История компьютерных вирусов
Хотя компьютерные вирусы являются одной из разновидностей компьютерного вандализма, получившей распространение в конце 80-х годов, исторически их возникновение связано с идеей создания самовоспроизводящихся программ – концепции, уходящей своими корнями в пятидесятые годы двадцатого века. Идея самовоспроизводящихся механизмов исследовалась еще Джоном Фон Нейманом, который в 1951 году предложил метод создания таких механизмов.
1959 г. Американский журнал «Scientific American» опубликовал статью Л.С. Пенроуза (L.S.Penrose) о самовоспроизводящихся механических структурах, в которую была включена и двумерная модель подобных структур, способных к активации, захвату и освобождению. Под влиянием этой статьи F.G.Stahl запрограммировал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При N передвижениях без пищи существо умирало от голода, а после съедания определенного количества слов порождало новое. При размножении была предусмотрена возможность мутаций, в ходе которых существа могли приобретать способность пожирать себе подобных и терять возможность к размножению.
1962 г. сотрудник фирмы Веll Теlерhonelaboratories (США) В.А. Высотский (V.А. Vyssotsky) разработал достаточно необычную игру, названную им «Дарвин», в которой несколько ассемблерных программ, названных «организмами», загружались в память компьютера. Организмы, созданные одним игроком (т.е. принадлежащие к одному «виду»), должны были «убивать» представителей другого вида и занимать «жизненное пространство». Победителем считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков.
Статья с описанием игры была опубликована только в 1972 году, причем в ее тексте использовался термин «вирус» применительно к одному из видов виртуальных организмов.
Другим ранним примером вирусоподобных программ того времени была игра «Аnimal» (Животное). суть этой игры состояла в том, что человек задумывал некоторое животное, и программа, задавая вопросы, пыталась определить, какое животное загадал человек. Программист, написавший игру, предусмотрел в ней возможность саморазвития и саморазмножения. Когда программа угадывала неправильно, она просила пользователя предложить вопрос, который позволил бы улучшить ее способности к отгадыванию данного животного. Запомнив этот вопрос, программа не только модифицировала себя, но и пыталась переписать свою обновленную (улучшенную) копию в другой каталог. Если там уже была программа Animal, то она стиралась. В противном случае создавалась новая копия.
Оказалось, что через некоторое время все каталоги Файловой системы содержали копию Animal. Более того, если пользователь переходил с машины на машину, то он переносил и свой каталог, и в результате во всех каталогах этой ЭВМ также появлялась Animal. при этом совокупность копий Animal занимала значительное Файловое пространство, что в те времена воспринималось как проблема. Для решения проблемы была создана новая, более «инфицирующая» копия Animal. которая копировала себя не один раз, а дважды, тем самым быстро вытесняя собой старую версию. По истечении заданного срока она предлагала пользователю сыграть последний раз, а затем сама стирала себя с диска.
1963 г. Руководитель компьютерной лаборатории Агентства Передовых Исследовательских Проектов (Advanced Research Projects Agency – ARPA) Джон Ликлидер (J. С. R. Licklider) предложил первую детально разработанную концепцию компьютерной сети.
1969 г. ARPA создало компьютерную сеть ARPANET. К ней подключаются компьютеры ведущих, в том числе и военных, лабораторий и исследовательских центров США.
1975 г. Вышел бестселлер Джона Бруннера (John Brunner) «TheShockwareRider». В нем Бруннер описал «червей» – программы, распространяющиеся по сети - идею, которая произвела определенное впечатление, хотя ее осуществление находилось за пределами возможностей компьютеров того времени.
1982 г. Не без влияния книги Бруннера в исследовательском центре XEROX была создана программа – червь. Идея, которой руководствовались авторы программы, состояла в том, что программа, требующая значительных вычислительных мощностей, захватывала все простаивающие, но подключенные к сети ЭВМ, с тем чтобы, например, ночью использовать максимум подключенных вычислительных мощностей, а утром, когда пользователи начинали выполнять свои вычисления, освобождать их, сохраняя промежуточные результаты вычислений. Днем программа «замирала», минимизируя занимаемые ресурсы машин, а ночью опять захватывала бы все свободные вычислительные мощности.
При проведении эксперимента по запуску червя в сеть, наблюдалось его неконтролируемое распространение и зависание части зараженных червем машин. Поскольку эксперимент проводился на локальной сети Ethernet, и часть комнат с включенными машинами следующим утром оказались закрытыми, копии червя в этих машинах заражали другие машины. К счастью, авторы предусмотрели такую возможность, и послали по сети команду самоуничтожения всем копиям червя.
1983г. Ученый Фред Кохен (Fred Cohen) из Университета Северной Каролины официально вводит в употребление термин «компьютерный вирус».
1984 г. оказался «переломным» по отношению к данной тематике и в течение года произошло несколько событий «исторического значения» с точки зрения компьютерных вирусов.
В мае 1984 года в журнале «Scientific American» А.К.Дьюдни (A.K.Dewdney) – автором колонки «Занимательный компьютер» (Computer Recreations) была опубликована игра «Core Ware» (Война в памяти). В ней два игрока пишут по одной программе каждый, на языке низкого уровня REDCODE. Программы помещаются в большой участок памяти. Каждая команда занимает одну ячейку памяти. Управляющая программа поочередно исполняет одну команду каждой программы, подобно простой системе реального времени. Программы атакуют друг друга и в то же время пытаются избежать повреждений, перемещаясь по памяти, и восстанавливать поврежденные области Простейшая атака состоит в использовании команды MOV (записать в мять) Например:MOV#0,1000 может «убить наповал» вражескую программу, если попадет в следующую исполняемую команду (т.е. если следующая выполняемая команда «врага» расположена по адресу 1000, или «ранить», если это данные или исполняемые команды, или наконец, «попасть мимо», если ячейка 1000 противной стороной не используется.
Игра вызвала значительный читательский интерес, и два итальянских программиста Р. Черути и М. Морокути, основываясь на идеях игры, попытались создать программу, обладающую свойством саморазмножения в реальных условиях - на персональной ЭВМ популярной в то время марки Аррlе- первой массовой персональной ЭВМ получившей распространение в мире. Указанные персональные компьютеры имели дисководы на гибких дисках и итальянцам удалось нащупать основную идею Boot-вируса - перехват прерывания на чтение, и заражение каждой вставляемой в ЭВМ дискеты. Они также сообразили, что будучи реализованной, программа вызвала бы миниэпидемию в масштабах их родного города Брешиа. Более того, поняв, что указанная программа является компьютерным вирусом, они по аналогии с естественными вирусами пришли к идее о том, что компьютерный вирус может наносить вред. Для этой цели они предложили встроить счетчик в BOOT-сектор и через каждые 16 размножений (это, по сути, первое упоминание идеи счетчика в воот- секторе – идеи, которая будет открываться и переоткрываться многими разработчиками вирусов для IВМ РС) запускать переформатирование дискеты. Однако они вовремя ужаснулись возможным последствиям и отказались от реализации практически полностью специфицированной программы. Тем не менее, они имели неосторожность изложить свои идеи достаточно подробно в письме в журнал «Scientific American», а А.К. Дьюдни в обзоре писем читателей по поводу Core Ware, опубликованном в апреле 1985 г., практически полностью опубликовал их письмо, что несколько ускорило последующие события, хотя сам их ход был уже предопределен. Поскольку журнал «Scientific American» относится к наиболее читаемым научно-полярным журналам как в США, так и в остальном мире, письмо Р. Черути и М. Морокути было замечено, и попытки повторения не заставили себя долгот ждать. В частности, вирус реализованный по опубликованному описанию Р. Скрентом - младшим из Питсбурга (США), быстро распространился по дискетам его знакомых и преподавателей. Для борьбы с ним был написан антивирус, однако он оказался не в состоянии предотвратить дальнейшее распространения вируса.
В сентябре 1984 года была опубликована статья Ф. Коэна (Fred Cohen), в которой автор исследовал разновидность файлового вируса. Это фактически было первым академическим исследованием проблемы вирусов, результаты которого были опубликованы. Позднее, в 1986 г. Ф.Коэн защитил диссертацию под названием «Компьютерные вирусы». В настоящее время Ф.Коэн является одним из ведущих исследователей в этой области, опубликовавшим десятки работ по данной тематике. Отметим, что в Европе первые публикации, посвященные вирусам, появились, по некоторым данным, в том же 1986 г.
В литературе того времени постепенно начинает создаваться целое направление «околовирусного» толка котором концепция вирусов рассматривается с различных точек зрения.
1985г. В. Гибсон (William.Gibson) опубликовал научно - фантастический роман «Neuromancer» - второй после Бруннера бестселлер, в котором фигурируют компьютерные вирусы. В этом романе впервые вводится понятие «киберпространство» (cyber-space).
1986г. Французский «шпионский» детектив «Softwar: LaGuerreDouce» Терри Брентона (Therry Brenton) и Дениса Бенеша (Denis Beneich). Сюжет основан на продаже СССР американского суперкомпьютера для метеорологической сети. Вместо блокирования сделки американская администрация, демонстрируя напускное нежелание, санкционирует доставку суперкомпьютера в СССР. В то же время в системное программное обеспечение компьютера заносится «логическая бомба». При определенных условиях она «взрывается» и уничтожает все программное обеспечение в советской сети.
В дальнейшем, поток научно - фантастической литературы, посвященной вирусам начал нарастать и, безусловно, сыграл определенную роль в популяризации идеи и привлечении к ней внимания студенческой молодежи. Из последних романов этого направления следует отметить второй роман В. Гибсона «Mona Lisa Overdrive», вышедший В 1988 году. Этот роман, так же, можно рассматривать как катализатор реальных событий.
1987г. Программист Ральф Бергер (Ralph Burger) написал книгу об искусстве создания вирусов и борьбы с ними — «Компьютерные вирусы. Болезнь высоких технологий» (Computer Viruses. The Decease of High Technologies).
1985 г. Второй этап в развитии вирусов связан с появлением персональных компьютеров IВМ РС (в 1985 г. явились модели по цене менее 1000 долларов) – самого массового компьютера в истории развития вычислительной техники. В отличие от первого этапа, на котором разработки носили исследовательский характер, и авторы выполняли эксперименты, заручившись согласием пользователей, атмосфера второго этапа носит мрачный характер противостояния пользователей группе безответственных или уголовных элементов.
1987г. – отмечены первые случаи массового заражения компьютеров. Так, Лехайский вирус, появившийся в 1987 г. в одноименном университете США, в течение нескольких дней уничтожил содержимое нескольких сот дискет как из публичной библиотеки университета, так и личных дискет студентов. 30 декабря 1987 г. был обнаружен вирус в Иерусалимском Университете (Израиль). Хотя существенного вреда этот вирус не принес, он быстро распространился по всему миру и, по-видимому, является первым вирусом, распространение которого приобрело характер пандемии.
В 1988 г. в США и странах Западной Европы эта проблема приобрела характер приоритетной. Особое внимание общественности привлек так называемый «вирус Морриса».
Вирус Морриса
2 ноября 1988 года Роберт Моррис – Младший, аспирант Факультета информатики Корнельского Университета инфицировал с помощью написанного им вируса большое количество компьютеров. Вирус изначально разрабатывался как безвредный и имел лишь целью скрытно проникнуть в вычислительные системы, связанные сетью ARPANET (ARPANET в 1989 году официально переименован в Интернет), и остаться там необнаруженным. Вирус Морриса является представителем вирусного семейства сетевых червей (Internet worm), и представляет собой 60 килобайтную программу, разработанную с расчётом на поражение операционных систем UNIX Berkeley 4.3.
При этом, интересен тот факт, что отец «отца вируса» – Роберт Моррис – Старший в это время занимал должность научного руководителя Национального Центра Компьютерной Безопасности (NCSC – National Computer Security Center) – эксперта по компьютерной безопасности. Моррис - Старший много лет проработал в лаборатории AT&T Bell, где в 60-х годах принимал участие в разработке программ Core Wars. Кстати, инцидент с программой-червем практически никак не сказался на карьере Морриса – Старшего. В начале 1989 года он был избран в специальный консультативный совет при Национальном институте стандартов и министерстве торговли. В задачу этого совета входит выработка заключений и рекомендаций по вопросам безопасности вычислительных систем правительственных органов США, а также решение вопросов, возникающих при разработке и внедрении стандартов защиты информации.
Инцидент с «вирусом Морриса» дал толчок к появлению целой отрасли компьютерной безопасности – компьютерной вирусологии.
По самым скромным оценкам инцидент с вирусом Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается более чем в 98 миллионов долларов. Вирус поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя. Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.
В американских репортажах с места события, опубликованных такими ведущими газетами как Chicago Tribune, New York Times и Boston Herald, широко освещалась динамика распространения вируса и разработки методов борьбы с ним, а также поднимались общие проблемы обеспечения безопасности компьютерных систем. Позднее, в аналитических статьях по этому повод поднимались нерешенные проблемы, относящиеся к вопросам безопасности компьютерных систем, и законодательные инициативы, направленные на предотвращение подобных случаев в дальнейшем. В частности, в палате представителей внесены два проекта законов, предусматривающих уголовное наказание за создание и распространение компьютерных вирусов.
Кроме того, широко обсуждался вопрос о том, как квалифицировать поступок Морриса: является ли Моррис героем-хакером, который без нанесения по-настоящему серьезного ущерба указал на слабые места в национальной компьютерной сети, или он является преступником, который должен быть сурово наказан. В то же время, он уже отчислен из Корнельского университета (с правом подачи заявления на повторное вступление через год). Таким образом, Моррис может вновь подать заявление о поступлении не ранее осени 1990 г. В этом случае вопрос о его поступлении будет решаться администрацией.
Сегодня вирус Морриса принято считать определенной точкой отсчета, с которой началось массовое шествие вирусов по миру («Современная история вирусов»).
«Современная история» компьютерных вирусов.
Год.
- ARPANET официально переименован в Интернет.
- Появился «троянский конь» AIDS. Вирус делал недоступной всю информацию на жестком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой-то адрес». Автор программы был арестован в момент обналичивания денег и осужден за вымогательство.
- Создан вирус для противодействия антивирусному ПО («Темный Мститель» — The Dark Avenger). Он заражал новые файлы, пока антивирусная программа проверяла жесткий диск компьютера.
- Клифф Столл (Cliff Stoll), сотрудник Lawrence Berkeley National Laboratory опубликовал книгу «Кукушкины яйца» (The Cuckoo's Egg), в которой предостерегал, что всемирная компьютерная сеть может служить не только целям добра, но и активно использоваться военными, преступниками и хулиганами. Столл рекомендовал заблаговременно принять меры для недопущения подобного развития событий.
1990 год(декабрь). В Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR). На сегодняшний день он является одной из наиболее уважаемых международных организаций, объединяющей практически все крупные антивирусные компании.
1991 год. Написана программа, предназначенная исключительно для создания вирусов – VCSvl.0.
Год.
- Вирус SatanBug поражает сотни компьютеров в столице США, Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора, им оказался 12-летний подросток.
- Зафиксировано появление «бомб замедленного действия» – вирусов, которые активизируются по достижении определенной даты.
1994 год. В Великобритании, США, Норвегии арестованы несколько авторов вирусов. Они отделываются штрафами.
1995 год. Появление макровирусов, рассчитанных на поражение программной среды MS Word.
1999 год. Почтовый вирус Melissa вызвал эпидемию мирового масштаба, поразил десятки тысяч компьютеров и нанес ущерб в $80 млн. После этого инцидента в мире начался обвальный спрос на антивирусные программы. В 2002 году автор Melissa – 33-летний программист Дэвид Смит (David L. Smith) приговорен к 20 месяцам тюремного заключения.
2000 год, май. Рекорд Melissa побил почтовый вирус I Love You!, поразивший миллионы компьютеров в течение нескольких часов. Особенность вируса заключалась в том, что прикрепленный к письму файл с телом вируса активизировался автоматически при открытии пользователем письма для прочтения. Расследование показало, что вирус создал филиппинский студент, который не был осужден из-за отсутствия соответствующих законов в законодательстве Филиппин. В том же году подписано первое международное соглашение о противодействии компьютерным вирусам.
2001 год. Интернет поразил почтовый вирус Anna Kournikova. 20-летний голландец Ян Де Вит (Jan De Wit) был приговорен к 150 часам исправительных работ за создание этого вируса. Суд пришел к выводу, что он не может точно определить размер ущерба, который нанесла «Анна Курникова» экономике Нидерландов. У Де Вита также была конфискована коллекция из 7,5 тыс. вирусов. Де Вит заявил суду, что не имел представления, что написанная им программа окажется вирусом и нанесет кому-либо ущерб.
2002 год. 13 узловых DNS-серверов Интернета, обеспечивающих функционирование Всемирной Сети, подверглись DoS-атаке, организованной при помощи сетевого вируса. Аналитики предупреждают, что хорошо подготовленная и проведенная компьютерная атака может на недели уничтожить Интернет.
2003 год (июль). Рекорды быстроты распространения побил «червь» Slammer, заразивший 75. тыс. компьютеров за 10 минут. В результате активизации вируса-червя Slammer скорость работы сети значительно замедлилась, а некоторые регионы, например, Южная Корея, оказались практически отрезанными от Интернета.
Вирусная атака началась в 0:30 по времени Восточного побережья США или в 8:30 по московскому времени. Где находился источник заражения, до сих пор точно не известно. Некоторые специалисты по компьютерной безопасности предполагают, что вирус распространялся с территории США, другие же считают, что его родина находится где-то в Азии. За считанные минуты червь, использующий уязвимость в СУБД Microsoft SQL Server 2000, наводнил Интернет. Несмотря на малый размер вируса (376 байт), он смог создать в каналах передачи данных настоящие пробки, поскольку после заражения компьютера он начинает рассылать свой код по случайным IP-адресам в бесконечном цикле. Если по какому-либо из адресов обнаруживался уязвимый компьютер, он заражался и тоже начинал рассылать копии вируса.
Все это привело к крупномасштабному росту трафика. На пике активности червя на один сервер могли приходить сотни запросов в минуту. Не выдержав возросшей нагрузки, некоторые серверы переставали нормально работать. В это время только в США терялось до 20% IP-пакетов, что в десять раз превышает нормальный уровень. По имеющимся данным, от атаки пострадали и пять из тринадцати корневых DNS-серверов.
Об ошибке программного кода в MS SQL Server 2000 стало известно еще летом 2002 г., а исправление к ней содержится в выпущенном Microsoft пакете обновлений Service Pack 3. Тем не менее за установку патчей администраторы взялись лишь после атаки Slammer. Однако удалось это немногим: сайт Microsoft, откуда только и можно было взять Service Pack, оказался перегружен.
27 января 2004 года. Начало крупномасштабной эпидемии почтового червя Novarg, также известного как Mydoom. Всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернете исчисляется несколькими миллионами экземпляров.
Червь распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB. Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, открывающую ТСР порты с 3127 по 3198, что делает возможным удаленное управление зараженной системой, отыскивает почтовые адреса в адресной книге, Outlook, и рассылает себя на эти адреса с помощью собственного SMTP клиента, а также запрограммирован на проведение DoS-атак на сайты www.sco.com и www.microsoft.com.
Ущерб от эпидемии вируса MyDoom (он же Novarq) стал самым большим в истории интернет-эпидемий: он составил 2,6 млрд долларов. Такие оценки содержатся в отчете английских экспертов из компании Mi2g.
3 Мая 2004 года. В Интернет обнаружен новый червь Sasser. Червю был присвоен наивысший рейтинг опасности. По оценкам аналитиков, обычный компьютер, подключенный к Интернет и не обеспеченный средствами защиты, подвергается заражению червем в течении 10 минут.
Sasser распространяется путем использования ошибки переполнения буфера в процессе lsass.exe на системах Windows 2000, XP и 2003 Server. После заражения системы червь начинает использовать ее для атак на другие компьютеры через TCP порт 445.
Червь активизируется без вмешательства пользователя и способен поражать любой компьютер, подключенный к сети, вне зависимости от того, используется он в данный момент или нет. Признаком заражения служат различные сообщения о системных ошибках и самопроизвольная перезагрузка системы.
Дальнейшая история развития компьютерных вирусов тесно переплетается с историей развития вредоносного программного обеспечения в целом. В ней практически отсутствуют какие-либо уникальные творческие находки, зато всё более прослеживается желание лёгкой наживы злоумышленников, использующих данное ПО.