Історія комп'ютерних вірусів :: Журнал СА 11.2006

Ілля Александров

Історія комп'ютерних вірусів

До них уже звикли. Їх не бояться шкільні вчителі інформатики, про них не пишуть на перших шпальтах газет. Але вони продовжують виконувати свою руйнівну роль в житті користувачів комп'ютерів.

Передвісники електронних епідемій

Сказати, де і коли з'явився перший вірус, неможливо, оскільки таких даних в природі не існує. Якщо на «комп'ютері» Чарльза Беббіджа, «батька» першої обчислювальної машини, вірусів ще не було, до середини сімдесятих років минулого століття вони стали вельми поширеним і неприємним для більшості явищем. Проте, передумови до їх створення з'явилися практично відразу ж зі створенням перших ЕОМ.

Природно, всі перераховані вище праці та досліди були спрямовані не для того, щоб нинішні вирусописатели щодня викидали в Інтернет мегабайти нової «зарази». Спочатку ці дослідження, що належали до області створення штучного інтелекту, представляли собою академічний інтерес. Однак будь-яке відкриття, зроблене в мирних цілях, може бути без особливих труднощів перетворено в наймогутніша зброя руйнування.

У 1961 році серед комп'ютерників була дуже популярна гра «Darwin». Її сюжет і сенс були прості: гравець керував «расою», яка повинна була знищити своїх конкурентів. Вигравав той, хто захопить всю віддану під ігровий процес оперативну пам'ять. Особливих дій в грі не було потрібно: необхідно було лише розмножити належать до своєї раси на вільні комірки ОЗУ або ж захопити осередку противника. Подібний алгоритм дуже схожий на логіку роботи деструктивних програм.

Широке поширення комп'ютерних мереж стало каталізатором появи на світ перших деструктивних програм - комп'ютерних вірусів.

70-і роки: початок

Поява першого в світі комп'ютерного вірусу було зафіксовано на початку 70-х років минулого століття, коли на просторах військової комп'ютерної мережі APRAnet - прародительки сучасного Інтернету - була знайдена програма Creeper. Вірус був написаний для поширеною в ті часи операційної системи Tenex, в яку він проникав, поширюючись через модемний зв'язок. На екран заражених комп'ютерів періодично виводилася напис: «I'M THE CREEPER: CATCH ME IF YOU CAN». Деструктивних дій Creeper не скоював, обмежуючись лише цим повідомленням, дратує користувачів. Трохи пізніше для нього було написано «протиотруту» - програма Reaper, яка знаходила файл з вірусом і видаляти його. Поширювалася вона, до речі, аналогічним з Creeper способом. Можна сказати, що перший в світі антивірус був створений «за аналогією з шкідливою програмою».

У 1974 році «частим гостем» на різних серверах була програма з милим для тваринників назвою Rabbit. «Кролик» нічого, окрім розповсюдження і розмноження самого себе, не робив. Програма самовідтворюватися з величезною швидкістю, поступово займаючи все системні ресурси. Іноді Rabbit навіть викликав збій в роботі серверів.

Інший приклад - логічна гра Pervading Animal для операційної системи Exec 8, сенс якої полягав у відгадуванні користувачем задуманого програмою тварини. Якщо йому це не вдавалося, гра пропонувала модернізувати її, після чого з'являлася можливість задавати додаткові навідні запитання.

Модифікована версія програми дивним чином починала копіюватися в інші директорії, в результаті чого через деякий час у всіх папках жорсткого диска містилася копія Pervading Animal. Так як в той час кожен кілобайт простору був «на вагу золота», подібна поведінка гри мало кого втішило. До сих пір не ясно, чи була це помилка програмістів або ж задумка авторів вірусів. Втім, проблема була швидко вирішена - нова версія операційної системи Exec 8 базувалася на іншому типі файлової системи, на якій програма засмічувати файловий простір більше не могла.

80-е: перші епідемії

До восьмидесятих років минулого століття комп'ютер перестав бути розкішшю, доступною лише обраним. Власників ПК стає все більше, крім того, обмін інформацією між користувачами за допомогою електронних дошок оголошень (BBS - Buletin Board System) досяг міжнародного масштабу.

У 1981 році відбулася перша по-справжньому масова вірусна епідемія. Постраждали широко поширені в той час комп'ютери Apple II. Вірус Elk Clone записувався в завантажувальні сектори дискет в момент звернення до них користувача. Elk Clone спотворював зображення на моніторі, виводив на екран різні текстові повідомлення, змушував блимати текст. Недосвідчені користувачі впадали від дій вірусу в заціпеніння, в той час як він сам продовжував «переміщатися» з одного комп'ютера на інший.

У 1983 році американський програміст Льон Ейделман вперше вжив термін «вірус», яким він позначив саморозмножуються програми.

Через рік Фред Коен, один з найавторитетніших вірусологів, дав чітке визначення поняттю «комп'ютерний вірус»: «програма, здатна« заражати »інші програми за допомогою їх модифікації з метою впровадження своїх копій».

У 1986 році 19-річний пакистанець Басить Фарук Алві написав вірус Brain. Також як і Elk Clone, Brain вражав завантажувальні сектора дискет. Програма не була орієнтована на будь-які руйнівні функції, вона лише змінювала мітку всіх дискет на «(С) Brain». Як стверджує автор, він переслідував тільки одну мету - з'ясувати рівень комп'ютерного піратства у себе в країні. Але вже через кілька тижнів після активації вірусу зараженими виявилися тисячі комп'ютерів по всьому світу, що викликало справжній переполох серед користувачів і бурю обговорень в засобах масової інформації. У Brain був вперше використаний прийом, коли при читанні зараженого сектора диска вірус підставляв замість цього розділу незаражений.

У 1988 році була створена перша шкідлива програма, яка не просто заражала комп'ютер, але і наносила йому реальну шкоду. Цей вірус був створений в Лехайскогоуніверситету, в якому, до речі, працював раніше згадуваний Фред Коен. Вірус Lehigh знищував інформацію на дисках, вражаючи системні файли COMMAND.COM. Наявність кваліфікованих фахівців в університеті виявилося порятунком - за стіни навчального закладу він так і не пробрався. Втім, чималу роль в усуненні загрози епідемії зіграв і алгоритм самого Lehigh - під час форматування вінчестерів він самознищується разом з іншою інформацією.

В цей же час почало активно розвиватися програмне забезпечення, що захищало комп'ютери від вірусів. Антивірусні програми того часу являли собою простенькі сканери, які за допомогою контекстного пошуку намагалися виявити вірусний код в програмах. Іншим поширеним «ліками» від шкідливих програм того часу були «іммунізатори». Цей тип ПО модифікував всі програми таким чином, щоб віруси вважали їх уже зараженими і не виконували по відношенню до них ніяких дій. Після того як кількість вірусів зросла в тисячі разів, використання іммунізаторов було вже непотрібним.

Антивірусні фірми найчастіше складалися з двох-трьох чоловік і свої продукти продавали за символічну суму або роздавали безкоштовно. Але поширеність захисних програм була дуже низька, та й безперервне поява нових вірусів робило їх безсилими. Інтернет в той час ще не встиг «вирватися» з «обіймів» вчених і військових, а оновлюватися без наявності глобальної мережі було практично неможливо.

В середині 80-х років з'явився термін «Virus Hoax» - «вірусна містифікація». В кінці вісімдесятих користувачі панічно боялися вірусів: міфи про програми, які виводять з ладу апаратну частину ПК, розбурхували розум кожного власника комп'ютера. Virus Hoax були нічим іншим, як неправдивими чутками про нові комп'ютерні епідеміях. Пригадується історія, коли один жартівник розіслав на різні BBS повідомлення про появу нового вірусу, який поширювався через модеми, що працювали зі швидкістю передачі інформації 2400 біт в секунду. Щоб не заразитися вірусом, автор рекомендував перейти на модеми зі швидкістю 1200 біт / с. І що ви думаєте? Маса користувачів викинула швидші модеми заради своєї «безпеки».

У 1988 відбулася перша епідемія, викликана мережним комп'ютерним вірусом. Згодом такі віруси стали іменуватися «хробаками». Створена таким собі Робертом Морісом програма вражала комп'ютери, які працювали під ОС UNIX. У плани творця не входило нанесення шкоди системі, хробак повинен був лише проникнути в мережу ARPAnet і залишатися там непоміченим. Вірус мав можливістю розкриття паролів в ОС, і в списку виконувалися процесів дітище Морріса відображалося у вигляді звичайного користувача процесу. Черв'як стрімко саморозмножуватися і пожирав всі вільні ресурси комп'ютера, внаслідок чого з ладу виходили цілі сервери. Деякі з них змогли повернутися до роботи лише через п'ять діб, оскільки вакцини проти хробака не існувало. За час свого «ходіння по світу» вірус вразив близько 6000 комп'ютерних систем, торкнувшись навіть комп'ютери дослідного центру NASA. Роберт Морріс відбувся 400 годинами громадських робіт, але увійшов в історію як автор першого руйнівного мережного хробака.

90-е: поліморфні віруси

На початку 90-х років минулого століття англійська компанія Sophos, в якій працювали Ян Храске, Ед Уайлдінг і Пітер Леймер, приступила до випуску журналу «Virus Bulletin». Virus Bulletin розповідав про комп'ютерні віруси, а також про всі аспекти захисту від них. Авторами журналу були програмісти, керівники антивірусних компаній, розробники ПЗ. Журнал був некомерційним: за всю його історію в ньому не було надруковано жодного рекламного оголошення. Через це Virus Bulletin не отримав широку поширеність. Його читачами були в основному професіонали в сфері IT (інформаційних технологій), а також співробітники комп'ютерних фірм.

У 1990 році з'явився новий тип шкідливих програм - поліморфні віруси. «Поліморфізм» була названа технологія, при якій вірус не можна було виявити сканером, які шукали віруси за допомогою фрагментів уже відомого шкідливого коду. Поліморфізм дозволяє програмам генерувати код під час виконання, в результаті чого копія вірусу на кожному новому зараженому комп'ютері буде відрізнятися від попередньої. Першим подібним вірусом став Chameleon, написаний Марком Вашбёрном. Після появи поліморфних програм невід'ємною частиною антивіруса став емулятор для дешифрування кодів, вперше використаний Євгеном Касперського.

В цьому ж році в Болгарії, яка тоді була центром світового вірусописання, з'явилася спеціалізована BBS, з якої кожен бажаючий міг скачати шкідливі програми. Конференції, присвячені програмування вірусів, з'явилися і в UseNet.

В цей же час була опублікована книга «Маленька Чорна Книжка про комп'ютерні віруси» Марка Людвіга. Вона стала «Біблією» всіх творців вірусів. Була сформована так звана «VX-сцена» - спільнота програмістів, що спеціалізуються на створенні комп'ютерних вірусів.

Конструктори шкідливих програм

У 1992 році хакер, відомий під ніком Dark Avenger, випустив у світ утиліту MtE (Mutation Engine). З її допомогою будь-який, навіть найпримітивніший вірус можна було зробити поліморфним. Цим же людиною був вперше створений вірус Peach, наділений здатністю обходити антивірусне ПЗ. Peach видаляв базу змін програми Central Point AntiVirus. Ця програма, не знаходить свою базу даних, вважала, що запущена вперше, і створювала її знову. Таким чином, вірус обходив захист і продовжував заражати систему.

Група програмістів, відома в мережі, як Nowhere Man, випустила конструктор вірусів VCL (Virus Creation Laboratory). Відтепер будь-який школяр, навіть не володіє мовами програмування, міг озброїтися конструктором і зібрати вірус будь-якого типу і руйнівної сили. З появою VCL і так чималий «потік» нових комп'ютерних шкідників став просто величезним. Чи варто дивуватися, що через кілька днів після виходу в світ ОС Windows 3.11 з'явилася і перша деструктивна програма під цю платформу? Win.Vir_1_4 вражав виконувані файли операційної системи, приводячи деякі з них в непридатність.

Перший заарештований вирусописатели

Протягом 1993-94 років світ побачили нові конструктори вірусів: PS-MPC і G2. Згенеровані ними шкідливі програми стали найпоширенішою небезпекою в Інтернеті.

В цей же час відбувся справжній «бум» серед виробників антивірусів - їх програми, нарешті, стали обов'язковою складовою до практично будь-який ОС. На ринок безпеки вирішила проникнути навіть Microsoft, що випустила Microsoft AntiVirus (MSAV). Спочатку програма була популярна, але згодом найбільший виробник програмного забезпечення в світі припинив розробку продукту.

Лідерство в цій області поступово завоювала компанія Symantec, частиною якої стали найбільші виробники антивірусного програмного забезпечення: Central Point і Fifth Generation Systems.

Епідемія нового поліморфного вірусу, Pathogen, вже не була подією незвичайним, до подібного роду подій всі вже почали звикати. Однак це був перший вірус, автор якого був знайдений і засуджений. Безробітний Крістофер Пайл за створення шкідливих програм був засуджений до 18 місяців тюремного ув'язнення.

Атака на Microsoft

У 1995 році всі розіслані бета-тестерів диски з операційною системою Windows 95 були заражені завантажувальним вірусом Form. На щастя, один з них виявив недобре, і на прилавки магазинів надійшла нормальна, незаражених система.

У серпні того ж року з'явився перший макровірус, написаний на мові WordBasic, вбудованому в текстовий редактор MS Word. Макровірусів Concept були заражені сотні тисяч комп'ютерів по всій земній кулі, внаслідок чого він ще довго лідирував в статистичних дослідженнях комп'ютерних журналів.

У 1996 році першу епідемію пережили користувачі Windows 95 - їх комп'ютери були вражені завантажувальним вірусом Boza. У липні того ж року творці макровірусів переключилися з Word на редактор електронних таблиць MS Excel, випустивши для нього вірус Laroux.

Чи не змусили себе чекати і резидентні віруси, що використовують сервіси «нульового кільця» ОС. Win95.Punch завантажувався в систему як VxD-драйвер, перехоплював звернення до файлів і заражав їх.

антивірусні склоки

До 1997 року операційна система Linux, що раніше вважалася оплотом «чистоти і стабільності», більше не була платформою, вільної від вірусів. Linux.Bliss, що поширювався за допомогою конференцій UseNet, заражав виконувані файли цієї ОС.

У цьому ж році була відзначена поява двох нових типів черв'яків, що розповсюджувалися через IRC і FTP. Особливо великою їх кількістю міг «похвалитися» IRC, багато в чому через свою популярності, а також численних «дірок» mIRC - основного клієнта подібних мереж.

Під кінець ХХ століття в гонитві за лідерством стали нерідкі скандали серед виробників антивірусів. Так, представники компанії McAfee оголосили про те, що її програмісти виявили помилку в антивірусі фірми Dr.Solomon's. Суть заяви зводилася до того, що Dr.Solomon's міг знаходити нові і технічно досконалі віруси тільки в спеціальному «посиленому» режимі, в який переключався лише після знаходження звичайних, примітивних черв'яків. В результаті антивірус показував хороші швидкісні результати при скануванні незаражених дисків, і відмінні показники виявлення при роботі з зараженими файлами. У відповідь Dr.Solomon`s подала позов до суду на McAfee, причиною якого стала її «некоректно побудована рекламна компанія». У підсумку вся «заварушка» завершилася покупкою McAfee контрольного пакета акцій Dr.Solomon`s.

Через деякий час публічну заяву зробили тайванські розробники з фірми Trend Micro, які звинуватили McAfee і Symantec в нібито «порушення їхніх патенту на сканування даних». Миру були відразу представлені докази про «безгрішності» компаній, однак Trend Micro домоглася свого, отримавши відмінну безкоштовну рекламу в засобах масової інформації.

Найбільш руйнівні віруси

Продовжувати детальну історію комп'ютерних вірусів аж до наших днів не має сенсу, оскільки щорічно з'являються сотні і тисячі нових шкідливих програм. Я обмежуся лише короткою розповіддю про найвідоміших віруси, що з'явилися після 1997 року:

CIH (1998) - збиток, нанесений вірусом, склав около 80 миллионов долларов. Вірус був написаний програмістом з Тайваню, і став одним з найбільш руйнівних в історії. «Чих» заражав виконувані файли і активувався щороку 26 квітня - в день річниці аварії на Чорнобильській АЕС. CIH перезаписував FlashBIOS, після чого материнські плати ставали непридатними до використання. Перший і останній вірус, який завдавав шкоди апаратної частини ПК.

Melissa (1999) - 26 березень 1999 року цей макровірус, що поширювався по електронній пошті, заразив близько 20% офісних комп'ютерів по всьому світу. Найбільші корпорації, такі як Intel, були змушені припинити роботу всередині своїх локальних мереж. Збиток - від 300 до 500 мільйонів доларів.

ILOVEYOU (2000) - скрипт, написаний на макромові Visual Basic. Так само як і Melissa, поширювався по електронній пошті з поміткою "I love you». Вірус розсилав свої копії за всіма даними адресної книги поштового клієнта. Всі логіни і паролі, знайдені хробаком на комп'ютері, відсилалися автору програми. Останній, до речі, і не намагався ховатися: він є жителем Філіппін, де покарань за комп'ютерні злочини не передбачено.

Code Red (2001) - мережевий черв'як, який використовує помилку в мережевому сервісі Microsoft IIS. У заданий день заражені комп'ютери повинні були почати DDOS-атаку за списком різних серверів, серед яких були системиуряду США. Величезні масштаби епідемії і як підсумок - збитки в 2,5 мільярда (!) Доларів.

Blaster (2003) - мережевий черв'як, що виводив на заражених комп'ютерах повідомлення про необхідність перезавантаження. Через пару днів після його випуску в Інтернет (11 серпня) були заражені мільйони комп'ютерів по всьому світу.

Sobig.F (2003) - мережевий черв'як, що поширювався по електронній пошті. Розмножується з величезною швидкістю вірус скачував на заражений комп'ютер додаткові файли, «спалюючи» трафік і ресурси системи. Цікава особливість - 10 вересень вірус припиняв свою діяльність, більше не уявляючи загрози для користувача. Автор Sobig.F, за інформацію про який Microsoft пропонувала 250 тис. Доларів, не знайдений досі.

Bagle (2004) - мережевий черв'як, що поширювався по класичному способу, використовуючи файлові вкладення в електронних листах. На зараженому комп'ютері встановлювалася спеціальна «лазівка», через яку зловмисник отримував повний доступ до системи. Вірус має понад сто модифікацій.

MyDoom (2004) - в січні 2004 року цей вірус блискавично поширився по всьому Інтернету, в результаті чого середня швидкість завантаження сайтів в глобальній мережі зменшилася на 50%. Хробакові належить рекорд за швидкістю поширення: менш ніж за добу було заражено близько двох мільйонів комп'ютерів. Точну цифру через масштаби епідемії привести неможливо. Вірус був створений невідомим програмістом в якості експерименту, і самостійно припинив свою діяльність 12 лютого того ж року.

Sasser (2004) - вірус викликав «перерву» в роботі французьких супутникових каналів передачі даних, скасував рейси деяких авіакомпаній, не кажучи вже про звичайних комп'ютерах, чия робота була повністю припинена. Поширювався Sasser завдяки помилці в системі безпеки Windows 2000 і XP, запускаючи на зараженому комп'ютері сканер портів. Вірус був написаний 17-річним німецьким школярем. Цікавим є той факт, що хлопець запустив вірус в мережу в День свого повноліття.

Кінця і краю немає

Історія комп'ютерних вірусів до кінця не дописана, продовжуючись і сьогодні. Можливо, в той час як ви читаєте ці рядки, який-небудь провінційний програміст пише новий вірус, ще більш хитромудрий і руйнівний, ніж всі перераховані вище.

Ну а нам залишається лише сподіватися на милість компаній-виробників антивірусів і стежити за захищеністю своїх систем.

додаток

Віруси для мобільних пристроїв

У 2000 році був вперше знайдений вірус для платформи PalmOS. Програма Phage.936 переходила між КПК під час передачі через ІК-порт. При зараженні кишенькового комп'ютера могли бути видалені деякі файли, а додатки часто мимовільно закриваються. З тих пір з'явилося кілька десятків вірусів для різних платформ КПК, хоча вони не такі різноманітні і «гнучкі», як їх «побратими» для персональних комп'ютерів.

На сьогоднішній день не викликають подиву шкідливі програми для смартфонів. Першим вірусом для ОС Symbian, став вірус Cabir. Він не робив ніяких деструктивних дій і був створений лише для демонстрації потенційної схильності мобільних пристроїв до вірусних атак і епідемій. Черв'як поширювався через Bluetooth-з'єднання. Скільки ще залишилося чекати до появи по-справжньому руйнівних вірусів для мобільних пристроїв, покаже час.

1. http://www.viruslist.com/ru - вірусна енциклопедія, опис всіх вірусів. Новини та аналітичні огляди.
2. http://vx.netlux.org - журнали, статті про віруси. Тексти програм і керівництва.

редактор рубрики

Дмитро Мороз