История развития вирусов 1990-2003 годы

     1997 год также заметен по нескольким  скандалам между крупными игроками рынка антивирусных продуктов. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили «закладку» в программах одного из своих основных конкурентов — в антивирусе фирмы Dr. Solomon. Заявление от McAfee гласило, что если антивирус Dr. Solomon при сканировании обнаруживает несколько вирусов различных типов, то его дальнейшая работа происходит в усиленном режиме. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr. Solomon работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee «cheat mode» — «режим обмана»), позволяющий детектировать вирусы, невидимые для Dr. Solomon при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr. Solomon показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.

     Ответный  удар Dr. Solomon не заставил себя ждать, и  вскоре эта фирма подала иск на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись к тексту «The Number One Choice Worldwide. No Wonder The Doctor's Left Town». Понятно, что под прозвищем «Doctor» подразумевался Алан Соломон (Alan Solomon) — основатель компании Dr. Solomon.

     Однако  больше всех отличился тайваньский  разработчик Trend Micro, обвинивший сразу  две ведущие антивирусные компании — McAfee и Symantec — в нарушении его  патента на технологию сканирования данных, передаваемых по интернету  и электронной почте. Позднее в драку ввязалась Symantec и предъявила иск McAfee по обвинению в использовании кодов из Norton AntiVirus в продуктах McAfee.

     Закончился  год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Associates Inc. (NAI) и о диверсификации бизнеса в направлении разработки не только антивирусных продуктов, но и других систем компьютерной безопасности: программ для шифрования, межсетевых экранов, сетевых сканеров и др. Однако на рубеже 1999-2000 гг. руководство NAI вновь принимает решение о реанимации бренда McAfee — и линейка антивирусных продуктов компании получает свое старое имя.

     В июне этого же года появился на свет еще один игрок антивирусного  рынка — «Лаборатория Касперского». Компания тогда состояла из 15 сотрудников и представляла рынку три продукта для защиты от вирусов в операционных системах MS-DOS, Windows 95 и Novell Netware. 

     2.9 1998 год

     Вирусная  атака на MS Windows, MS Office и сетевые  приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в интернет, и несколько утилит скрытого администрирования (Backdoor). Зафиксированы инциденты с зараженными компакт-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами CIH и Marburg.

     Начало  года: эпидемия целого семейства вирусов DeTroie, не только заражающих исполняемые файлы Windows, но и способных передать своему «хозяину» информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франкоговорящие страны.

     В феврале зафиксировано появление  нового типа вируса для документов Excel — Paix. Данный тип макро-вируса для  своего внедрения в таблицы Excel использовал  не обычную для вирусов область  макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. Позже, в этом же месяце, зарегистрированы HPS и Marburg — первые полиморфные Windows-вирусы, обнаруженные к тому же «в живом виде». Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на MS-DOS-вирусы.

     В марте был обнаружен AccessiV — первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами для MS Word и Excel (Concept и Laroux), он не стал, поскольку все уже привыкли к тому, что приложения MS Office одно за другим становятся жертвами компьютерных вирусов. Примерно в то же время было зафиксировано появление вируса Cross — первого многоплатформенного макро-вируса, заражающего документы одновременно двух приложений MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-приложения в другое. Наиболее заметным из них стал Triplicate (также известный под именем Tristate), способный заражать Word, Excel и PowerPoint.

     Май: вирус RedTeam, заражающий EXE-файлы Windows. Стал первым вирусом, который осуществлял  попытки своего распространения  по электронной почте при помощи почтового клиента Eudora. Широкого распространения не получил.

     Июнь: эпидемия вируса CIH, ставшая сначала  массовой, а затем глобальной —  сообщения о заражении компьютерных сетей и домашних персональных компьютеров  исчислялись тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные электронные конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных веб-серверов — они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течение всего года. Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы. Исключительно сложные процедуры работы CIH с оперативной памятью потребовали от разработчиков антивирусов значительных усилий и очередной модернизации «движков» своих продуктов.

     Август: появление нашумевшего BackOrifice (Backdoor.BO) — утилиты скрытого (хакерского) администрирования удаленных компьютеров  и сетей. Следом за BackOrifice появились  несколько других аналогичных программ: NetBus, Phase и прочие.

     Также в августе появился первый вирус, заражающий исполняемые модули Java — StangeBrew. Данный вирус не представлял какой-либо опасности для пользователей интернета, поскольку на удаленном компьютере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами могут быть также и приложения, активно используемые при просмотре файлов с веб-серверов.

     Ноябрь: интернет-экспансия компьютерных паразитов  продолжилась тремя вирусами, заражающими  скрипты Visual Basic (VBS-файлы), которые активно применяются при написании веб-страниц — вирус Rabbit. Логическим следствием развития VBScript-вирусов стало появление полноценного HTML-вируса — Internal. Становится очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, веб-серверы или активно распространяющегося по электронной почте.

     Жертвой компьютерных вирусов становится еще одно приложение из состава MS Office. Им стала популярная программа для создания презентаций — PowerPoint. В декабре 1998 г. неизвестным выпускается первый вирус этого типа — Attach. За ним немедленно следуют два других — ShapeShift и ShapeMaster, авторство которых, по всей видимости, принадлежит одному и тому же лицу.

     Произошли также заметные перестановки в антивирусном мире. В мае Symantec и IBM объявляют об объединении усилий в разработке антивирусных продуктов: совместный продукт  при этом распространяется фирмой Symantec под той же маркой Norton AntiVirus, а IBM Antivirus прекращает свое существование. В конце сентября Symantec объявляет о выкупе антивирусного бизнеса корпорации Intel (LANDesk Virus Protect). Спустя всего две недели Symantec приобретает еще одну компанию — Quarterdeck, в арсенале которой помимо утилит общего назначения также присутствовали продукты для защиты от вирусов (ViruSweep). На это моментально отреагировали основные конкуренты: Dr. Solomon и NAI (ранее — McAfee) тут же выпустили пресс-релизы с предложениями о льготном апдейте бывших пользователей IBM AV своими собственными антивирусами.

     Не  прошло и месяца, как прекратил  свое существование и сам Dr. Solomon. Он был куплен компанией NAI (McAfee) за рекордную  сумму в 640 миллионов долларов путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей-продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.

     Интересен и факт приобретения в декабре  фирмой Aladdin Knowledge Systems известного производителя  оборудования и программ для компьютерной безопасности, израильской компании EliaShim, разработчика линейки антивирусных продуктов eSafe. 

          2.10 1999 год

     В январе разразилась глобальная эпидемия почтового интернет-червя Happy99 (также  известного как Ska). По сути, это был  первый современный червь, открывший  новый этап в развитии вредоносных программ. Он использовал для своего распространения программу MS Outlook, являющуюся корпоративным стандартом в США и во многих странах Европы.

     Практически одновременно с этим был обнаружен  весьма интересный макро-вирус для MS Word — Caligula. Он просматривал системный реестр, находил ключи, соответствующие популярной программе шифрования PGP (Pretty Good Privacy), вычислял каталоги возможного нахождения программы и производил в них поиск базы данных ключей шифрования PGP версии 5.x. В случае обнаружения этой базы данных, вирус копировал её на удалённый FTP-сервер.

     В конце февраля были зарегистрированы инциденты с участием SK — первого  вируса, заражающего файлы помощи Windows (HLP-файлы).

     26 марта: глобальная эпидемия почтового  червя Melissa — первого макро-вируса для MS Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал свои копии по первым 50 найденным адресам. В автоматизированных системах документооборота письма с червём обрабатывались без участия человека — в результате эпидемия Melissa моментально достигла своего пика и нанесла ощутимый ущерб компьютерным системам мира: такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты.

     7 мая: первый вирус для графического  пакета CorelDRAW. Вирус Gala (также известный  как GaLaDRieL), написанный на скрипт-языке  Corel Script, стал первым, кто оказался  способен заражать файлы как самого CorelDRAW, так и Corel PHOTO-PAINT и Corel Ventura.

     В самом начале лета грянула эпидемия весьма опасного интернет-червя ZippedFiles (также известного как ExploreZip). Он представлял  собой EXE-файл Windows, который после  внедрения в систему уничтожал исходные тексты программ и файлы MS Office.

     Октябрь принес компьютерному сообществу еще  три неприятных сюрприза. Во-первых, был обнаружен вирус Infis, который  стал первым вирусом, внедряющийся на самый низкий уровень безопасности — область системных драйверов Windows. Эта особенность делала вирус труднодоступным, антивирусные программы того времени были неспособны удалить вирус из системной памяти. Во-вторых, в конце месяца антивирусные компании сообщили о первом компьютерном вирусе, заражавшем файлы MS Project. В-третьих, проявился скрипт-вирус Freelinks, привлекший внимание вирусописателей к языку программирования Visual Basic Script (VBS) и ставший одним из предшественников печально известного вируса LoveLetter.

     В ноябре — еще одна новинка. Появление нового поколения червей, распространявшихся по электронной почте — уже без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал KakWorm. Все вирусы этого типа использовали «дыру», обнаруженную в системе безопасности Internet Explorer.

     7 декабря стал примечательным  из-за обнаружения очередного  творения бразильского вирусописателя  по кличке Vecna — крайне сложного  и опасного вируса Babylonia, который также открыл новую страницу в области создания вирусов. Это был первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящимся в Японии, и загрузить оттуда список вирусных модулей. В случае если в этом списке находился более «свежий» модуль, нежели уже установленный на зараженном компьютере, то вирус автоматически его загружал. Позднее технология удаленного самообновления была применена в червях Sonic, Hybris и многих других.

     Ближе к Новому Году по интернету разошлись слухи, что компьютерный андеграунд в лице злых хакеров и вирусописателей всего мира приготовил мировому сообществу «сюрприз» в виде сотен тысяч исключительно опасных вирусов, способных нанести мировым сетям непоправимый ущерб. Антивирусные компании делятся на два лагеря. Один подтверждает возможность атаки, представители второго — успокаивает пользователей, утверждая, что вероятность такой атаки крайне мала. К счастью, интернет-катастрофа не состоялась. Этот Новый Год ничем не отличался от остальных.

     Очередные подвижки среди производителей антивирусных программ: софтверный гигант Computer Associates (CA) приобретает австралийского разработчика антивирусных программ Cybec (VET AntiVirus). Таким  образом, в «копилке» CA, вслед за поглощенным в конце 1996 г. Cheyenne Software, оказался еще один антивирусный проект. 

     2.11 2000 год

     В самом начале года жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы Windows 2000, как участники подпольной группы вирусописателей под названием 29A представили вирус Inta, который оказался первым вирусом, корректно заражающим эту систему. Чуть позже практически одновременно появились вирусы Unstable и Radiant, успешно размножавшиеся в файлах Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления Unstable и Radiant компания Visio Corporation, производящая пакет Visio, была куплена Microsoft.