4. История компьютерных вирусов

Первые исследования саморазмножающихся искусственных конструкций проводились в середине XX столетия: в работах фон Неймана, Винера и др. Дано определение и проведен математический анализ конечных автоматов, в том числе самовоспроизводящихся. Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.

Термин "компьютерный вирус" появился позднее - официально считается, что его впервые употребил сотрудник Лехайского университета (США) Фред Коэн в 1984 году на 7-й конференции по безопасности информации, проходившей в США.

«История» компьютерных вирусов ведет начало с 1984 г., когда Фред Коэн (США) написал программу, которая автоматически активизировалась и проводила деструктивные изменения информации при незаконном обращении к другим программам автора. После этого было создано большое количество программ, предназначенных для вызова тех или иных «вредных» действий, и постепенно сформировалось самостоятельное инженерное направление по борьбе с ними.

Существует много разных версий относительно даты рождения первого компьютерного вируса. Однако большинство специалистов сходятся на мысли, что компьютерные вирусы, как таковые, впервые появились в 1986 году, хотя исторически возникновение вирусов тесно связано с идеей создания самовоспроизводящихся программ.

Появление первых компьютерных вирусов, способных дописывать себя к файлам, связывают с инцидентом, который произошел в первой половине 70-х годов на системе Univax 1108. Вирус, получивший название "Pervading Animal", дописывал себя к выполняемым файлам – делал практически то же самое, что тысячи современных компьютерных вирусов.

ПРИМЕЧАНИЕ:Каждый вирус имеет собственное имя. Обнаружив новый вирус, антивирусные компании дают ему имена в соответствии с классификациями, принятыми в каждой конкретной компании, причем классификация у каждой фирмы своя.

Например, Worm.Win32.Nuf – это то же самое, что

Net-Worm.Win32.Mytob.c.

Часто название дается по некоторым внешним признакам:

• по месту обнаружения вируса (Jerusalem);

• содержащимся в теле вируса текстовым строкам (I Love You);

• методу подачи пользователю (AnnaKournikova);

• эффекту (Black Friday).

Можно отметить, что в те времена значимые события, связанные с компьютерными вирусами, происходили один раз в несколько лет. С началом 80-х компьютеры становятся все более и более популярными. Появляется все больше и больше программ, начинают развиваться глобальные сети. Результатом этого является появление большого числа разнообразных "троянских коней" – программ, которые при их запуске наносят системе какой-либо вред.

Одним из "пионеров" среди компьютерных вирусов считается вирус "Brain", созданный в 1986г. пакистанским программистом по фамилии Алви. Только в США этот вирус поразил свыше 18 тыс. компьютеров.

Вирус, заражающий 360Kб дискеты, практически мгновенно разошелся по всему миру. Причиной такого "успеха" являлась, скорее всего, неготовность компьютерного общества к встрече с таким явлением, как компьютерный вирус.

В начале эпохи компьютерных вирусов разработка вирусоподобных программ носила чисто исследовательский характер, постепенно превращаясь на откровенно вражеское отношение к пользователям безответственных, и даже криминальных "элементов". В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за создание и распространение вирусов.

Первыми известными собственно вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты— CHK4BOMB и BOMBSQAD авторства Энди Хопкинса (англ.Andy Hopkins).

В начале 1985 года Ги Вонг (англ.Gee Wong) написал программу DPROTECT — первый резидентныйантивирус.

Расцвет вирусов в их классическом понимании пришелся на операционную систему MS DOS и происходил в 80-е годы и в начале 90-х. В то время вирусы заражали загрузочные области накопителей на жестких и гибких дисках и исполнимые файлы. Вирусы распространялись путем переноса с компьютера на компьютер дискет, зараженных вирусами или содержащих зараженные исполнимые файлы. В своей эволюции в тот период вирусы прошли путь от простейших вирусов до шифрованных (тело вируса было зашифровано, так что сигнатура вируса менялась от экземпляра к экземпляру).

Из вирусных технологий, разработанных в тот период, необходимо также отметить следующие:

• «stealth»-технологию, обеспечивавшую «невидимость» вирусов для стандартных средств, поставляющих информацию о системе;

• направленность некоторых вирусов на разрушение или блокирование работы антивирусных программ на пораженном компьютере пользователя;

• разработка генераторов вирусов, позволившая малоквалифицированным пользователям автоматически создавать вирусы.

Как мы увидим далее, все самые «замечательные» свойства вирусных программ прошлого присутствуют и в современных программах.

Тогда же оформились основные классы двоичных вирусов:

• сетевые черви (червь Морриса, 1987),

• «троянские кони» (AIDS, 1989^[5]),

• полиморфные вирусы (Chameleon, 1990),

• стелс-вирусы (Frodo, Whale, 2-я половина 1990).

Первые вирусные эпидемии относятся к 1987—1989 годам:

• Zotkin.A, (более 18 тысяч зараженных компьютеров, по данным McAfee),

• Jerusalem (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске),

• червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток),

• DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).

В пятницу 13-го мая 1988-го года сразу несколько фирм и университетов нескольких стран мира "познакомились" с вирусом "Jerusalem" – в этот день вирус уничтожал файлы при их запуске. Вместе с несколькими другими вирусами, вирус "Jerusalem" распространился по тысячам компьютеров, оставаясь незамеченным – антивирусные программы еще не были распространены в то время так же широко как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов.

Не прошло и полгода, как в ноябре 1988г. появился сетевой вирус Морриса (другое название – Internet Worm) и в течение короткого промежутка времени парализовал работу многих хостов сети Internet. Повальная эпидемия этого вируса заразила более 6000 компьютерных систем в США и практически парализовала их работу. По причине ошибки в коде вируса он неограниченно рассылал свои копии по другим компьютерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.

Червь Морриса являлся самораспространяющейся программой, которая распространяла свои копии по сети Internet, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе. Одной из уязвимостей, использованных червем Моррисона, была уязвимая версия программы Sendmail (нарушение безопасности было связано с использованием нестандартной команды), а другой - программа Fingerd (в ней содержалась ошибка переполнения буфера). Для поражения систем червь использовал также уязвимость команд rexec и rsh, а также неверно выбранные пользовательские пароли.

Данный червь является «классикой» вредоносных программ, а механизмы нападения, разработанные автором при его написании, до сих пор используются злоумышленниками.

Параллельно оформляются организованные движения как про-, так и антивирусной направленности:

• в 1990 году появляются специализированная BBS Virus Exchange,

• «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига,

• первый коммерческий антивирус Symantec Norton AntiVirus.

Начиная с 90-х годов проблема, приобретает глобальный характер. В 1991 году появился первый генератор вирусов- VCS v.1.0. Теперь любой желающий за 10-15 минут мог сконструировать свой вирус. 

В 1992 годупоявились:

• первый конструктор вирусов для PC — VCL (для Amiga конструкторы существовали и ранее),

• готовые полиморфные модули (MtE, DAME и TPE);

• модули шифрования для встраивания в новые вирусы.

В 1992 году появились первые конструкторы вирусов VCL и PS-MPC, которые увеличили и без того немаленький поток новых вирусов. В конце этого года первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу компьютерных вирусов.

В 1992  операционная система Windows 95 была практически готова, и её beta-версию разослали 160 тестерам. Все диски были заражены загрузочным вирусом Form, и только один тестер не поленился проверить диск антивирусом. 1993 год. Вирус Satan bug поражает сотни компьютеров в Вашингтоне.

С появлением семейства операционных системы Windows в 90-х годах ситуация изменилась. Казалось, что ситуация должна улучшиться, т.к. Windows является системой более сложной структуры, в ней присутствуют некоторые механизмы защиты, а, следовательно, создавать вирусы для данной операционной системы будет труднее, чем под MS DOS. И действительно, на некоторое время количество создаваемых вирусов уменьшилось (выросло число вирусов, поражающих загрузочную запись, т.к. данный тип MS DOS вирусов был совместим с операционной системой Windows 3.1, но уменьшилось количество файловых вирусов).

В несколько последующих лет были:

• окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995),

• испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II — 1991, PMBS, Shadowgard, Cruncher — 1993),

• появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994).

В этот период появился новый фактор, вызвавший бурный рост вредоносных программ. Получили широкое распространение сложные программные пакеты (самый яркий представитель – Microsoft Office), содержащие встроенные интерпретируемые языки.

Август 1995 г. один из поворотных моментов в истории вирусов и антивирусов - обнаружен первый вирус для Microsoft Word ("Concept").

Вирус Concept, первый макро-вирус (вирус, использующий интерпретатор, встроенный в прикладное программное обеспечение). Так начиналось время макровирусов. С распространением пакета Microsoft Office получили распространение макровирусы (Concept, 1995). С этого момента вирусы, заражающие документы Microsoft Office стали самыми популярными в мире.

В 1996 годупоявились первые вирусы для:

• Windows 95 — Win95.Boza,

• резидентный вирус для Win95.Boza — Win95.Punch.

После появления в 1997 году очередной версии продукта Microsoft Office, вирусы перестали быть специфичными для какого-то отдельного офисного приложения, а стали "общими" для всех продуктов семейства, вследствие внедрения в пакет встроенного интерпретируемого языка Visual Basic. Теоретически любое приложение, поддерживающее Visual Basic, может быть использовано для распространения вирусов в документах.

Таким образом, для широкого распространения макро-вирусов в настоящее имеются следующие предпосылки:

• широкое распространение пакета Microsoft Office;

• отсутствие механизмов защиты в макросах;

• распространенность обмена информацией в файлах, созданных офисными приложениями, в почтовых вложениях между пользователями;

• удобный язык для написания вирусов.

Современные макро-вирусы пытаются использовать технологии аналогичные технологиям, которые использовали вирусы для операционной системы MS DOS:

• сокрытие своего тела путем перехвата обращений к пунктам меню, позволяющим просмотреть макросы в документе;

• шифрование текста макроса;

• борьба с антивирусным программным обеспечением.

Описанные вирусные проблемы, существовали где-то до 1998 года. А далее произошла очередная «вирусная» революция, связанная с использованием возможностей сети Internet для распространения вирусов.

На данном этапе вирусные программы начинают обладать функциями, характерными для червей, так что часто трудно четко определить, вирусом или червем является вредоносная программа.

С распространением сетей и Интернетафайловые вирусывсё больше ориентируются на Win95.Boza и Win95.Punch как на основной канал работы:

• ShareFun, 1997 — макровирус MS Word, использующий MS-Mail для распространения;

• Win32.HLLP.DeTroie, 1998 — семейство вирусов-шпионов;

• Melissa, 1999 — макровирус и сетевой червь, побивший все рекорды по скорости распространения

Вирус Melissa появился в мае 1999 года и поразил около 100000 хостов, подключенных к сети Internet, в том числе и в сетях, защищенных межсетевыми экранами. Вирус распространялся с помощью программы, присоединенной к почтовому сообщению. Даже если в атакуемой сети присутствовала проверка наличия вирусов в почтовых сообщениях, антивирусные средства не могли распознать сигнатуру вируса Melissa.

Кратко рассмотрим принципы работы данного вируса. Вирус Melissa нельзя классифицировать как чистый червь, т.к. для его распространения требуются действия пользователя. Для того чтобы вирус заразил атакуемый хост сети, пользователь должен был открыть присоединенный к почтовому сообщению документ с помощью программы Microsoft Word. После того, как зараженный документ открывался, вирус рассылал свою копию первым пятидесяти адресатам в книге адресов Microsoft Outlook, хранимой на хосте. Этот способ распространения являлся основным (несмотря на то, что вирус мог распространяться и в результате того, что пользователи сами передавали друг другу зараженный документ). Использование адресной книги хоста для распространения вируса увеличивало способность его распространения вследствие того, что атакуемые пользователи были склонны доверять почтовым сообщениям, поступившим к ним от известных пользователей, и открывали вложенные документы.

В январе 1999 года появился вирус Caligula, который распространялся с помощью документов Microsoft Word / 97. Данный вирус пытался обнаружить в зараженной системе файл, содержащий информацию, используемую программой PGP. При этом для связи с нарушителем использовался сеанс ftp, инициируемый с зараженной машины, что часто позволяло обойти межсетевой экран.

Вирус Marker появился в апреле 1999 года и использовал технику аналогичную вирусу Caligula для получения информации о пользователях, работающих на зараженном хосте. Marker проверял, была ли уже заражена система, на основании проверки ключа реестра, который он устанавливал при заражении

Эру расцвета «троянских коней» открывает утилита скрытого удаленного администрирования BackOrifice (1998) и последовавшие за ней аналоги (NetBus, Phase).

Вирус Win95.CIH достиг апогея в применении необычных методов, перезаписывая FlashBIOS зараженных машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).

В 1998 году появились первые полиморфные Windows32-вирусы-"Win95. HPS" и "Win95. Marburg". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.

Наиболее заметной в 1998 г. была эпидемия вируса "Win95. CIH", ставшая сначала массовой, затем глобальной, а затем повальной – сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный заслал зараженные файлы в местные Интернет-конференции.

С середины 90-х годов основным источником вирусов становится глобальная сеть Интернет.

Конец 1990-x — начало 2000-x годов ознаменовались:

• усложнением ПО и системного окружения,

• массовым переходом на сравнительно защищенные Windows семейства NT,

• закреплением сетей как основного канала обмена данными,

• а также успехами антивирусных технологий в обнаружении вирусов, построенных по сложным алгоритмам.

В этот период вирусы стали:

1) заменять внедрение в файлы на внедрение в операционную систему (необычный автозапуск, руткиты);

2) подменять полиморфизм огромным количеством видов (число известных вирусов растет экспоненциально).

Вместе с тем, обнаружение в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам.

С 1999 года макровирусы начинают постепенно терять свое господство. Это связано со многими факторами. Во-первых, пользователи осознали опасность, таящуюся в простых doc- и xls-файлах. Люди стали более внимательными, научились пользоваться стандартными механизмами защиты от макровирусов, встроенными в MS Office.

В 2000 году происходят очень важные изменения на мировой "вирусной арене". На свет появляется новый тип вредных кодов – сетевые черви. В это же время появляется супервирус – "Чернобыль".

"Чернобыль" исполняемый вирус под Windows, имеющий следующие особенности:

1. Во-первых, зараженный файл не меняет своего размера по сравнению с первоначальным вариантом. Такой эффект достигается благодаря структуре исполняемых файлов Windows: каждый exe-файл разбит на секции, выровненные по строго определенным границам. В результате между секциями почти всегда образуется небольшой зазор. Хотя такая структура приводит к увеличению места, занимаемого файлом на диске, она же позволяет существенно повысить скорость работы операционной системы с таким файлом. "Чернобыль" либо записывает свое тело в один такой зазор, либо дробит свой код на кусочки и копирует каждый из них в пустое место между границами. В результате антивирусу сложнее определить, заражен ли файл или нет, и еще сложнее вылечить инфицированный объект.

2. Во-вторых, "Чернобыль" стал первопроходцем среди программ, умеющих портить аппаратные средства. Некоторые микросхемы позволяют перезаписывать данные, хранящиеся в их мини ПЗУ. Этим и занимается этот вирус.