Компьютерному вирусу исполняется 25 лет. В 1983 году калифорнийский студент Фред Коэн на занятиях по компьютерной безопасности занимался написанием программы, которая способна к саморазмножению и паразитическому распространению по сетям. Особой опасности программа Коэна не представляла, поскольку эксперимент был контролируемым и не имел далеко идущих целей.
11 ноября он представил результаты своей работы - "демонстрационный вирус для VAX 11/750 под управлением Unix" - своему преподавателю, известному компьютерному "гуру" Леонарду Эдлману. Эдлман известен, в частности, как один из изобретателей самой распространенной на данный момент криптосистемы с открытым ключом с алгоритмом RSA, использующейся, в частности, для шифрования цифровых подписей.
Именно этот день принято считать днем рождения новой формы информационного терроризма, пишет британская газета The Times. Однако на самом деле компьютерные вирусы старше: автором идеи был из основателей теории вычислительной техники американский ученый венгерского происхождения Джон фон Нейманн.
В 1949 году он написал статью "Теория и организации сложных автоматов", в которой впервые рассматривалась возможность создания компьютерной программы, способной к размножению. А в 1970-х увидел свет роман писателя-фантаста Тома Браннера "На гребне ударной волны", где упоминались боевые роботы, зараженные вредительскими программами.
Первый сетевой вирус Creeper появился, возможно, в начале 1970-х годов в компьютерной сети Пентагона Arpanet3), прототипе интернета. Программа была в состоянии самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине.
Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По сути это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по вычислительной сети и в случае обнаружения тела вируса Creeper уничтожал его. Но слово "вирус" тогда, напомним, в отношении компьютерных программ еще не использовалось.
А Фреда Коэна правильнее считать автором термина "компьютерный вирус", хотя, по некоторым источником, слово вирус первым употребил его учитель, Леонард Эдлман.
Эксперт научного отдела британской телерадиокорпорации ВВС Марк Уорд объяснял в одной из научно-популярных программ, что то определение, которое Коэн дал программе-вирусу еще в 1983 году, не устарело и по-прежнему имеет значение для современных борцов с этой компьютерной заразой.
"Созданная им программа-прототип под выразительным акронимом VD применяла ту же тактику распространения, что и все нынешние вирусы. Она создавала свои копии и скрытно находила выходы для них в компьютерную сеть. На самом деле тогда еще не существовало интернета в его нынешнем виде, поэтому нынешние вирусы используют иной код, но сам принцип был заложен именно тогда", - напоминает Марк Уорд.
Тот же Фред Коэн в 1987 году доказал, что невозможно создать алгоритм для 100-процентного обнаружения и идентификации всех возможных компьютерных вирусов. Сегодня он считается одним из наиболее авторитетных специалистов в области компьютерной безопасности, однако, заключает автор публикации в The Times, ни ему, ни другим "виртуальным полицейским" никогда не удастся избавить человечество от этой напасти. А пользователям остается почаще обновлять антивирусное программное обеспечение и надеяться на лучшее.
Новая и новейшая история вирусов
Придуманный Фредом Коэном термин изначально не нес негативной нагрузки. Однако с появлением первых вредоносных программ сформировалось общественное мнение, что вирус - значит плохо. Это практически поставило крест на исследованиях, посвященных разработке таких вирусов, которые вместо вреда приносили бы некоторую пользу - в этом случае получив некоторую выгоду, пользователь предоставлял бы возможность программе свободно развиваться и эволюционировать.
Подтверждением этому может служить статистика, приводимая на сайте проекта Интернет-университет информационных технологий: в среднем каждое тридцатое электронное письмо заражено почтовым червем, более 70% всей корреспонденции - нежелательна. С ростом Сети увеличивается количество потенциальных жертв вирусописателей, выход новых систем и платформ влечет за собой расширение спектра возможных путей проникновения в систему и вариантов возможной вредоносной нагрузки для вирусов.
Принципы самовоспроизведения компьютерных программ, описанные Коэном, вплоть до конца 1980-х годов считались мало кому интересной теорией. И только с распространением интернета опасность вирусов была осознана сначала специалистами, затем пользователями, а уж потом журналистами и широкой публикой.
Сомнительная честь выпустить джина из бутылки принадлежит двум братьям-программистам Баситу Фаруку и Амжаду Алви из Пакистана, которые держали компьютерный магазин, где торговали написанными ими программами.
Они столкнулись с тем, что их программы незаконно копировались и распространялись. И тогда в 1986 году они написали первый код, небольшую программку под названием BRAIN, которую они незаметно вставляли в свои произведения, и которая активизировалась при попытке копирования. Именно она стала реальным прообразом всего семейства вирусов, которые причиняют столько неприятностей сейчас.
Brain стал первым вирусом для IBM-совместимых компьютеров, вызвавшим глобальную эпидемию, хотя ничего деструктивного их вирус не делал. Он заражал загрузочные сектора, менял метку диска на "(c) Brain" и оставлял сообщение с именами, адресом и телефоном авторов.
Отличительной чертой его была функция подмены в момент обращения к нему зараженного сектора незараженным оригиналом. Это дает право назвать Brain первым известным стелс-вирусом (от англ. stealth - "невидимый"). В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов.
В этом же году немецкий программист Ральф Бюргер открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. По результатами своих исследований Бюргер выпустил книгу "Computer Viruses. The Disease of High Technologies", послужившую толчком к написанию тысяч компьютерных вирусов, частично или полностью использовавших описанные автором идеи.
Lehigh (1987 год) - первый по-настоящему вредоносный вирус, вызвавший эпидемию в Лехайском университете (США), где в то время работал Фред Коэн. Он заражал только системные файлы COMMAND.COM и был запрограммирован на удаление всей информации на текущем диске. В течение нескольких дней было уничтожено содержимое сотен дискет из библиотеки университета и личных дискет студентов. Всего за время эпидемии было заражено около четырех тысяч компьютеров. Однако за пределы университета Lehigh не вышел.
Семейство резидентных файловых вирусов Suriv (1987 год) - творение неизвестного программиста из Израиля. Самая известная модификация, Jerusalem, стала причиной глобальной вирусной эпидемии, первой настоящей пандемией, вызванной MS-DOS-вирусом.
В том же 1988 году программист Питер Нортон, в будущем автор знаменитых антивирусных программ высказался резко против существования вирусов. Он официально объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Это показывает сколь низка была культура антивирусной безопасности в то время.
Mike RoChenle - псевдоним автора первой известной вирусной мистификации. В октябре 1988 года он разослал на станции BBS большое количество сообщений о вирусе, который передается от модема к модему со скоростью 2400 бит/с. В качестве панацеи предлагалось перейти на использование модемов со скоростью 1200 бит/с. Как это ни смешно, многие пользователи действительно последовали этому совету.
Червь Морриса (ноябрь 1988) - 60000-байтная программа, написанная 23-летним студентом Корнельского университета (США) Робертом Моррисом, использовала ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun Microsystems. Червь заразил по разным оценкам от 6000 до 9000 компьютеров в США (включая исследовательский центр NASA) и практически парализовал их работу на срок до пяти суток. Общие убытки были оценены в минимум 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов. Ущерб был бы гораздо больше, если бы червь изначально создавался с разрушительными целями.
4 мая 1990 года впервые в истории состоялся суд над автором компьютерного вируса, который приговорил Роберта Морриса к 3 годам условно, 400 часам общественных работ и штрафу в 10 тысяч долларов США.
Эпидемия червя Морриса стала причиной создания организации CERT (Computer Emergency Response Team), в функции которой входит оказание содействия пользователям в предотвращении и расследовании компьютерных инцидентов, имеющих отношение к информационным ресурсам.
Dr. Solomon's Anti-Virus Toolkit (1988) - первая широко известная антивирусная программа. Созданная английским программистом Аланом Соломоном (Alan Solomon), она завоевала огромную популярность и просуществовала до 1998 года.
Datacrime (1989) - вирус, который несмотря на сравнительно небольшое распространение, вызвал повальную истерию в мировых средствах массовой информации. Он отличался тем, что с 13 октября по 31 декабря инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска, что приводило к уничтожению таблицы размещения файлов (FAT) и безвозвратной потере данных.
В ответ корпорация IBM выпустила (4 октября 1989 года) коммерческий антивирус Virscan для MS-DOS, позволяющий искать характерные для ряда известных вирусов строки в файловой системе. Стоимость программы составила всего 35 долларов США.
Aids Information Diskette (декабрь 1989) - первая эпидемия троянской программы. Ее автор разослал около 20000 дискет с вирусом по адресам в Европе, Африке и Австралии, похищенным из баз данных Организации всемирного здравоохранения и журнала PC Business World. После запуска вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы.
Cascade (1989) - резидентный зашифрованный вирус, вызывающий характерный видеоэффект - осыпание букв на экране. Примечателен тем, что послужил толчком для профессиональной переориентации Евгения Касперского на создание программ-антивирусов, будучи обнаруженным на его рабочем компьютере. Уже через месяц второй инцидент (вирус Vacsina) был закрыт при помощи первой версии антивируса - V, который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro.
Eddie (также известен как Dark Avenger, 1989 год) - первый вирус, противодействующий антивирусному программному обеспечению: он заражает новые файлы, пока антивирус проверяет жесткий диск компьютера. Это достигалось применением особой технологии, позволяющей заражать не только COM/EXE- программы в момент их запуска, но и любые файлы при попытке прочтения.
Ramen (январь 2001) - вирус, за считанные дни поразивший большое количество крупных корпоративных систем на базе операционной системы Linux.
Sadmind (май 2001) - первый известный интернет-червь, заражающий компьютеры Sun Sparc с операционной системой Solaris/SunOS.
CodeRed (12 июля 2001 года) - представитель нового типа вредоносных кодов, способных активно распространяться и работать на зараженных компьютерах без использования файлов. В процессе работы такие программы существуют исключительно в системной памяти, а при передаче на другие компьютеры - в виде специальных пакетов данных.
CodeRed вызвал эпидемию, заразив около 12000 (по другим данным - до 200000) серверов по всему миру и провел крупномасштабную DDoS1) атаку на веб-сервер Белого дома, вызвав нарушение его нормальной работы.
Через неделю, 19 июля появилась новая модификация CodeRed, показавшая чудеса распространения - более 350000 машин за 14 часов (до 2000 компьютеров в минуту). Однако по замыслу автора 20 июля вирус прекратил свое распространение.
Следующая версия, CodeRed.c (CodeRed II) была обнаружена 4 августа 2001 года. После заражения (использовалась все та же брешь в системе безопасности IIS) вирус ничем не выдавал свое присутствие один-два дня, после чего перезагружал компьютер и начинал активные попытки распространения, продолжавшиеся 24 часа (или 48, в случае использования китайской раскладки).
Nimda (18 сентября 2001 года) - вирус-червь, в течение 12 часов поразивший до 450000 компьютеров. Для распространения были задействованы пять методов. После заражения Nimda добавлял в группу Администраторы пользователя под именем Guest и открывал локальные диски на полный доступ для всех желающих.
Klez (октябрь 2001) - почтовый червь, модификации которого на протяжении следующих нескольких лет занимали первые строки в рейтингах популярности. Программа проникала на компьютер по сети или через электронную почту, используя брешь в защите IFrame браузера Internet Explorer, которая допускала автоматический запуск вложенного файла. Также вирус имел встроенную функцию поиска и подавления антивирусного программного обеспечения.
В январе 2003 года грянула эпидемия интернет-червя Slammer, заражающего сервера под управлением Microsoft SQL Server 2000. Вирус использовал брешь в системе безопасности SQL Server, заплата к которой вышла в июле 2002 года.
В августе 2003 года около 8 миллионов компьютеров во всем мире оказались заражены интернет-червем Lovesan/Blaster. Для размножения использовалась очередная брешь - на этот раз в службе DCOM RPC Microsoft Windows. Кроме того, вирус включал в себя функцию DDoS-атаки на сервер с обновлениями для Windows.
Swen (также известный как Gibe, сентябрь 2003) - яркий пример удачного использования методов социальной инженерии. Этот вирус-червь распространялся по электронной почте в виде письма якобы от Microsoft Corporation Security Center и с темой "Internet Security Update".
Следующий год принес популярность новой технологии распространения вредоносных программ - путем рассылки, по электронной почте или с помощью интернет-пейджера, сообщения со ссылкой, ведущей на сайт с "трояном".
В этом же 2004 году разразилась настоящая война вирусописателей. Несколько преступных группировок, известных по вирусам Bagle, Mydoom и Netsky выпускали новые модификации своих программ буквально каждый час. Каждая новая программа несла в себе очередное послание к противостоящей группировке, изобилующее нецензурными выражениями, а Netsky даже удалял любые обнаруженные экземпляры вирусов Mydoom и Bagle.
Почтовый червь Bagle впервые был обнаружен 18 января 2004 года. Для распространения он использовал собственный SMTP-клиент, код вируса пересылался во вложении с произвольным именем и расширением .exe. Рассылка производилась на адреса, найденные на зараженном компьютере.
Первая модификация почтового червя NetSky (также известен как Moodown) была обнаружена 16 февраля. Кроме электронной почты, для распространения были задействованы P2P и локальные сети. Вторая модификация NetSky отличилась тем, что в силу человеческого фактора ею были заражены тысячи писем, отправленных известным финским производителем антивирусного ПО - компанией F-Secure своим клиентам.
Sasser (май 2004) - поразил более 8 млн. компьютеров, убытки от этого червя оцениваются в 979 млн. долларов США.
Cabir (июнь 2004) - первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian.
Вскоре (август 2004) появились и вирусы для PocketPC - классический вирус Duts и троянская программа Brador.
Однако вредоносные программы - это не только вирусы и трояны. К этому классу в полной мере можно отнести и adware - программы, которые отображают на экране рекламу без ведома и согласия пользователя, и pornware - программы, самостоятельно инициирующие соединения с платными порнографическими сайтами. Начиная с 2004 отмечается широкое распространение использования вирусных технологий для установки adware/pornware на целевые компьютеры.
2005 год был ознаменован появлением вируса CommWarrior, который работал сразу на несколько фронтов: рассылал MMS по всем номерам адресной книги без ведома незадачливого пользователя, обескровливая его счет, а также оседал в оперативной памяти и блокировал интернет-сервисы мобильного телефона.
В 2007 году в Валенсии 115 000 пользователей мобильных телефонов и смартфонов стали жертвами его испанской модификации. Не обошлось и без иронии: появившийся в ноябре 2004 года вирус-шутка Skuller заменял все иконки на дисплее мобильного телефона на изображение смеющегося черепа. Мобильному вирусу Fontal "по зубам" подменять шрифты и несанкционированно вставлять куски текста при наборе сообщений.
После 2005 года наступило "вирусное затишье": большая масса появлявшихся мобильных вирусов была модификациями первоначальных.