 |
Хронология развития вредоносных программ
|
|
|
|
Термин «компьютерный вирус» появился в середине 80-х годов, на одной из конференций по безопасности информации, проходившей в США. С тех пор прошло немало времени, острота проблемы вирусов многократно возросла. Согласно современной классификации, в настоящее время используется более широкое понятие - «вредоносные программы», включающее компьютерные вирусы, сетевые черви, троянские программы и иной инструментарий, созданный для автоматизации деятельности злоумышленников.
Трудность, возникающая при попытках сформулировать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и др.) либо присущи другим программам, которые никакого отношения не имеют к вирусам, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением возможности распространения).
Приведем одно из общепринятых определений вируса, содержащееся в ГОСТе Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
«Программный вирус» – это исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить или уничтожить программное обеспечение и/или данные, хранящиеся в автоматизированных системах.
Невозможность четкой формулировки определения компьютерного вируса сама по себе не является проблемой. Главная проблема, которая следует из этого, заключается в том, что нет четких (однозначных) признаков, по которым можно отличить различные файлы от «вирусов», что не позволяет в полной мере устранить их влияние.
|
|
|
Несмотря на все усилия разработчиков антивирусного программного обеспечения до сегодняшнего дня нет достаточно надежных антивирусных средств и, скорее всего, противостояние «вирусописателей» и их оппонентов будет постоянным.
Исходя из этого, необходимо понимать, что нет достаточных программных и аппаратных средств защиты от вирусов, а надежная защита от вирусов может быть обеспечена комплексным применением этих средств и, что немаловажно, соблюдением элементарной «компьютерной гигиены».
Появление первых компьютерных вирусов, способных дописывать себя к файлам, связывают с инцидентом, который произошел в первой половине 70-х годов на системе Univax 1108. Вирус, получивший название «Pervading Animal», дописывал себя к выполняемым файлам – делал, практически то же самое, что тысячи современных компьютерных вирусов.
Можно отметить, что в те времена значимые события, связанные с компьютерными вирусами, происходили один раз в несколько лет. С началом 80-х компьютеры становятся все более и более популярными. Появляется все больше и больше программ, начинают развиваться глобальные сети. Результатом этого является появление большого числа разнообразных «троянских коней» – программ, которые при их запуске наносят системе какой-либо вред. В 1986 г. произошла первая эпидемия IBM-PC вируса «Brain». Вирус, заражающий 360Kб дискеты, практически мгновенно разошелся по всему миру. Причиной такого «успеха» являлась, скорее всего, неготовность компьютерного общества к встрече с таким явлением, как компьютерный вирус.
В 1987 г. произошло событие, которое популяризировало «компьютерные вирусы». Код вируса «Vienna» впервые публикуется в книге Ральфа Бюргера «Computer Viruses: A High Tech Desease». Сразу же в 1987 г. появляются несколько вирусов для IBM-PC.
В пятницу 13-го мая 1988-го года сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом «Jerusalem» – в этот день вирус уничтожал файлы при их запуске. Вместе с несколькими другими вирусами, вирус «Jerusalem» распространился по тысячам компьютеров, оставаясь незамеченным – антивирусные программы еще не были распространены в то время так же широко как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов. Не прошло и полгода, как в ноябре повальная эпидемия сетевого вируса Морриса (другое название – Internet Worm) заразила более 6000 компьютерных систем в США и практически парализовала их работу. По причине ошибки в коде вируса он неограниченно рассылал свои копии по другим компьютерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.
|
|
|
В 1992 году появились первые конструкторы вирусов VCL и PS-MPC, которые увеличили и без того немалый поток новых вирусов. В конце этого года первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу компьютерных вирусов.
В дальнейшем развитие компьютерных вирусов напоминает сводку с полей сражений. Создатели вирусов становятся все более изощренными, количество антивирусных программ растет, но ни одна из них не защищает в полной мере. В компьютерном обществе появляется синдром «компьютерного вируса».
К борьбе с вирусами подключаются правоохранительные органы: летом 1994 года автор вируса SMEG был арестован. Примерно в то же самое время в той же Великобритании арестована целая группа вирусописателей, называвшая себя ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще один автор вирусов был арестован в Норвегии.
Август 1995 г. один из поворотных моментов в истории вирусов и антивирусов: обнаружен первый вирус для Microsoft Word («Concept»). Так начиналось время макровирусов.
В 1998 году появились первые полиморфные Windows32-вирусы - «Win95. HPS» и «Win95. Marburg». Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.
Наиболее заметной в 1998 г. была эпидемия вируса «Win95. CIH», ставшая сначала массовой, затем глобальной, а затем повальной – сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии было зарегистрировано на Тайване, где неизвестный злоумышленник заслал зараженные файлы в местные интернет-конференции.
|
|
|
С середины 90-х годов основным источником вирусов становится глобальная сеть Интернет.
С 1999 года макровирусы начинают постепенно терять свое господство. Это связано со многими факторами. Во-первых, пользователи осознали опасность, таящуюся в простых doc- и xls-файлах. Люди стали более внимательными, научились пользоваться стандартными механизмами защиты от макровирусов, встроенными в MS Office.
В 2000 году происходят очень важные изменения на мировой «вирусной арене». На свет появляется новый тип вредноносных программ – сетевые черви. В это же время появляется супервирус – «Чернобыль». «Чернобыль» - исполняемый вирус под Windows, имеющий следующие особенности. Во-первых, зараженный файл не меняет своего размера по сравнению с первоначальным вариантом. Такой эффект достигается благодаря структуре исполняемых файлов Windows: каждый exe-файл разбит на секции, выровненные по строго определенным границам. В результате между секциями почти всегда образуется небольшой зазор. Хотя такая структура приводит к увеличению места, занимаемого файлом на диске, она же позволяет существенно повысить скорость работы операционной системы с таким файлом. «Чернобыль» либо записывает свое тело в один такой зазор, либо дробит свой код на кусочки и копирует каждый из них в пустое место между границами. В результате антивирусу сложнее определить, заражен файл или нет, и еще сложнее вылечить инфицированный объект. Во-вторых, «Чернобыль» стал первопроходцем среди программ, умеющих портить аппаратные средства. Некоторые микросхемы позволяют перезаписывать данные, хранящиеся в их мини ПЗУ. Этим и занимается этот вирус.
2000 год еще можно назвать годом «Любовных Писем». Вирус «LoveLetter», обнаруженный 5 мая, мгновенно разлетелся по всему миру, поразив десятки миллионов компьютеров практически во всех уголках планеты. Причины этой глобальной эпидемии кроются в чрезвычайно высокой скорости распространения. Вирус рассылал свои копии немедленно после заражения системы по всем адресам электронной почты, найденным в адресной книге почтовой программы Microsoft Outlook. Подобно обнаруженному весной 1999 года вирусу Melissa, LoveLetter это делал, якобы, от имени владельца зараженного компьютера, о чем тот, естественно, даже не догадывался. Немаловажную роль при распространении вируса сыграл и психологический аспект: мало кто сможет удержаться, чтобы не прочитать любовное письмо от своего знакомого. Именно на это была сделана основная ставка в процессе разработки вируса. О масштабах заражения вирусами в начале 21 века свидетельствует тот факт, что только в мае атаке вируса LoveLetter подверглись более 40 миллионов компьютеров. Уже за первые 5 дней эпидемии вирус нанес мировой экономике убытки в размере 6,7 миллиардов долларов.
|
|
|
С 2000 года сетевые черви начинают полностью преобладать на вирусной арене мира. Сегодня, по данным Лаборатории Касперского, на их долю приходится 89,1 % всех заражений. В структуре распространенности сетевых червей традиционно преобладают почтовые, использующие e-mail в качестве основного транспорта для доставки на целевые компьютеры.
В 2001 году был обнаружен новый тип вредоносных программ, способных активно распространяться и работать на зараженных компьютерах без использования файлов – «бесфайловые черви». В процессе работы такие вирусы существуют исключительно в системной памяти, а при передаче на другие компьютеры – в виде специальных пакетов данных.
Такой поворот событий поставил сложные задачи перед разработчиками антивирусных пакетов. Традиционные технологии (антивирусный сканер и монитор) проявили неспособность эффективно противостоять новой угрозе, поскольку их алгоритм борьбы с вредоносными программами основан именно на перехвате файловых операций. Решением проблемы стал специальный антивирусный фильтр, который в фоновом режиме проверяет все поступающие на компьютер пакеты данных и удаляет «бесфайловых» червей. Глобальная эпидемия сетевого червя CodeRed, начавшаяся 20 июля 2001 года, подтвердила действенность технологии «бесфайловых» червей. Но еще серьезнее оказалась эпидемия вируса Helkern’ 25 января 2003 года.
В 2004 году и в последующих 2005 и 2006 годах «громких» инцидентов практически не происходило, но зато двукратно возросло число разнообразных троянских программ, которые распространялись самыми разными способами: через интернет-пейджеры, веб-сайты, при помощи сетевых червей или традиционной электронной почты. При этом возросла «популярность» именно сетевых непочтовых червей, которые проникают на компьютеры, используя различные дыры в программном обеспечении, например, черви Mytob и Zotob (Bozori), авторы которых были арестованы в августе 2005.
|
|
|
Продолжали появляться новые вирусы и троянские программы для мобильных платформ, особенно часто — для операционной системы Symbian. Помимо ставшего уже обычным метода заражения через Bluetooth-соединения, они использовали и принципиально новые методы. 10 января: Lasco — первый пример вируса, не только рассылавшего себя на другие телефоны, но и заражавшего исполняемые файлы Symbian. 4 марта 2005 года: Comwar — рассылает себя в MMS-сообщениях по контактам из адресной книги (аналогично первым компьютерным почтовым червям). 13 сентября 2005 года: Cardtrap — троянская программа, пытавшаяся установить другие вредоносные файлы для Windows, т.е. попытка использовать кросс-платформенное заражение.
В 2005 году происходят изменения и в антивирусной индустрии. Корпорация Microsoft активно готовится к выходу на антивирусный рынок и покупает сразу две антивирусные компании. 8 февраля 2005 объявляется о покупке компании Sybari, специализирующейся на технологиях для защиты электронной почты для Microsoft Exchange, а 20 июля объявлено о покупке FrontBridge Technologies, разрабатывавшей технологии фильтрации сетевого трафика. Также в 2005 разворачивается скандал с очередной уязвимостью в приложениях Windows. На этот раз «дыра» была обнаружена в обработчике графического формата Windows Meta Files (WMF). Ситуация осложнилась тем, что информация о данной уязвимости была опубликована до выхода соответствующего обновления Windows — пользователи оказались беззащитными перед сотнями троянских программ, которые тут же начали использовать эту «дыру» для проникновения в компьютеры.
Год 2006 характерен выходом корпорации Microsoft на антивирусный рынок. В ноябре 2006 появляется очередная версия ОС Microsoft Vista, которая позиционируется как система повышенной безопасности, но и в данном случае решить проблему защиты от вредоносных программ удалось лишь частично.
В заключение нашего небольшого исторического обзора несколько слов о том, что мы имеем сегодня и какие прогнозы на будущее в области борьбы с вредоносным программным обеспечением.
Безусловно, первое, о чем невозможно не упомянуть, это продолжающееся с января 2009 года распространение сетевого червя Net-Worm.Win32.Kido. Червь, использующий несколько способов проникновения на компьютер жертвы, - подбор паролей к сетевым ресурсам, распространение через флеш-накопителии, использование уязвимости Windows MS08-067 – по оценкам экспертов, смог заразить до пяти миллионов компьютеров по всему миру. Причем каждый зараженный компьютер становится послушным слугой-зомби, готовым выполнять любые команды создателей червя. Kido противодействует обновлению программ защиты и отключает службы безопасности, блокирует доступ к сайтам антивирусных компаний и т.д. Помимо обновления самого Kido, на зараженные компьютеры происходит загрузка двух других программ. Первая из них – почтовый червь семейства Email-Worm.Win32.Iksmas. Вторая программа – лжеантивирус семейства FraudTool.Win32.SpywareProtect2009, требующий деньги за удаление якобы найденных программ.
Другой интересный представитель современного вредоносного ПО – червь Email-worm.Win32.Iksmas с функционалом кражи данных и рассылки спама. Создатели червя активно используют методы социальной инженерии. В рассылаемых червем письмах, чтобы спровоцировать жертву перейти по ссылке в письме и, в конечном итоге запустить вредоносный файл, эксплуатируется какая-либо горячая информационная тема.
Нельзя обойти вниманием новую версию вируса Virut. Интересной особенностью
Virus.Win32.Virut.ce является его мишень - веб-серверы. Заслуживает упоминания и используемый механизм заражения: вирус не только инфицирует исполняемые файлы с расширениями.EXE и.SCR, но и дописывает специализированный код в конце файлов веб-докумен-
тов заражаемого сервера с расширениями HTM, PHP,ASP в виде ссылки. В результате при посещении зараженного легального ресурса на компьютеры ничего не подозревающих пользователей, по добавленной вирусом ссылке, загружается любой вредоносный контент, который подготовил злоумышленник.
К сожалению, следует отметить, что этот экскурс может быть продолжен, так как год за годом мы становимся свидетелями увеличения не только количества вредоносных программ, но и разнообразия их применения.
|
|
|
