Начало года: Эпидемия целого семейства вирусов «Win32.HLLP.DeTroie», не только заражающих выполняемые файлы Windows32, но и способные передать своему «хозяину» информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франко - говорящие страны.
Февраль 1998: обнаружен еще один тип вируса, заражающий таблицы Excel – «Excel4.Paix» (или «Formula.Paix»). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код.
Февраль-март 1998: «Win95.HPS» и «Win95.Marburg» - первые полиморфные Windows32-вирусы, обнаруженные к тому же "в живом виде". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.
Март 1998: “AccessiV” - первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами “Word.Concept» и «Excel.Laroux», он не стал, поскольку все уже привыкли к тому, что приложения MS Office падают одно за другим.
Март 1998: Макро-вирус «Cross» - первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-проложения в другое.
Май 1998: вирус «RedTeam». Заражает EXE-файлы Windows, рассылает зараженные файлы при помощи электронной почты Eudora.
Июнь: эпидемия вируса «Win95.CIH», ставшая сначала массовой, затем глобальной, а затем повальной - сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные Интернет - конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных Web-серверов - они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов «популярности» вирус «подвинул» таких вирусных суперзвезд, как «Word.CAP» и «Excel.Laroux». Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы.
Август 1998: появление нашумевшего «BackOrifice» («Backdoor.BO») - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за «BackOrifice» появились несколько других аналогичных программ: «NetBus», «Phase» и прочие.
Также в августе появился первый вирус, заражающий выполняемые модули Java – «Java.StangeBrew». Данный вирус не представлял какой - либо опасности для пользователей Интернет, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре Web-серверов.
Ноябрь 1998: «VBScript.Rabbit» – интернетэкспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса («HTML.Internal»). Становится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, Web-сервера и/или активно распространяющегося по электронной почте.
Произошли также заметные перестановки в антивирусном мире. В мае 1998 компании Symantec и IBM объявили об объединении своих усилий на антивирусном фронте: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus (IBMAV) прекращает свое существование. На это моментально отреагировали основные конкуренты: Dr.Solomon и NAI (ранее - McAfee) тут же выпустили пресс-релизы с предложениями о льготном опдейте бывших пользователей IBMAV своими собственными антивирусами.
Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon. Он был куплен компанией NAI (McAfee) за 640 миллионов долларов путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.
4.8 Вирусописание как психологический феномен
Говорят, что компьютерные вирусы – это первый удачный эксперимент по созданию искусственной жизни с неудачным выбором формы ее жизнедеятельности.
Специфика этой формы жизни состоит в том, что вирусы выступают в роли арены борьбы одной части человечества с другой (программистов – вирусописателей и создателей антивирусов), причем именно эта борьба приводит к эволюции данной формы жизни. Аналогом с обычными формами вирусов и бактерий предостаточно. Ученые придумывают противоядия для борьбы с тем или иным штаммом, а микроорганизмы, в свою очередь, приспосабливаются, эволюционируют, становясь в определенном смысле более совершенными. Примерно то же происходит и с компьютерными вредоносными программами.
Вероятно, многие задумывались над вопросом, какие же качества человеческой психики приводят к такому парадоксальному феномену, как вирусописание? С точки зрения формальной логики это явление объяснить довольно сложно. Вирусописатели не получают за свой труд денег, преследуются по закон, сами страдают от вирусных атак и тем не менее продолжают свою деятельность. Более того, на «содержании» вирусописателей находятся десятки компаний, которые успешно продают антивирусные программы, имеют и признание и деньги. И тем не менее в стан программистов, занятых созданием антивирусов, не перебегают все те, кто профессионально занимается созданием вирусов, а ведь они подчас обладают очень высокой квалификацией.
Весьма точное объяснение данного парадокса заключается в гениальном высказывании, которое принадлежит перу Ларошфуко: « самая чистая форма радости – это злорадство». Действительно, какая «прибыль» от того, что у соседа «повис» компьютер? Никакой. А если это произошло с тысячей компьютеров?
Желание разрушить великое творение рук человеческих и тем самым как бы возвыситься над его создателем известно со времен Герострата. Видимо, перспектива вывода из строя такого чуда разума, как компьютерная система, и дает современным геростратам надежду на то, что они войдут в историю.Выбор не случаен.
Вирусописателей можно разделить на три категории: первые пишут вирусы и пытаются их внедрить в компьютерные системы собственными силами.
Вторая категория – это те, кто создает конструкторы для написания вирусов. Сами по себе авторы подобных разработок не запускают вредоносных программ, однако рассчитывают на то, что сделают это чужими руками.
Третья категория – исследователи – вообще не стремятся к распространению вирусов, ими движут чисто научные вопросы, например «какие существуют принципиально новые методы внедрения вирусов в новые операционные системы» и т.п. Но, как говориться, то, что придумано светлыми головами, нередко попадает в нечистые руки.
Интересно отметить, что причины многих вирусных эпидемий кроются не только в действиях вирусописателей, но и в психологии вирусополучателей. Известно, что почтовые вирусы должны заставить получателя открыть приложение от неизвестного посланника, что в принципе не так просто сделать, особенно сейчас, когда всем отлично известно, насколько это опасно. И здесь авторы вирусов (тонкие психологи) используют слабые места человеческой натуры. Так, любопытство переопределило успех вируса, в котором все искали фото Курниковой, чувство одиночества и дефицит любви проложили путь вирусу «I love you», жадность заставляет читать незнакомые письма, если там написано, что вы должны оплатить счет за сервис, которым вы никогда не пользовались, и т.д.
Воистину, человек интересное создание, мотивация его поступков нетривиальна. Остается только удивляться его способности разрушать природу, которая обеспечивает его жизнь, и желанию разрушать компьютерные системы, от которых зависит его безопасность.
Однако на проблему можно посмотреть и с другой стороны. Результатом борьбы с вирусами является эволюция не только вирусов, но и систем безопасности. Вирусы находятся находят все новые и новые «дыры» в этих системах и тем самым становятся стимулом для их совершенствования.
5 АНТИВИРУСЫ
Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы. Антивирусы появились более десяти лет назад, в первое время они распространялись как бесплатное противоядие. Не было должной поддержки сервиса, поскольку проекты были не коммерческие. Как индустрия служба создания и предоставления антивирусных программ оформилась примерно в 1992 году.
Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делит на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры, мониторы.
5.1 Детекторы
Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых – сигнатур – устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.
5.2 Фаги
Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» («пожирания») вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.