Классические компьютерные вирусы

Вредоносные программы

Вредоносная программа – компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего нормальному функционированию компьютерной системы.

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации — угрозы нарушения целостности, конфиденциальности, доступности.

Типы вредоносных программ

Сетевые черви

К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

ü проникновения на удаленные компьютеры;

ü запуска своей копии на удаленном компьютере;

ü дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.

Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

Классические компьютерные вирусы

К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:

ü последующего запуска своего кода при каких-либо действиях пользователя;

ü дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

ü при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;

ü вирус скопировал себя на съёмный носитель или заразил файлы на нем;

ü пользователь отослал электронное письмо с зараженным вложением.

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

Троянские программы

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Хакерские утилиты и прочие вредоносные программы

К данной категории относятся:

ü утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);

ü программные библиотеки, разработанные для создания вредоносного ПО;

ü хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);

ü «злые шутки», затрудняющие работу с компьютером;

ü программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;

ü прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.

История вредоносного ПО

До 1980-х годов

1949 год. Американский ученый венгерского происхождения Джон фон Науманн (John von Naumann) разработал математическую теорию создания самовоспроизводящихся программ. Это была первая теория создания компьютерных вирусов, вызвавшая весьма ограниченный интерес у научного сообщества.

В начале 60-х инженеры из американской компании Bell Telephone Laboratories – В.А. Высотский, Г.Д. Макилрой и Роберт Моррис – создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины, так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

Конец 60-х – начало 70-х годов. Появление первых вирусов. В ряде случаев это были ошибки в программах, приводивших к тому, что программы копировали сами себя, засоряя жесткий диск компьютеров, что снижало их продуктивность, однако считается, что в большинстве случаев вирусы сознательно создавались для разрушения. Вероятно, первой жертвой настоящего вируса, написанного программистом для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер – на котором и был создан.

1974 год. Создана сеть Telenet - коммерческая версия ARPANET. На компьютерах этого времени появляется программа, получившая название "кролик" (Rabbit). Это имя она получила потому, что кроме размножения и распространения по носителям информации она ничего не делала. Программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине "кролик" нередко вызывал сбой в ее работе.

1975 год. Через Telenet распространяется первый в истории сетевой вирус The Creeper. Написанная для некогда популярной операционной системы Tenex, эта программа была в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: "I'M THE CREEPER: CATCH ME IF YOU CAN". Для противодействия вирусу впервые в истории написана особая антивирусная программа The Reeper.

1979 год. Инженеры из исследовательского центра компании Xerox создали первого компьютерного червя.

Гг.

1981 год. Вирус Elk Cloner поражает компьютеры Apple. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Elk Cloner переворачивал изображение на экране, заставлял мигать текст, выводил разнообразные сообщения

1983 год. Лен Эйделман впервые употребляет термин "вирус" в применении к саморазмножающимся компьютерным программам. 10 ноября 1983 г. Фред Коэн, родоначальник современной компьютерной вирусологии, на семинаре по компьютерной безопасности в Лехайском университете (США) демонстрирует на системе VAX 11/750 вирусоподобную программу, способную внедряться в другие объекты. Годом позже, на 7-й конференции по безопасности информации, он дает научное определение термину "компьютерный вирус", как программе, способной "заражать" другие программы при помощи их модификации с целью внедрения своих копий.

1986 год. Впервые создан вирус для IBM PC - The Brain. Два брата-программиста из Пакистана написали программу, которая должна была "наказать" местных "пиратов", ворующих программное обеспечение у их фирмы. В программке значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру. Успех вируса был обеспечен тем, что компьютерное сообщество было абсолютно не готово к подобному развитию событий. Интересно, что вирус Brain являлся также и первым вирусом-невидимкой. При обнаружении попытки чтения зараженного сектора диска вирус незаметно "подставлял" его незараженный оригинал. В том же году немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986 года, в Гамбурге, на форуме компьютерного "андеграунда" – Chaos Computer Club. В то время форум собирал хакеров, специализировавшихся на взломе VAX/VMS-систем.

1987 год. Появление вируса Vienna. Его происхождение и распространение практически по всему миру имело большой резонанс и вызвало горячие споры о настоящем авторе. В этом же году, один из претендентов на авторство – Ральф Бергер, написал первую книгу об искусстве создания и борьбы с вирусами. Книга называлась "Компьютерные вирусы. Болезнь высоких технологий" (Computer Viruses. The Decease of High Technologies) и стала "букварем" начинающих создателей вирусов. Кроме того, в 1987 году независимо друг от друга появляется еще несколько вирусов для IBM-совместимых компьютеров: знаменитый Лехайский вирус (Lehigh), названный в честь университета г. Бетлехэм, штат Пенсильвания, США; семейство вирусов Suriv; ряд загрузочных вирусов (Yale в США, Stoned в Новой Зеландии, Ping-pong в Италии) и первый в истории компьютеров самошифрующийся файловый вирус Cascade.

1988 год. Одно из наиболее знаменательных событий в области вирусов в 1988 года – глобальная эпидемия, вызванная вирусом Suriv-3, более известным как Jerusalem. Вирус был обнаружен одновременно в компьютерных сетях многих коммерческих фирм, государственных организаций и учебных заведений. По сути дела вирус обнаружился сам: в пятницу, 13-го, он уничтожал все запускаемые на зараженном компьютере файлы. В 1988 году этой черной датой стало 13 мая. Именно в этот день сообщения о тысячах инцидентах с участием Jerusalem поступили со всех концов планеты, в первую очередь из Америки, Европы и с Ближнего Востока. В этом же году, 23-летний американский программист создал червя, поразившего 6 тыс. компьютеров в сети ARPANET. И впервые суд приговорил автора этого вируса к штрафу в 10 тыс. долл. и 3 годам испытательного срока.

22 апреля 1988 года создан первый электронный форум по проблеме антивирусной безопасности. Ею стала конференция Virus-L в сети Usenet, которая была создана Кеном Ван Уайком (Ken van Wyk). Помимо этого, 1988 год ознаменовался появлением антивирусной программы – Dr. Solomon's Anti-Virus Toolkit. Программа была создана английским программистом Аланом Соломоном (Alan Solomon), завоевала огромную популярность и просуществовала до 1998 года, когда компания была поглощена другим производителем антивирусов – американской Network Associates (NAI).

1989 год. ARPANET официально переименован в Интернет. Появляются новые вирусы – Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства – Vacsina и Yankee. Вирус Datacrime имел крайне опасное проявление – с 13 октября по 31 декабря он инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска, что приводило к уничтожению таблицы размещения файлов (FAT) и безвозвратной потере данных.

4 октября 1989 года появился в продаже антивирус IBM Virscan для MS-DOS. 16 октября 1989 г. на компьютерах VAX/VMS в сети SPAN была зафиксирована эпидемия вируса-червя WANK Worm. Для распространения червь использовал протокол DECNet и менял системные сообщения на сообщение "WORMS AGAINST NUCLEAR KILLERS", сопровождаемое текстом "Your System Has Been Officially WANKed". WANK также менял системный пароль пользователя на набор случайных знаков и пересылал его на имя GEMPAK в сети SPAN.

В декабре этого же года появился первый «троянский конь» – AIDS, который делал недоступной всю информацию на жестком диске компьютера и высвечивал на экране лишь одну надпись: «Пришлите чек на 189 долл. на такой-то адрес». Автор программы был осужден за вымогательство.

Гг.

1990 год. Появились первые полиморфные вирусы – Chameleon (1260, V2P1, V2P2 и V2P6). В Болгарии появился так называемый "завод по производству вирусов". В течение этого года и ряда последующих лет было обнаружено огромное количество новых вирусов, которые имели именно болгарское происхождение. Это были целые семейства вирусов – Murphy, Nomenclatura, Beast (или 512, Number-of-Beast), новые модификации вируса Eddie и многие другие. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и сокрытия себя в системе. Там же, в Болгарии, появилась и первая BBS (VX BBS), ориентированная на обмен вирусами и информацией для вирусописателей. В этом же году были обнаружены и первые известные отечественные вирусы: "Peterburg", "Voronezh" и ростовский "LoveChild".

В июле 1990 г. произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller.

В декабре 1990 г. в Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR – European Institute for Computer Anti-virus Research). Примерно в это же время, компания Symantec представила свой антивирусный продукт – Norton AntiVirus.

1991 год. Вслед за болгарской VX BBS и неуловимым Dark Avenger по всему миру появляются другие станции, ориентированные на обмен вирусами, и новые вирусописатели. В Италии появляется Cracker Jack (Italian Virus Research Laboratory BBS), в Германии – Gonorrhoea, в Швеции – Demoralized Youth, в США – Hellpit, в Англии – Dead On Arrival и Semaj.

1992 год. Все большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы MS-DOS на компьютере IBM-PC. Количество вирусов растет в геометрической прогрессии. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. Появляется первый полиморфик-генератор MtE. Его главное предназначение – возможность интеграции в другие вирусы для обеспечения их полиморфизма. Появляются первые вирусы класса анти-антивирус, способные обходить защиту и оставался незаметными. В июле 1992 года появились первые конструкторы вирусов - VCL и PS-MPC, позволявшие создавать вирусы различных типов и модификаций. В конце этого же года появился первый вирус для Windows – Win.Vir_1_4 (10), заражающий исполняемые файлы операционной системы.

1993 год. Вирус Satan Bug поражает сотни компьютеров в Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора – им оказался 12-летний подросток. Зафиксировано появление «бомб замедленного действия» — вирусов, которые проникают в компьютеры и активизируются лишь при наступлении определенной даты. Корпорация Microsoft выпустила свой собственный антивирус – Microsoft AntiVirus (MSAV), который включался в стандартную поставку операционных систем MS-DOS и Windows. Первые тесты, проведенные независимыми испытательными лабораториями, показали высокую надежность продукта. Однако, впоследствии его качество стало постепенно ухудшаться, и через некоторое время Microsoft решила закрыть этот проект.

1994 год. Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярным, этот тип носителей оказался одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков.

В начале года в Великобритании появились два крайне сложных полиморфик-вируса – SMEG.Pathogen и SMEG.Queeg. Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации. В январе 94-го появился Shifter – первый вирус, заражающий объектные модули (OBJ-файлы). В апреле – SrcVir – семейство вирусов, заражающих исходные тексты программ (C и Pascal). В июне началась эпидемия полиморфного вируса OneHalf. В сентябре – эпидемия файлово-загрузочного вируса "3APA3A", использующего крайне необычный способ внедрения в MS-DOS. Примерно в это же время, состоялся международный дебют антивирусной программы AntiViral Toolkit Pro (AVP).

1995 год. Широкое распространение получили вирусы ByWay и DieHard2 - сообщения о зараженных компьютерах были получены практически со всего мира. В феврале корпорация Microsoft выпустила бета-версию новой системы Windows 95 на дискетах, зараженных вирусом "Form". В августе в "живом виде" обнаружен первый вирус для Microsoft Word ("Concept"). Буквально за месяц вирус "облетел" весь земной шар, заполонил компьютеры пользователей текстового процессора. В 1995 г. дважды отличился английский филиал издательского дома Ziff-Davis. В сентябре принадлежащий ему журнал PC Magazine (английская редакция) распространил среди своих подписчиков дискету, содержащую загрузочный вирус Sampo. В середине декабря другой журнал из семейства Ziff-Davis, Computer Life, разослал читателям дискету с рождественскими поздравлениями. Помимо поздравления, диск также содержал загрузочный вирус Parity_Boot.

1996 год. В январе появился первый вирус для операционной системы Windows 95 - Boza, и произошла эпидемия крайне сложного полиморфного вируса Zhengxi, написанного российским программистом из Санкт-Петербурга Денисом Петровым. В марте произошла первая эпидемия вируса для Windows 3.x. – Win.Tentacle. Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. В июне появился "OS2.AEP" - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом "компаньон".

В июле обнаружен "Laroux" – первый вирус для Microsoft Excel, к тому же пойманный в "живом виде" практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР. Как и у MS Word-вирусов, принцип действия "Laroux" основывается на наличии в файлах, так называемых макросов – программ на языке программирования Visual Basic. В конце лета вирусописатели под псевдонимами Nightmare Joker и Wild Worker практически одновременно выпускают конструкторы макровирусов для соответственно немецкой и английской версий MS Word – Word Macro Virus Construction Kit и Macro Virus Development Kit. В середине октября на сайте Microsoft, в одном из документов Word, посвященных технической поддержке программных продуктов Microsoft в Швейцарии, был обнаружен макровирус Wazzu. В декабре объявился первый резидентный вирус для Windows 95 – "Win95.Punch". Он загружался в систему как VxD-драйвер, перехватывал обращения к файлам и заражал их. В целом 1996 год можно считать началом широкомасштабного наступления компьютерного андеграунда на операционные системы Windows95 и Windows NT, а также на приложения Microsoft Office.

1997 год. В феврале появляется первый вирус для операционной системы Linux – "Linux.Bliss". Одновременно в выходом очередной версии пакета офисных приложений Microsoft Office 97 отмечается постепенное "переползание" макровирусов на эту платформу. Март 1997 года ознаменовался появлением макровируса "ShareFun" для MS Word 6/7, открывшего новую страницу в истории компьютерной индустрии. Он стал первым вирусом, использовавшим для своего распространения возможности современной электронной почты, в частности, почтовую программу MS Mail. В апреле обнаружен вирус "Homer" - первый сетевой вирус-червь, использующий для своего распространения протокол передачи данных File Transfer Protocol (FTP). В июне появился первый самошифрующийся вирус для Windows 95 – "Win95.Mad". Вирус, имеющий российское происхождение, был разослан на несколько станций BBS в Москве, что стало причиной довольно крупной эпидемии. В декабре появляется принципиально новый тип компьютерных червей, использующих каналы IRC (Internet Relay Chat). Также в 1997 году антивирусное подразделения фирмы КАМИ, возглавляемого Евгением Касперским, отделилось в независимую компанию "Лаборатория Касперского".

1998 год. В начале года зафиксирована эпидемия целого семейства вирусов Win32.HLLP.DeTroie, не только заражающих выполняемые файлы Windows, но и способных передавать своему "хозяину" информацию о зараженном компьютере. В феврале зафиксировано появление нового типа вируса для документов Excel – Excel4.Paix (или Formula.Paix). Данный тип макровируса для своего внедрения в таблицы Excel использовал не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. В этом же месяце, зарегистрированы Win95.HPS и Win95.Marburg – первые полиморфные Win32-вирусы.

В марте был обнаружен AccessiV – первый вирус для Microsoft Access. Примерно в то же время было зафиксировано появление Cross – первого многоплатформенного макровируса, заражающего документы одновременно двух приложений MS Office: Access и Word. Следом за ним появились еще несколько макровирусов, переносящих свой код из одного Office-приложения в другое. Наиболее заметным из них стал "Triplicate" (также известный под именем "Tristate"), способный заражать Word, Excel и PowerPoint.

В мае объявился вирус "RedTeam", который стал первым вирусом, заражающим EXE-файлы Windows, и распространяющимся по электронной почте при помощи программы Eudora. В июне началась эпидемия вируса Win95.CIH, ставшая сначала массовой, а затем глобальной. В зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы. Август ознаменовался появлением BackOrifice (Backdoor.BO) - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за BackOrifice появились несколько других аналогичных программ: NetBus, Phase и прочие. Также в августе появился первый вирус, заражающий выполняемые модули Java – Java.StangeBrew. В декабре жертвой компьютерных вирусов ("Attach", "ShapeShift" и "ShapeMaster") становится еще одно приложение из состава MS Office. Им стала программа для создания презентаций – PowerPoint.

1999 год. В январе разразилась глобальная эпидемия Интернет-червя Happy99 (также известного как Ska). Это был первый современный червь, использовавший для своего распространения программу MS Outlook. В марте вирус Melissa поразил десятки тысяч компьютеров. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Правоохранительные органы США исключительно быстро отреагировали на эпидемию "Melissa". Через некоторое время был обнаружен и арестован автор вируса, которым оказался 31-летний программист из Нью-Джерси (США), некий Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и штрафу в размере 400 000 долларов США.

В мае появился вирус "Gala" (также известный как GaLaDRieL), написанный на скрипт-языке Corel Script. "Gala" стал первым вирусом, способным заражать файлы как самого Corel DRAW, так и Corel PHOTO-PAINT и Corel VENTURA. В самом начале лета грянула эпидемия весьма опасного Интернет-червя "ZippedFiles" (также известного как ExploreZip). Он представлял собой EXE-файл, который после внедрения в систему уничтожал файлы некоторых популярных приложений.

В августе был обнаружен вирус-червь "Toadie" ("Termite"), который, помимо заражения файлов DOS и Windows, также прикреплял свои копии к письмам, отсылаемым по электронной почте при помощи программы Pegasus, и пытался распространяться по каналам IRC. В ноябре мир потрясло появление нового поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал "KakWorm". Все вирусы этого типа использовали "дыру", обнаруженную в системе безопасности Internet Explorer. В том же месяце в США и Европе было зарегистрировано много случаев заражения Windows-вирусом FunLove.

В декабре был обнаружен "Babylonia" – первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей.

Гг.

2000 год. В начале года жертвами компьютерных вирусов стали поочередно операционная система Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. В мае грянула попавшая в Книгу Рекордов Гиннеса эпидемия скрипт-вируса
I Love You, поразившего миллионы компьютеров в течение нескольких часов. Расследование показало, что вирус создал филиппинский студент, который не был осужден из-за отсутствия соответствующих нормативных норм в законодательстве Филиппин.

В июле же появились сразу три исключительно интересных вируса. "Star" стал первым вирусом для пакета AutoCAD. "Dilber" отличился тем, что содержал коды сразу пяти вирусов, среди которых "CIH", "SK", "Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище "Шаттл, полный вирусов". Третьим стал Интернет-червь "Jer", активизировавшийся при открытии соответствующей HTML-страницы.

В августе была обнаружена первая вредоносная программа класса "Троянский конь", под названием "Liberty", предназначавшаяся для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске "Liberty" стирала файлы, но не имела никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS – "Phage". Он представлял собой классический вирус-паразит, который вместо внедрения в заражаемые файлы стирал их и на их место записывал свой код. В начале сентября был обнаружен первый известный компьютерный вирус ("Stream"), способный манипулировать дополнительными потоками (ADS) файловой системы NTFS. В октябре появились первый вирус, срывающийся в информационных файлах PIF ("Fable") и первый вирус, написанный на скрипт-языке PHP ("Pirus"). В ноябре был обнаружен вирус "Hybris", автором которого стал известный бразильский вирусописатель по прозвищу Vecna. Он развил идею своего первого самообновляющегося вируса "Babylonia" и учел ранее допущенные ошибки. Главным нововведением было использование как Web-сайтов, так и электронных конференций для загрузки новых модулей вируса на зараженные компьютеры.

В том же году подписано первое международное соглашение о противодействии компьютерным вирусам.

2001 год. Основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, CodeRed, Nimda, Aliz, BadtransII и др.). Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam.

Традиционное доминирование традиционных файловых вирусов постепенно сходит на нет и основным способом размножения для вредоносных программ становится передача своего тела по локальным и глобальным сетям.

Также 2001 год ознаменовался появлением большого количества вредоносных программ, нацеленных на операционную систему Linux. Так сетевой червь Ramen, обнаруженный 19 января, за считанные дни поразил большое количество крупных корпоративных систем. В число жертв червя попали Национальная администрация по аэронавтике и космосу США (НАСА), Техасский университет A&M, Тайваньский производитель компьютерного оборудования Supermicro. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты.

Кроме того, в этом же году был обнаружен новый тип вредоносных кодов (CodeRed, BlueCode), способного активно распространяться и работать на зараженных компьютерах без использования файлов. Глобальная эпидемия сетевого червя CodeRed (по некоторым оценкам зараженными оказались более 300.000 компьютеров) подтвердила исключительную действенность технологии, используемой бестелесносными червями.

2002 год. Зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др.). В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию.NET.

В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Червь Slapper всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.

Несомненным лидером по количеству вызванных инцидентов в 2002 г. является Интернет-червь Klez. В течение 2002 года свирепствовали две из десяти существующих разновидностей этого червя - Klez.H (обнаружен 17.04.2002) и Klez.E (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez. Ближайшим конкурентом Klez оказался Интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года.

Среди замеченных в 2002 г. компьютерных вирусов, больше всего себя проявили макровирусы. Прежде всего, здесь стоит отметить Thus, TheSecond, Marker и Flop. Эти макро-вирусы для текстового редактора Microsoft Word показали удивительную живучесть. Эпидемии с их участием были зафиксированы еще в конце 90-х, но в 2002 году они пережили второе рождение. Среди Windows-вирусов больше всего заражений вызвали Elkern, CIH, FunLove и Spaces.

2003 год. Сетевой червь Lovesan, появившийся в августе 2003 года, использовал для своего распространения критическую уязвимость в операционной системе Windows. За считанные дни ему удалось заразить миллионы компьютеров по всему миру. Использованный им принцип размножения (через глобальную сеть Интернет, с непосредственной атакой заражаемого компьютера, игнорируя традиционные для того времени пути распространения – электронную почту, IRC, P2P-сети) был впервые реализован еще в 1988 году в первом в истории сетевом черве Моррисона, однако затем, на протяжении почти 15 лет, ничего подобного не случалось. Lovesan был не единственным подобным червем в 2003 году. Первым стал червь Slammer, за три дня в январе 2003 сумевший заразить около полумиллиона компьютеров. Он также использовал уязвимость в программном продукте компании Microsoft – MS SQL Server. Slammer поразил компьютеры Госдепартамента США, где повредил базу данных. Консульства США по всему миру вынуждены были на 9 часов прервать процесс выдачи виз.

Почтовый червь Sobig.f появился в самом конце августа 2003 года и буквально за пару дней вызвал крупнейшую в XXI веке эпидемию почтового червя. На пике его активности практически каждое десятое электронное письмо содержало в себе такого червя. Червь не использовал какие-либо уязвимости, имел довольно простенькие темы и тексты писем, но масштабы его проникновения на пользовательские компьютеры стали настолько велики, что обнаруженная в нем функция приема команд извне (бэкдор) заставила всех антивирусных экспертов с тяжелым сердцем ожидать 22 августа 2003 года – дня, когда вирус Sobig.f на всех зараженных им компьютерах должен был получить команду от своего «создателя». Однако команда не пришла, серверы, откуда она могла быть послана, были оперативно закрыты.

В сентябре объявился червь Swen, который использовал для размножения традиционные способы – электронную почту, IRC, P2P-каналы. Особенностью данного червя стал мощнейший метод социального инжиниринга: Swen выдавал себя за специальный патч от компании Microsoft, якобы устраняющий все известные уязвимости. Письмо, содержавшее легко узнаваемые элементы официального сайта Microsoft, ссылки на другие ресурсы данной компании и грамотно составленный текст, неотразимо действовало не только на неискушенных, но и на многих опытных пользователей, заставляя их запускать приложенный к письму файл.

Последним ярким представителем 2003 года стал почтовый червь Sober. Написанный как подражание Sobig, червь использовал множество различных текстов писем, причем на разных языках, выбираемых в зависимости от страны получателя письма, и выдавал себя за утилиту для удаления Sobig.

2004 год. В начале января тысячам пользователей ICQ было разослано сообщение с просьбой посетить некий сайт. На сайте была размещена троянская программа, которая, используя одну из множества уязвимостей Internet Explorer, скрытно устанавливала и запускала троянский прокси-сервер Mitglieder, открывавший на зараженной машине порты для рассылки спама.

Также в 2004 году произошли две эпидемии, которые смело можно назвать крупнейшими за всю историю сети Интернет – распространение почтового червя MyDoom.a (январь-февраль 2004 г.) и сетевого червя Sasser.a (май 2004 г.). Mydoom известен массированной 12-дневной DDoS-атакой на веб-сайт компании SCO, начавшейся 1 февраля 2004 года. За пару часов работа сервера была полностью парализована и вернуться в нормальный режим www.sco.com смог только 5 марта. Червь Sasser в мае 2004 года поразил более 8 млн. компьютеров, а убытки от него оцениваются в 979 млн. долларов США. Для проникновения Sasser использовал уязвимость в службе LSASS Microsoft Windows.

В июне объявился Cabir – первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian. При каждом включении зараженного телефона вирус получал управление и начинал сканировать список активных Bluetooth-соединений. Затем выбирал первое доступное соединение и пытался передать туда свой основной файл caribe.sis. Ничего деструктивного Cabir не делал – только снижал стабильность работы телефона за счет постоянных попыток сканирования активных Bluetooth-устройств.

Вскоре, в августе 2004 года появились и вирусы для PocketPC – классический вирус Duts и троянская программа Brador. Этот год также запомнился масштабными арестами вирусописателей – было осуждено около 100 хакеров, причем трое из них находились в двадцатке самых разыскиваемых ФБР преступников.

2005 год. В 2005 году наметился некоторый спад активности почтовых червей. По данным Лаборатории Касперского всего в 2005 году было 14 вирусных эпидемий, втрое меньше аналогичного показателя 2004 года (46 эпидемий). Крупнейших же эпидемий было зафиксировано всего четыре – модификации почтового червя Bagle с индексами.ах и.ау (январь), сетевой вирус-червь Mytob.c (март) и две модификации почтового червя Sober - Sober.p (май) и Sober.y (ноябрь). Самым массовым и распространенным из всех появившихся в 2005 году стало семейство червей Mytob. Это выразилось в более чем 120 обнаруженных разновидностях червей данного семейства. Вариации Mytob в течение всего года составляли более половины от общего числа вредоносных программ, выловленных в почтовом трафике.

2006 год. 2006 год продолжил основные тенденции в развитии вредоносных программ, выявленные в прошлые годы. Это преобладание троянских программ над червями и увеличение в новых образцах вредоносного кода доли программ, ориентированных на нанесение финансового ущерба пользователям. В 2006 году, по данным Лаборатории Касперского, среди всех новых семейств и вариантов вредоносных программ доля троянских программ превысила 90%. Заметными событиями года стали первые «настоящие» вирусы и черви для операционной системы MacOS, троянские программы для мобильной платформы J2ME и связанный с ними способ кражи денег у пользователя с мобильного счета. Рост числа всех новых вредоносных программ по сравнению с 2005 годом составил 41%. В 2006 году было зафиксировано 7 крупных вирусных эпидемий – вдвое меньше