2015-04-30
966
Год
Этот год принес несколько весьма заметных событий, ознаменовавших новый этап в области создания вирусов.
Во-первых, это касается появления нового поколения компьютерной фауны - полиморфных вирусов. Первый представитель этого типа вредоносных программ, Chameleon (1260, V2P1, V2P2 и V2P6), "эволюционировал" из двух других ранее известных вирусов - Vienna и Cascade. Автор Chameleon, Марк Уошбурн, за основу вируса взял сведения о Vienna из книги Бюргера и добавил к нему усовершенствованные принципы самошифрации Cascade. В отличие от Cascade, Chameleon изменял внешний вид как тела вируса, так и самого расшифровщика. Эта особенность делала современные антивирусные программы малоэффективными: до этого момента они использовали обычный контекстный поиск "масок", т.е. кусков вирусного кода. В Chameleon отсутствовал постоянный вирусный код, что делало разработку новых принципов антивирусной защиты задачей номер 1. Эти принципы не заставили себя долго ждать, и вскоре антивирусные эксперты изобрели специальные алгоритмические языки, способные распознать в зараженном файле даже полиморфный вирус. Позднее, в 1992 г., Евгений Касперский изобрел еще более эффективный способ нейтрализации полиморфных вирусов - эмулятор процессора для дешифрации кодов. Сегодня технология является неотъемлемым атрибутом каждого современного антивирусного продукта.
|
|
|
Вторым важным событием года стало появление болгарского "завода по производству вирусов". В течение этого года и ряда последующих лет было обнаружено огромное количество новых вирусов, которые имели болгарское происхождение. Это были целые семейства вирусов - Murphy, Nomenclatura, Beast (или 512, Number-of-Beast), новые модификации вируса Eddie и многие другие. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и сокрытия себя в системе. Именно этот человек впервые использовал технологию заражения файлов, при которой вирус, находящийся резидентно в памяти компьютера, автоматически заражал все используемые файлы, в т.ч. просто открываемые для чтения. Dark Avenger демонстрировал большие способности не только в создании вирусов, но также и в их распространении: он активно загружал зараженные программы на электронные станции (BBS), распространял исходные коды своих "творений" и всячески пропагандировал идею создания вирусов.
В этом же году в Болгарии появилась первая BBS (VX BBS), ориентированная на обмен вирусами и информацией для вирусописателей. Идеология станции была исключительно проста: если пользователь передавал вирус, то взамен он мог загрузить один понравившийся ему вирус из каталога станции. Если же пользователь передавал новый, интересный вирус, то он получал полный доступ к ресурсам станции и мог загружать неограниченное число вирусов из предлагаемой коллекции. Вряд ли стоит пояснять каким мощным стимулом развитию вирусного движения стала VX BBS. Станция отнюдь не была каким-то локальным явлением: доступ к ней мог получить любой желающий из любой точки мира!
|
|
|
В июле 1990 г. произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller. Было продано более 50.000 копий журнала. Комментарии излишни.
Во второй половине 1990-го появились два монстра-невидимки - Frodo и Whale. Оба вируса использовали крайне сложные алгоритмы сокрытия присутствия в системе ("невидимости"), а девятикилобайтный Whale, к тому же, применял несколько уровней шифровки и целый ряд хитрых антиотладочных приемов.
Были обнаружены и первые известные отечественные вирусы: "Peterburg", "Voronezh" и ростовский "LoveChild".
В декабре 1990 г. в Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR - European Institute for Computer Anti-virus Research). Сейчас Институт является одной из наиболее уважаемых международных организаций, объединяющей практически все крупные антивирусные компании.
Год
Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Быстрый рост количества и качества компьютерной заразы и внимание, которое приковывал к себе этот столь "модный" феномен как со стороны пользователей, так и средств массовой информации, определил начало формирования нового рынка - средств защиты от компьютерных вирусов. Этот факт не ускользнул от внимания маркетинговых служб компаний-производителей программного обеспечения: конец 1990 - начало 1991 г. стали временем создания целого ряда антивирусных продуктов. Во-первых, это Norton AntiVirus компании Symantec, представленный в декабре 1990 г. Во-вторых, это Central Point AntiVirus и антивирусный проект компании Fifth Generation Systems под названием "Untouchable". Впрочем, оба они позднее были куплены Symantec: первый - в июне 1994 г. за $60 млн., второй - в октябре 1993 г. за $48 млн.
Вслед за болгарской VX BBS и неуловимым Dark Avenger по всему миру появляются другие станции, ориентированные на обмен вирусами, и новые темные личности, посвятившие свои жизни созданию вирусов. В Италии появляется Cracker Jack (Italian Virus Research Laboratory BBS), в Германии - Gonorrhoea, в Швеции - Demoralized Youth, в США - Hellpit, в Англии - Dead On Arrival и Semaj.
В апреле разразилась настоящая эпидемия файлово-загрузочного, полиморфного вируса Tequila. Он был создан одним швейцарским программистом исключительно в исследовательских целях и не предназначался для какой-либо вредоносной деятельности. Однако, экземпляр вируса был похищен знакомым автора, который, в свою очередь, намеренно заразил диски своего отца. К слову сказать, отец работал в компании по производству компьютерных программ, что и определило быстрое распространение Tequila. В сентябре подобный инцидент случился с полиморфным вирусом Amoeba. Россию эти события практически не затронули.
Лето 1991: эпидемия вируса Dir_II, использовавшего принципиально новый способ заражения файлов - link-технологию. На сегодняшний день этот вирус остается единственным представителем этого класса, который был обнаружен в диком виде.
В целом, год 1991 был достаточно спокойным - этакое затишье перед бурей, разразившейся в 1992-м.
Вирусы для не-IBM-PC и не-MS-DOS практически забыты: "дыры" в глобальных сетях закрыты, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. На этом фоне выделяются следующие основные моменты.
|
|
|
- Начало года: появляется первый полиморфик-генератор MtE. Его главное предназначение - возможность интеграции в другие вирусы для обеспечения их полиморфизма. Автор программы, печально известный Dark Avenger, делает все возможное, чтобы облегчить своим "коллегам" работу с MtE: генератор поставляется в виде готового объектного модуля и сопровождается подробной документацией с указаниями и его лучшем применении. На базе MtE через некоторое время появляется сразу несколько полиморфных вирусов. Он также стал прообразом нескольких последующих полиморфик-генераторов. MtE стал серьезной головной болью для антивирусных компаний. Некоторые из них даже спустя несколько месяцев так и не добились 100% результата обнаружения известных вариантов полиморфных вирусов, созданных с использованием MtE.
- Появляются первые вирусы класса анти-антивирус. Одним из первых представителей этого класса стал Peach, который удалял базу данных ревизора изменений Central Point AntiVirus. Если эта антивирусная программа не находила базы данных, то она считала, что запущена в первый раз и незаметно для пользователя создавала ее заново. Таким хитрым образом вирус обходил защиту и оставался незаметным, постепенно заражая всю систему.
- В органах внутренних дел по всему миру начинают развиваться специальные департаменты, занимающиеся исключительно компьютерными преступлениями. Достоянием гласности становятся все больше случаев успешной борьбы с создателями вирусов. Например, Отдел по борьбе с компьютерными преступлениями Скотланд Ярда (Computer Crime Unit of the New Scotland Yard) успешно "разоружает" английскую вирусную группу ARCV (Association for Really Cruel Viruses). Активная позиция правоохранительных органов Великобритании, к примеру, практически нейтрализовала активность компьютерного андерграунда, и даже сейчас в этой стране нам неизвестны сколько-нибудь серьезные организованные группировки вирусописателей.
|
|
|
- Март 1992: эпидемия вируса "Michelangelo" ("March6") и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своим продуктам, т.е. в целях извлечения коммерческой выгоды. Так, одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадали всего несколько тысяч машин.
- Июль 1992: появление первых конструкторов вирусов VCL и PS-MPC. Они позволяли людям создавать свои собственные вирусы различных типов и модификаций, нашпиговывая их богатым "ассортиментом" деструктивных действий. Конструкторы увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.
- Конец 1992: обнаружение Win.Vir_1_4 (10) - первого вируса для Windows, заражающего исполняемые файлы этой операционной системы. Несмотря на то, что вирус был корявым, имел ограниченные возможности для распространения и не использовал специальные функции Windows, он все же открыл новую страницу в истории создания компьютерных вирусов.
- Ноябрь 1992: компания Symantec приобретает Certus International (а с ней и антивирусный продукт компании - Novi).
В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, Badtransll, Thus и др.).
В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию.NET. Однако развитие событий показало, что оба вируса оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Лучшим опровержением распространенного мнения, что этв операционная система защищена от любых вредоносных программ, стал червь Slapper, который всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.
Нельзя не отметить стремительный рост так называемых коммерческих вредоносных программ, которые преследуют конкретные коммерческие цели – похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям.
Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь Klez. Данная вредоносная программа была впервые обнаружена 26 октября2001 г. и на ближайшие два года его модификации стали завсегдатаями списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях десятки. Однако в течение 2002 года свирепствовали лишь две из десяти существующих разновидностей этого червя – Klez.H (обнаружен 17.04.2002) и Klez.E (обнаружен 11.01.2002). в общей сложности каждые 6 и 10 зарегистрированных случаев заражения были вызваны Klez.
По масштабам и продолжительности эпидемия Klez не имела себе равных. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года.
Тенденция 2001 года, когда для своего распространения черви использовали различные бреши в программных продуктах Microsoft, была продолжена в 2002 г. Все вышеназванные черви (Klez, lentin, Tanatos), а также BadTrans – использовали для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом на них пришлось более 85% всех инцидентов.
В конце года наметилась интересная тенденция в качественном составе самых инцидентов приходилось на один, два, максимум три вируса, то начиная с сентября 2002 года ситуация коренным образом изменилась. С этого момента наблюдается так называемая диверсификация – все больше заражений приходится на вирусы, не вошедшие в хит-парады: в декабре этот показатель достиг 62%. Это свидетельствует о том, что пользователи наконец обратили внимание на главные угрозы и предприняли необходимые меры защиты. Грамотные действия пользователей повлекли за собой сокращение числа инцидентов с участием, например, Klez, lentin и Tanatos. Однако снижения общего количества заражений отмечено не было. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ (например, Bridex). По отдельности доля заражений, вызванных каждой из них, была невелика, но в совокупности доля заражений, вызванных каждой из них, была невелика, но в совокупности они составили достаточно внушительный объем.
