really Cruel Viruses).

1993

Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик-генераторов и конструкторов, помимо новых подпольных электронных изданий для вирусописателей -- появляется все больше вирусов, использующих крайне необычные технологии заражения файлов, проникновения в систему и сокрытия своего присутствия.

В качестве примера можно привести вирус PMBS, впервые освоившего работу в защищенном режиме процессора Intel 80386; а также «вирус-невидимку» Strange, скрывавшего себя в системе при помощи специальных аппаратных прерываний. Не меньший вклад в развитие вирусных технологий внес вирус Carbuncle, значительно расширивший диапазон алгоритмов компаньон-вирусов, и т.п.

Весна 1993 оказалась весьма нервозным временем для еще не успевших набрать силу компаний-производителей антивирусных продуктов. Возмутителем спокойствия стала, как это повторилось позднее в случае с интернет-браузерами, корпорация Microsoft. Она выпустила свой собственный антивирус -- Microsoft Antivirus (MSAV), который включался в стандартную поставку операционных систем MS-DOS. Он был основан на популярном в то время Central Point Antivirus (CPAV), однако качество продукта оказалось недостаточным, и через некоторое время Microsoft решила закрыть этот проект.

1994

Всё большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярным, этот тип носителей оказался одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходилось -- их просто уничтожали.

В начале года в Великобритании появились два крайне сложных полиморфик-вируса -- SMEG.Pathogen и SMEG.Queeg. Зараженные файлы распространялись через станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации. Автором вирусов оказался 26-летний Крис Пайл (Chris Pile), позже арестованный в этом же году.

Еще одну волну паники вызвало предупреждение о якобы существовавшем вирусе GoodTimes, который распространял себя по интернету и заражал компьютер при получении электронной почты. Такого вируса на самом деле не существовало, и это предупреждение было занесено в разряд вирусных мистификаций. Однако через некоторое время появился обычный MS-DOS-вирус, содержавший текст «Good Times». Он получил название GT-Spoof.

Продолжали появляться новые, достаточно необычные (концептуальные) вирусы. Например, Shifter -- первый вирус, заражающий объектные модули (OBJ-файлы) и SrcVir -- семейство вирусов, заражающих исходные тексты программ (C и Pascal). Весной 1994 появился очень сложный, опасный файлово-загрузочный и полиморфный вирус OneHalf, вызвавший повальную эпидемию. Особенностью этого вируса являлось то, что он постепенно шифровал информацию на диске. При обращениях пользователя к зашифрованным файлам вирус временно расшифровывал их. В результате доступ к данным можно было получить только на заражённой машине, а для лечения компьютера требовалось не только удалить код вируса из системы, но и корректно расшифровать зашифрованную информацию.

В июне 1994 перестал существовать один из антивирусных лидеров того времени -- Central Point. Компанию приобрела фирма Symantec, которая до того уже успела поглотить несколько небольших фирм, занимавшихся антивирусными и другими разработками -- Peter Norton Computing, Certus International и Fifth Generation Systems.

1995

Ничего действительно заметного в области MS-DOS-вирусов не произошло, хотя появилось несколько достаточно сложных вирусов-монстров типа NightFall, Nostardamus, Nutcracker и достаточно забавного двуполого вируса RMNS, заражавшего файлы, только если в системе активизированы обе части вируса -- «мужская» и «женская».

В феврале произошел инцидент с компанией Microsoft: на диске, содержащем демонстрационную версию операционной системы Windows 95, обнаружен загрузочный вирус Form. Копии этого диска Microsoft разослала 160 бета-тестерам, один из которых не поленился провести антивирусную проверку.

Весной был анонсирован альянс двух антивирусных компаний -- ESaSS (разработчик ThunderBYTE Anti-Virus) и Norman Data Defense Systems (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы. Позднее, в феврале 1998, это сотрудничество вылилось в банальное поглощение норвежцами голландской компании ESaSS.

В августе случился один из поворотных моментов в истории вирусов и антивирусов: в «живом виде» обнаружен первый вирус для текстового процессора Microsoft Word. Вирус, получивший название Concept, буквально за месяц «облетел» весь земной шар, заполонил компьютеры пользователей MS Word и прочно занял первые места в статистических исследованиях, проводимых различными компьютерными изданиями.

Чуть меньший резонанс также имело появление первого компьютерного вируса для достаточно популярного в те годы текстового редактора AmiPro.

Появление макро-вирусов заставило антивирусные компании еще раз серьезно задуматься, поскольку для защиты от этого класса вирусов требовалась разработка специального дополнения к программному ядру антивирусной программы, способного осуществлять поиск макро-вирусов в документах Word, а позднее и Excel, Access, PowerPoint и других приложений.

1996

В январе появился первый вирус для операционной системы Windows 95 -- Boza. Так вирусы освоили новую революционную систему менее чем через полгода после её выхода.

В марте случилась первая эпидемия вируса для Windows 3.x -- Tentacle. Отличительная черта этого вируса в том, что это был первый Windows-вирус, вырвавшийся на свободу. До той поры все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в «живом виде» встречались только загрузочные, MS-DOS и макро-вирусы.

Июнь: OS2.AEP -- первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом «компаньон».

Июль: Laroux -- первый вирус для Microsoft Excel, к тому же пойманный в «живом виде» практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР. Как и у Word-вирусов, принцип действия Laroux основывается на наличии в файлах так называемых макросов -- программ на языке программирования Visual Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS Word. Как оказалось, встроенный в Excel Visual Basic также позволяет создавать вирусы.

В середине октября в Microsoft произошел очередной инцидент, связанный с компьютерными вирусами: на веб-сайте компании, в одном из документов Word, посвященных технической поддержке программных продуктов Microsoft в Швейцарии, был обнаружен макро-вирус Wazzu. Позднее этот же вирус был найден на компакт-дисках, распространенных компанией на одной из компьютерных выставок. Однако на этом проблемы Microsoft с Wazzu не закончились: в сентябре вирус попал на компакт-диск Microsoft Solution Provider.

В целом 1996 год можно считать началом широкомасштабного наступления компьютерного андеграунда на операционные системы Windows 95 и Windows NT, а также на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows 95/NT и несколько сотен макро-вирусов. Во многих из них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс- и полиморфик-механизмы и т.п. Таким образом, компьютерные вирусы вышли на новый виток своего развития -- уровень 32-битных операционных систем. За два года вирусы для 32-битных Windows повторили примерно те же стадии, что за 10 лет до того прошли MS-DOS-вирусы, однако на совершенно новом технологическом уровне.

1997

В феврале появляется первый вирус для операционной системы Linux -- Bliss. Так вирусы проникли в еще одну «биологическую» нишу.

Одновременно с выходом очередной версии пакета офисных приложений Microsoft Office 97 отмечается постепенное «переползание» макро-вирусов на эту платформу. Первые макро-вирусы для Office 97 на поверку оказались полными аналогами своих предшественников, всего лишь конвертированными в новый формат. Несмотря на это очень скоро появились настоящие макро-вирусы, нацеленные на работу исключительно в Office 97.

Март ознаменовался появлением макро-вируса ShareFun для MS Word 6/7, открывшего новую страницу в истории компьютерной индустрии. Он стал первым вирусом, использовавшим для своего распространения возможности современной электронной почты, в частности, почтовую программу MS Mail. К счастью, вирус не получил широкого распространения.

В апреле обнаружен вирус Homer -- первый сетевой вирус-червь, использовавший для своего распространения протокол передачи данных File Transfer Protocol (FTP).

Ноябрь: вирус Esperanto. Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под MS-DOS и Windows, но в состоянии заражать и файлы операционной системы MacOS.

Декабрь: вирусы начинают всё более активно использовать возможности интернета -- появляются первые вирусы для IRC (Internet Relay Chat). Обнаружена дыра в безопасности клиента mIRC (один из нескольких конкурирующих IRC-приложений). Пользуясь этой дырой, вирусы проникали в системные файлы mIRC и активизировали свой код. Это упущение разработчиков mIRC быстро исправили, и подобные IRC-черви канули в лету. Однако позднее появились многокомпонентные черви и троянские программы, которые использовали IRC-клиентов как свою «среду обитания» при помощи более сложных приёмов.

1997 год также заметен по нескольким скандалам между крупными игроками рынка антивирусных продуктов. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили «закладку» в программах одного из своих основных конкурентов -- в антивирусе фирмы Dr. Solomon. Заявление от McAfee гласило, что если антивирус Dr. Solomon при сканировании обнаруживает несколько вирусов различных типов, то его дальнейшая работа происходит в усиленном режиме. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr. Solomon работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee «cheat mode» -- «режим обмана»), позволяющий детектировать вирусы, невидимые для Dr. Solomon при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr. Solomon показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.

Ответный удар Dr. Solomon не заставил себя ждать, и вскоре эта фирма подала иск на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись к тексту «The Number One Choice Worldwide. No Wonder The Doctor's Left Town». Понятно, что под прозвищем «Doctor» подразумевался Алан Соломон (Alan Solomon) -- основатель компании Dr. Solomon.

Однако больше всех отличился тайваньский разработчик Trend Micro, обвинивший сразу две ведущие антивирусные компании -- McAfee и Symantec -- в нарушении его патента на технологию сканирования данных, передаваемых по интернету и электронной почте. Позднее в драку ввязалась Symantec и предъявила иск McAfee по обвинению в использовании кодов из Norton AntiVirus в продуктах McAfee.

Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Associates Inc. (NAI) и о диверсификации бизнеса в направлении разработки не только антивирусных продуктов, но и других систем компьютерной безопасности: программ для шифрования, межсетевых экранов, сетевых сканеров и др. Однако на рубеже 1999-2000 гг. руководство NAI вновь принимает решение о реанимации бренда McAfee -- и линейка антивирусных продуктов компании получает свое старое имя.

В июне этого же года появился на свет еще один игрок антивирусного рынка -- «Лаборатория Касперского». Компания тогда состояла из 15 сотрудников и представляла рынку три продукта для защиты от вирусов в операционных системах MS-DOS, Windows 95 и Novell Netware.

1998

Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в интернет, и несколько утилит скрытого администрирования (Backdoor). Зафиксированы инциденты с зараженными компакт-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами CIH и Marburg.

Начало года: эпидемия целого семейства вирусов DeTroie, не только заражающих исполняемые файлы Windows, но и способных передать своему «хозяину» информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франкоговорящие страны.

В феврале зафиксировано появление нового типа вируса для документов Excel -- Paix. Данный тип макро-вируса для своего внедрения в таблицы Excel использовал не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. Позже, в этом же месяце, зарегистрированы HPS и Marburg -- первые полиморфные Windows-вирусы, обнаруженные к тому же «в живом виде». Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на MS-DOS-вирусы.

В марте был обнаружен AccessiV -- первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами для MS Word и Excel (Concept и Laroux), он не стал, поскольку все уже привыкли к тому, что приложения MS Office одно за другим становятся жертвами компьютерных вирусов. Примерно в то же время было зафиксировано появление вируса Cross -- первого многоплатформенного макро-вируса, заражающего документы одновременно двух приложений MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-приложения в другое. Наиболее заметным из них стал Triplicate (также известный под именем Tristate), способный заражать Word, Excel и PowerPoint.

Май: вирус RedTeam, заражающий EXE-файлы Windows. Стал первым вирусом, который осуществлял попытки своего распространения по электронной почте при помощи почтового клиента Eudora. Широкого распространения не получил.

Июнь: эпидемия вируса CIH, ставшая сначала массовой, а затем глобальной -- сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные электронные конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных веб-серверов -- они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течение всего года. Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы. Исключительно сложные процедуры работы CIH с оперативной памятью потребовали от разработчиков антивирусов значительных усилий и очередной модернизации «движков» своих продуктов.

Август: появление нашумевшего BackOrifice (Backdoor.BO) -- утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за BackOrifice появились несколько других аналогичных программ: NetBus, Phase и прочие.

Также в августе появился первый вирус, заражающий исполняемые модули Java -- StangeBrew. Данный вирус не представлял какой-либо опасности для пользователей интернета, поскольку на удаленном компьютере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами могут быть также и приложения, активно используемые при просмотре файлов с веб-серверов.

Ноябрь: интернет-экспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты Visual Basic (VBS-файлы), которые активно применяются при написании веб-страниц -- вирус Rabbit. Логическим следствием развития VBScript-вирусов стало появление полноценного HTML-вируса -- Internal. Становится очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, веб-серверы или активно распространяющегося по электронной почте.

Жертвой компьютерных вирусов становится еще одно приложение из состава MS Office. Им стала популярная программа для создания презентаций -- PowerPoint. В декабре 1998 г. неизвестным выпускается первый вирус этого типа -- Attach. За ним немедленно следуют два других -- ShapeShift и ShapeMaster, авторство которых, по всей видимости, принадлежит одному и тому же лицу.

Произошли также заметные перестановки в антивирусном мире. В мае Symantec и IBM объявляют об объединении усилий в разработке антивирусных продуктов: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton AntiVirus, а IBM Antivirus прекращает свое существование. В конце сентября Symantec объявляет о выкупе антивирусного бизнеса корпорации Intel (LANDesk Virus Protect). Спустя всего две недели Symantec приобретает еще одну компанию -- Quarterdeck, в арсенале которой помимо утилит общего назначения также присутствовали продукты для защиты от вирусов (ViruSweep). На это моментально отреагировали основные конкуренты: Dr. Solomon и NAI (ранее -- McAfee) тут же выпустили пресс-релизы с предложениями о льготном апдейте бывших пользователей IBM AV своими собственными антивирусами.

Не прошло и месяца, как прекратил свое существование и сам Dr. Solomon. Он был куплен компанией NAI (McAfee) за рекордную сумму в 640 миллионов долларов путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей-продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.

Интересен и факт приобретения в декабре фирмой Aladdin Knowledge Systems известного производителя оборудования и программ для компьютерной безопасности, израильской компании EliaShim, разработчика линейки антивирусных продуктов eSafe.

1999

В январе разразилась глобальная эпидемия почтового интернет-червя Happy99 (также известного как Ska). По сути, это был первый современный червь, открывший новый этап в развитии вредоносных программ. Он использовал для своего распространения программу MS Outlook, являющуюся корпоративным стандартом в США и во многих странах Европы.

Практически одновременно с этим был обнаружен весьма интересный макро-вирус для MS Word -- Caligula. Он просматривал системный реестр, находил ключи, соответствующие популярной программе шифрования PGP (Pretty Good Privacy), вычислял каталоги возможного нахождения программы и производил в них поиск базы данных ключей шифрования PGP версии 5.x. В случае обнаружения этой базы данных, вирус копировал её на удалённый FTP-сервер.

В конце февраля были зарегистрированы инциденты с участием SK -- первого вируса, заражающего файлы помощи Windows (HLP-файлы).

26 марта: глобальная эпидемия почтового червя Melissa -- первого макро-вируса для MS Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал свои копии по первым 50 найденным адресам. В автоматизированных системах документооборота письма с червём обрабатывались без участия человека -- в результате эпидемия Melissa моментально достигла своего пика и нанесла ощутимый ущерб компьютерным системам мира: такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты.

7 мая: первый вирус для графического пакета CorelDRAW. Вирус Gala (также известный как GaLaDRieL), написанный на скрипт-языке Corel Script, стал первым, кто оказался способен заражать файлы как самого CorelDRAW, так и Corel PHOTO-PAINT и Corel Ventura.

В самом начале лета грянула эпидемия весьма опасного интернет-червя ZippedFiles (также известного как ExploreZip). Он представлял собой EXE-файл Windows, который после внедрения в систему уничтожал исходные тексты программ и файлы MS Office.

Октябрь принес компьютерному сообществу еще три неприятных сюрприза. Во-первых, был обнаружен вирус Infis, который стал первым вирусом, внедряющийся на самый низкий уровень безопасности -- область системных драйверов Windows. Эта особенность делала вирус труднодоступным, антивирусные программы того времени были неспособны удалить вирус из системной памяти. Во-вторых, в конце месяца антивирусные компании сообщили о первом компьютерном вирусе, заражавшем файлы MS Project. В-третьих, проявился скрипт-вирус Freelinks, привлекший внимание вирусописателей к языку программирования Visual Basic Script (VBS) и ставший одним из предшественников печально известного вируса LoveLetter.

В ноябре -- еще одна новинка. Появление нового поколения червей, распространявшихся по электронной почте -- уже без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал KakWorm. Все вирусы этого типа использовали «дыру», обнаруженную в системе безопасности Internet Explorer.

7 декабря стал примечательным из-за обнаружения очередного творения бразильского вирусописателя по кличке Vecna -- крайне сложного и опасного вируса Babylonia, который также открыл новую страницу в области создания вирусов. Это был первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящимся в Японии, и загрузить оттуда список вирусных модулей. В случае если в этом списке находился более «свежий» модуль, нежели уже установленный на зараженном компьютере, то вирус автоматически его загружал. Позднее технология удаленного самообновления была применена в червях Sonic, Hybris и многих других.

Ближе к Новому Году по интернету разошлись слухи, что компьютерный андеграунд в лице злых хакеров и вирусописателей всего мира приготовил мировому сообществу «сюрприз» в виде сотен тысяч исключительно опасных вирусов, способных нанести мировым сетям непоправимый ущерб. Антивирусные компании делятся на два лагеря. Один подтверждает возможность атаки, представители второго -- успокаивает пользователей, утверждая, что вероятность такой атаки крайне мала. К счастью, интернет-катастрофа не состоялась. Этот Новый Год ничем не отличался от остальных.

Очередные подвижки среди производителей антивирусных программ: софтверный гигант Computer Associates (CA) приобретает австралийского разработчика антивирусных программ Cybec (VET AntiVirus). Таким образом, в «копилке» CA, вслед за поглощенным в конце 1996 г. Cheyenne Software, оказался еще один антивирусный проект.

2000

В самом начале года жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы Windows 2000, как участники подпольной группы вирусописателей под названием 29A представили вирус Inta, который оказался первым вирусом, корректно заражающим эту систему. Чуть позже практически одновременно появились вирусы Unstable и Radiant, успешно размножавшиеся в файлах Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления Unstable и Radiant компания Visio Corporation, производящая пакет Visio, была куплена Microsoft.

5 мая грянула попавшая в Книгу рекордов Гиннеса эпидемия скрипт-вируса LoveLetter. Сразу же после запуска он уничтожал на дисках файлы нескольких типов и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook. Открытость исходного кода скрипт-вирусов предопределила появление на свет новых модификаций вируса на протяжении всего года -- всего их было зафиксировано около сотни.

6 июня был обнаружен Timofonica -- первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Помимо распространения по электронной почте, вирус посылал сообщения на случайные номера мобильных телефонов испанской сотовой сети MoviStar, принадлежащей телекоммуникационному гиганту Telefonica. Более никаким образом вирус на мобильные телефоны не влиял. Несмотря на это, многие средства массовой информации поспешили назвать Timofonica первым сотовым вирусом.

В июле хакерская группа Cult of Death Cow представила новую версию известной утилиты несанкционированного удаленного администрирования Back Orifice 2000 (BO2K). Это произошло на ежегодной конференции DefCon (названной в пику конференции DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности, новая версия программы представляла никак не большую опасность, нежели ее предшественница и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой BO2K стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже процедурой инсталляции. Несмотря на это, она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как троянец класса Backdoor.

В июле же появились сразу три исключительно интересных вируса. Star стал первым вирусом для пакета AutoCAD. Вирус Dilber отличился тем, что содержал коды сразу пяти вирусов, среди которых CIH, SK, Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище «Шаттл, полный вирусов».

Третьим стал интернет-червь Jer, использовавший новый метод проникновения на компьютер -- через веб-сайт. Автор червя поместил на одну из веб-страниц скрипт-программу (с телом червя), которая автоматически активизировалась при открытии этой страницы. Система безопасности интернет-браузера при этом выдавала сообщение о возможной опасности и предложение разрешить или запретить выполнение данного действия. Расчет был сделан на то, что какая-то часть пользователей положительно ответит на предупреждение, чем даст возможность червю проникнуть в компьютер. А для того, чтобы привлечь больше пользователей -- зараженный веб-сайт был «разрекламирован» автором червя в IRC-каналах. Появление этого червя стало сигналом о вхождении в моду новой технологии «раскрутки» вируса в интернете. Сначала червь помещается на веб-сайт, а потом проводится массированная рекламная компания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто пропустит его на свой компьютер.