Хронология событий

Пора перейти к более детальному описанию событий. Начнем с самого начала.

Конец 1960-х — начало 70-х годов

На мэйнфреймах этого времени периодически появлялись программы, которые получили название "кролик" (the rabbit). Эти программы клонировали себя, занимали системные ресурсы и таким образом снижали производительность системы. Скорее всего "кролики" не передавались от системы к системе, а представляли из себя сугубо местные явления — ошибки или шалости системных программистов, обслуживавших компьютер. Первый же инцидент, который смело можно назвать эпидемией "компьютерного вируса", произошел на системе Univax 1108. Вирус, получивший название Pervading Animal, дописывал себя к выполняемым файлам — делал практически то же самое, что тысячи современных компьютерных вирусов.

Первая половина 70-х годов

Под ОС Тепех создан вирус The Creeper, использовавший для своего распространения глобальные компьютерные сети. Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с этим вирусом была создана программа Reeper — первая известная антивирусная программа.

Начало 80-х годов

Компьютеры становятся все более и более популярными, соответственно появляется все больше и больше программ, авторы которых — не софтверные фирмы, а частные лица, причем эти программы имеют возможность свободного хождения по различным серверам общего доступа — BBS. Результат этого — большое число разнообразных "троянских коней" — программ, которые при запуске наносят системе какой-либо вред.

Год

Эпидемия загрузочного вируса Elk Cloner на компьютерах Apple II. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Проявлял он себя весьма многосторонне — переворачивал экран, заставлял мигать текст на экране и выводил разнообразные сообщения.

Год

Пандемия первого IBM PC-вируса Brain. Вирус, заражающий 360 Кбайт дискеты, практически мгновенно разошелся по всему миру. Причина такого "успеха" — скорее всего, в неготовности компьютерного общества к встрече с таким явлением, как компьютерный вирус.

Вирус был написан в Пакистане братьями Basit и Amjad Farooq Alvi, оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Как утверждали авторы вируса, являвшиеся владельцами компании по продаже программных продуктов, они решили выяснить уровень пиратского копирования в их стране. К сожалению, их эксперимент вышел за границы Пакистана.

Интересно, что вирус Brain являлся также и первым "стелс"-вирусом — при попытке чтения зараженного сектора он "подставлял" его незараженный оригинал.

В том же 1986 году программист по имени Ральф Бюргер (Ralf Burger) обнаружил, что программа может делать собственные копии путем добавления своего кода к выполняемым DOS-файлам. Его первый вирус, названный VirDem, демонстрировал эту возможность. Этот вирус был проанонсирован в декабре 1986 г. на форуме компьютерного "андеграунда"— хакеров, специализировавшихся в то время на взломе VAX/VMS-систем (Chaos Computer Club in Hamburg).

Год

Появление вируса Vienna. Копия этого вируса попадает в руки все того же Ральфа Бюргера, который дизассемблирует вирус и помещает результат в свою книгу "Computer Viruses: A High Tech Desease" (русский аналог —"Пишем вирус и антивирус" г. Хижняка). Книга Бюргера популяризовала идею написания вирусов, объясняла, как это делается, и служила, таким образом толчком к написанию сотен или даже тысяч компьютерных вирусов, частично использовавших идеи из этой книги.

В том же году независимо друг от друга появляется еще несколько вирусов для IBM PC. Это знаменитые в прошлом Lehigh, заражающий только COMMAND.COM, Suriv-1 (другое название — Aprillst), заражающий СОМ-файлы, Suriv-2, заражающий (впервые) ЕХЕ-файлы, и Suriv-3, заражающий как СОМ-, так и ЕХЕ-файлы. Обнаружены также несколько загрузочных вирусов (Yale в США, Stoned в Новой Зеландии и Ping-pong в Италии) и первый самошифрующийся файловый вирус Cascade.

Не остались в стороне и не-1ВМ-компьютеры: было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.

В декабре 1987 г. случилась первая известная повальная эпидемия сетевого вируса Cristmas Tree, написанного на языке REXX и распространявшего себя в операционной среде VM/CMS. 9 декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем — в сеть IBM Vnet. Через четыре дня (13 декабря) вирус парализовал сеть: она была забита его копиями (см. пример про клерка несколькими страницами выше). При запуске вирус выводил на экран изображение новогодней (вернее, рождественской) елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG.

Год

В пятницу 13 мая 1988 г. сразу несколько фирм и университетов разных стран мира познакомились с вирусом Jerusalem — в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии: сообщения о зараженных компьютерах поступали из Европы, Америки и Ближнего Востока. Название, кстати, вирус получил по месту одного из инцидентов — университета в Иерусалиме.

Вместе с другими вирусами (Cascade, Stoned, Vienna) вирус Jerusalem поселился в тысячах компьютерах, оставаясь незамеченным — антивирусные программы еще не были распространены в то время так же широко, как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов. Показателен тот факт, что в том же году компьютерный гуру и человек-легенда Питер Нортон сказал, что вирусов нет. Он объявил их мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал фирме Symantec через некоторое время начать собственный антивирусный проект — Norton Anti-Virus.

Стали появляться заведомо ложные сообщения о компьютерных вирусах, никакой реальной информации не содержащие, но вносившие панику в стройные ряды компьютерных пользователей. Одна из первых таких "злых шуток" (современный термин—virus hoax) принадлежит некому Mike RoChenIe (псевдоним похож на "MicroChannel"). Он разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бод. Как это ни смешно, многие пользователи отказались от стандарта тех дней 2400 и снизили скорость своих модемов до 1200 бод. Подобные hoax'ы появляются и сейчас. Наиболее известные на сегодняшний день — GoodTimes и Aol4Free.

Ноябрь 1988: повальная эпидемия сетевого вируса Морриса (другое название — Internet Worm). Вирус заразил более 6000 компьютерных систем в США (включая NASA Research Institute) и практически парализовал их работу. Он, как и вирус-червь Cristmas Tree, неограниченно рассылал свои копии по другим компьютерам сети и таким образом полностью забирал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 млн долл.

Вирус использовал для своего размножения ошибки в операционной системе Unix для VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал несколько других оригинальных идей, например подбор паролей пользователей. (Об этом вирусе и связанном с ним инциденте можно прочитать в достаточно подробной и интересной статье Игоря Моисеева в журнале "КомпьютерПресс", 1991, № 8, 9.)

Декабрь 1988: сезон вирусов-червей продолжается, на этот раз в сети DECNet. Вирус-червь HI.СОМ выводил на экран изображение елочки и извещал пользователей, что им следует "stop computing and have a good time at home!!!".

В этом году создана новая антивирусная программа — Dr. Solomon's Anti-Virus Toolkit, являющаяся на сегодняшний день одним из самых мощных антивирусов.

Год

Обнаружены новые вирусы — Datacrime, FuManchu и целые семейства Vacsina и Yankee. Первый имел крайне опасное проявление — с 13 октября по 31 декабря он форматировал винчестер. Этот вирус вырвался "на свободу" и вызвал повальную истерию в средствах массовой информации в Голландии и Великобритании.

Сентябрь 1989: на рынок выходит еще одна антивирусная программа — IBM Anti-Virus.

Октябрь 1989: в сети DECNet зафиксирована очередная эпидемия вируса-червя — WANK Worm.

Декабрь 1989: инцидент с "троянским конем" Aids, было разослано 20 000 его копий на дискетах, помеченных как "AIDS Information Diskette Version 2.0". После 90 загрузок системы "троянец" шифровал имена всех файлов на диске, делал их невидимыми (атрибут hidden) и оставлял на диске только один читаемый файл — счет на 189 долл., который следовало послать в РО Box 7, Panama. Автор "троянца" был пойман и приговорен к тюремному заключению.

Следует отметить тот факт, что 1989 год являлся началом повальной эпидемии компьютерных вирусов в России — все те же вирусы Cascade, Jerusalem и Vienna заполонили компьютеры наших соотечественников. К счастью, российские программисты довольно быстро разобрались с принципами их работы, и практически сразу появилось несколько отечественных противоядий-антивирусов.

Мое первое знакомство с вирусом (это был вирус Cascade) произошло в октябре 1989 г. Вирус был обнаружен на моем рабочем компьютере. Именно это и послужило для меня толчком к профессиональной переориентации на создание программ-антивирусов. Кстати, тот первый вирус я вылечил популярной в те времена антивирусной программой ANTI-KOT Олега Котика. Месяцем позже второй инцидент (вирус Vacsina) был исчерпан при помощи первой версии моего антивируса — V (который несколькими годами позже был переименован в AVP — AntiViral Toolkit Pro). К концу 1989 г. на просторах России паслось уже около десятка вирусов (перечислены в порядке их появления): две версии Cascade, несколько вирусов Vacsina и Yankee, Jerusalem, Vienna, Eddie, Ping-pong.

Год

Этот год принес несколько довольно заметных событий. Первое из них — появление полиморфик-вирусов Chpmeleon (другое название — V2P1, V2P2 и V2P6). До этого момента антивирусные программы для поиска вирусов пользовались так называемыми "масками" — кусками вирусного кода. После обнаружения вирусов Chameleon разработчики антивирусов были вынуждены искать другие методы детектирования вирусов.

Второе событие — появление болгарского "завода по производству вирусов": огромное число новых вирусов имело болгарское происхождение. Это были целые семейства вирусов Murphy, Nomenclatura, Beast (или 512, Number-of-Beast), новые модификации вируса Eddie и др. Особенную активность проявлял некто Dark Avenger, выпускавший в год по нескольку новых вирусов, использовавших принципиально новые алгоритмы заражения и скрытия себя в системе. В Болгарии же впервые появилась и первая BBS, ориентированная на обмен вирусами и информацией для вирусописателей.

В июле 1990 г. произошел инцидент с компьютерным журналом PC Today (Великобритания). Он содержал гибкий диск, зараженный вирусом DiskKiller. Было продано более 50 000 экземпляров журнала.

Во второй половине 1990 г. появились два "стелс"-монстра — Frodo и Whale. Оба вируса использовали крайне сложные "стелс"-алгоритмы, а девя-тикилобайтный Whale к тому же применял несколько уровней шифрования и антиотладочных приемов.

Были выпущены и первые известные мне отечественные вирусы:

Peterburg, Voronezh и ростовский LoveChild.

Год

Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Растет и антивирусная активность: сразу два софтверных монстра, Symantec и Central Point, выпускают собственные антивирусные программы — Norton Anti-Virus и Central Point Anti-Virus. Следом появляют • ся менее известные антивирусы от Xtree и Fifth Generation.

В апреле разразилась настоящая эпидемия файлово-загрузочного полиморфик-вируса Tequila, а в сентябре подобная "история" произошла с вирусом Amoeba. Россию эти события практически не затронули.

Лето 1991: эпидемия вируса Dir_II, использовавшего принципиально новые способы заражения файлов (link-вирус).

В целом 1991 год был достаточно спокойным — этакое затишье перед бурей, разразившейся в 1992-м.

Год

Вирусы для не-IBM PC и не-MS-DOS практически забыты: "дыры" в глобальных сетях закрыты, ошибки исправлены и сетевые вирусы-черви потеряли почву для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузоч-ные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько журналов, посвященных вирусам.

Начало 1992: первый полиморфик-генератор MtE, на его базе через некоторое время появляется сразу несколько полиморфик-вирусов. MtE стал прообразом нескольких последующих полиморфик-генераторов.

Март 1992: эпидемия вируса Michelangelo (March6) и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своему продукту, т. е. в целях извлечения коммерческой выгоды. Так, одна американская антивирусная компания заявила, что 6 марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадало всего около 10 000 машин.

Июль 1992: появление первых конструкторов вирусов VCL и PS-MPC, которые увеличили и без того не маленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.

Конец 1992: первый вирус для Windows, заражающий выполняемые файлы этой ОС, открыл новую страницу в вирусописательстве.

Год

Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик-генераторов и конструкторов, помимо новых электронных изданий для вирусописателей появляется все больше вирусов, использующих весьма необычные способы заражения файлов, проникновения в систему и т. д. В качестве примеров можно назвать:

• PMBS, работающий в защищенном режиме процессора Intel 80386;

• Strange (или Hmm) — сольное выступление на тему "стелс"-вирусов, однако выполненное на уровне аппаратных прерываний INT ODh и INT 76h;

• Shadowgard и Carbuncle, значительно расширившие диапазон алгоритмов компаньон-вирусов;

• Emmie, Metallica, Bomber, Uruguay и Cruncher — использование принципиально новых приемов "сокрытия" своего кода в зараженных файлах.

Весной 1993 г. Microsoft выпустила собственный антивирус MSAV, основой для которого послужил CPAV от Central Point.

Год

Все большее значение приобретает проблема вирусов на CD-дисках. Быстро став популярными, эти диски и оказались одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии CD-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных CD-дисков. Естественно, что об их лечении говорить не приходится — их надо просто уничтожать.

В начале года в Великобритании появились два крайне сложных поли-морфик-вируса — SMEG.Pathogen и SMEG.Queeg (до сих пор не все антивирусные программы в состоянии достичь 100%-ного результата при их обнаружении). Автор вирусов помещал зараженные файлы на станции BBS, что стало причиной настоящей эпидемии и паники в средствах массовой информации.

Еще одну волну паники вызвало сообщение о якобы существующем вирусе GoodTimes, распространяющем себя по сети Интернет и заражающем компьютер при получении электронной почты. Такого вируса на самом деле не было, однако через некоторое время был обнаружен обычный DOS-вирус с текстом "Good Times", вирус этот получил название GT-Spoof.

Активизируются правоохранительные органы: летом 1994 г. в Великобритании был "вычислен" и арестован автор SMEG. Примерно в то же время и там же арестована целая группа вирусописателей, называвшая себя ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще один автор вирусов был арестован в Норвегии.

Появляется несколько новых достаточно необычных вирусов.

Январь 1994: Shifter — первый вирус, заражающий объектные модули (OBJ-файлы). Phantomi — эпидемия первого полиморфик-вируса в Москве. Апрель 1994: SrcVir — семейство вирусов, заражающих исходные тексты программ (на Си и Паскале).

Июнь 1994: OneHalf — начало повальной эпидемии вируса, до сих пор являющегося самым распространенным в России.

Сентябрь 1994: "ЗАРАЗА" — эпидемия файлово-загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.

В 1994 г. (весной) перестал существовать один из антивирусных лидеров того времени — Central Point. Он был приобретен фирмой Symantec, которая до того уже успела поглотить несколько небольших фирм, занимавшихся антивирусными разработками, — Peter Norton Computing, Certus International и Fifth Generation Systems.

Год

Ничего действительно заметного в области DOS-вирусов не произошло, хотя появилось несколько достаточно сложных вирусов-монстров типа NightFall, Nostardamus, Nutcracker и таких забавных вирусов, как "двуполый" вирус RMNS и ВАТ-вирус Winstart. Широкое распространение получили вирусы ByWay и DieHard2 — сообщения о зараженных компьютерах были получены практически со всего мира.

Февраль 1995: произошел инцидент с Microsoft: на диске, содержащем демонстрационную версию Windows 95, обнаружен вирус Form. Копии этого диска Microsoft разослала бета-тестерам, один из которых не поленился проверить диск на вирусы.

Весна 1995: анонсирован альянс двух антивирусных компаний — ESaSS (ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы.

Август 1995: один из поворотных моментов в истории вирусов и антивирусов — в "живом виде" обнаружен первый вирус для Microsoft Word (Concept). Буквально за месяц вирус "облетел" весь земной шар, заполонил компьютеры пользователей MS-Word и прочно занял первое место в статистических исследованиях, проводимых различными компьютерными изданиями.

Год

Январь 1996: два достаточно заметных события — появился первый вирус для Windows 95 (Win95.Boza) и началась эпидемия крайне сложного поли-морфик-вируса Zhengxi в Санкт-Петербурге.

Март 1996: первая эпидемия вируса для Windows З.х. Его имя — Win.Tentacle. Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Это был первый Windows-вирус, вырвавшийся на свободу. До той поры (насколько мне известно) все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в "живом виде" встречались только загрузочные, DOS- и макровирусы.

Июнь 1996: OS2.AEP — первый вирус для OS/2, корректно заражающий ЕХЕ-файлы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом "компаньона".

Июль 1996: Laroux — первый вирус для Microsoft Excel, к тому же пойманный в "живом виде" (практически одновременно в двух нефтедобывающих компаниях — на Аляске и в ЮАР). Как и у MS Word-вирусов, принцип действия Laroux основывается на наличии в файлах так называемых макросов — программ на языке Бейсик. Такие программы могут быть включены в электронные таблицы Excel и документы MS Word. Как оказалось, встроенный в Excel язык Бейсик также позволяет создавать вирусы. Этот же вирус в апреле 1997 г. стал причиной эпидемии в компьютерных фирмах Москвы.

Год

Февраль 1997: Linux.Bliss — первый вирус для Linux (разновидность Unix). Так вирусы заняли еще одну "биологическую" нишу.

Февраль — апрель 1997: макровирусы перебрались и в Office 97. Первые из них оказались всего лишь "отконвертированными" в новый формат макровирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office 97.

Март 1997: ShareFun — макровирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS-Mail.

Апрель 1997: Homer — первый сетевой вирус-червь, использующий для своего размножения File Transfer Protocol (ftp).

Июнь 1997: появление первого самошифрующегося вируса для Windows 95. Вирус, имеющий российское происхождение, был разослан на несколько BBS в Москве, что стало причиной эпидемии.

Ноябрь 1997: материал сдан в печать. Продолжение истории компьютерных вирусов читайте в следующих изданиях книги.

Все на свете должно происходить медленно и неправильно, чтобы не сумел загордиться человек, чтобы человек был грустен и растерян.