Вирусы: прошлое, настоящее и будущее

1971
Вирус Creeper, экспериментальная самовоспроизводящаяся программа, был написан Бобом Томасом из BBN. Вирус поражал компьютеры DEC PDP-10, работающие под управлением ОС TENEX. Creeper получал доступ через сеть ARPANET и копировал себя на удаленный компьютер, на дисплее которого появлялось сообщение "Я - Creeper, попробуй поймать меня!" Позже была создана программа Reaper, которая удаляла Creeper.

1974
Был создан вирус Wabbit, который был скорее "развилочной бомбой", чем собственно вирусом. Вирус Wabbit создавал множество своих копий на одном компьютере (название Wabbit [искаж. rabbit (кролик)] он получил за ту скорость, с которой он это делал), замедляя работу системы. В результате система достигала предела производительности, и компьютер отказывался работать. [требуется цитата]


Джоном Уокером был написан вирус ANIMAL для компьютеров UNIVAC 1108. [3] Animal задавал пользователю ряд вопросов, пытаясь выяснить, какое животное задумал пользователь. В это время связанная с вирусом программа PERVADE создавала свои копии и копии ANIMAL во всех директориях, к которым данный пользователь имел доступ. Он распространялся на компьютерах UNIVAC, когда несколько пользователей, чьи права доступа распространялись на одни и те же директории, открывали для себя эту игру, а также с компьютера на компьютер при обмене пленками. Программа была написана таким образом, что она не могла нарушить существующую структуру файлов и директорий, а также не создавала своих копий при закрытом доступе или в тех случаях, когда мог быть нанесен ущерб. Таким образом, распространение этой программы прекращалось в результате обновления ОС, в ходе которого менялся формат таблиц статуса файлов, используемых PERVADE для безопасного копирования. "Pervading Animal" представляет собой первую бесконтрольно распространяющуюся "троянскую программу", хотя и не являющуюся вредоносной.


1980
Юрген Краус пишет свою магистерскую диссертацию "Selbstreproduktion bei Programmen" ("Самовоспроизведение программ").

1981
Ричардом Скрента была создана программа Elk Cloner для компьютера Apple II. Apple II был особенно уязвим ввиду того, что его операционная система хранилась на гибком магнитном диске. Особенности программы Elk Cloner вкупе с тем фактом, что большинство пользователей ПК ничего не знали о вредоносном ПО и способах защиты от него, являются причиной первого в истории масштабного распространения компьютерного вируса.

1983
Термин "вирус" был введен в оборот Фредериком Коэном при описании самовоспроизводящихся компьютерных программ. В 1984 году Коэн - по совету своего преподавателя Леонарда Эдлмана - использовал выражение "компьютерный вирус" для описания принципа работы подобных программ как своеобразного "инфицирования". По его определению "вирус" - это "программа, которая может "заражать" другие программы, внося в них изменения с целью внедрения своей (возможно, модифицированной) копии."

10 ноября 1983 года в университете Лихай Коэн продемонстрировал вирусоподобную программу на компьютере модели VAX11/750. Программа успешно внедрилась в другие системные объекты (т.е. "инфицировала" их).

1984
Кен Томпсон опубликовал "Размышления о том, можно ли полагаться на доверие" [6], теоретическую работу, в которой описывается, как вирус может быть внедрен в объектный код программы, когда в исходном коде вирус не обнаруживается.

1986
Январь. Появился загрузочный вирус Brain (также известный под названием "пакистанский грипп"). Brain считается первым вирусом, совместимым с архитектурой IBM PC, и является причиной первой эпидемии IBM-совместимого вируса. Виру также известен как Lahore, Pakistani, Pakistani Brain, так как был написан в г. Лахор (Пакистан) 19-летним пакинстанским программистом Баситом Фаруком Альви и его братом Амджадом Факуком Альви.

Декабрь 1986 года. Ральф Бергер представил модель программы Virdem на заседании неформального клуба "Chaos Computer Club" в Германии. Virdem была первой из программ, способных воспроизводить себя путем добавления своего кода в исполнимые DOS-файлы с расширением .COM.

1987
Появление вируса Vienna, который впоследствии был нейтрализован. Это был первый подобный случай на платформе IBM.

Появление вируса Lehigh, загрузочных вирусов Yale (США), Stoned (Новая Зеландия), Ping Pong (Италия) и первого самошифрующегося файлового вируса Cascade. Lehigh был нейтрализован в университетских лабораториях прежде, чем началось его бесконтрольное распространение, и в результате больше нигде не встречался. Ответом IBM на заражение офисных компьютеров бельгийского отделения концерна вирусом Cascade стала разработка IBM собственного антивирусного продукта. Антивирусные пакеты, разработанные IBM ранее, были предназначены лишь для использования персоналом компании.

Октябрь. Вирус Jerusalem, представитель семейства вирусов Suriv (в то время еще неизвестного), был обнаружен в Иерусалиме. Jerusalem каждый раз уничтожает все исполнимые файлы на зараженной машине 13-го числа, в пятницу (за исключением пятницы 13 ноября 1987 года, т.е. первой датой срабатывания является 13 мая 1988 года). Jerusalem вызвал всемирную эпидемию в 1988 году.

Ноябрь. Появился вирус SCA, загрузочный вирус для компьютеров Amiga, который сразу же вызвал вирусную пандемию. Немного позже авторы вируса SCA выпустили новый, гораздо более вредоносный вирус Byte Bandit.

Декабрь. Червь Christmas Tree EXEC стал первой вредоносной сетевой программой, парализовавшей работу нескольких международных компьютерных сетей в декабре 1987 года.

1987
Июнь. Вирус Festering Hate Apple ProDOS проник за пределы неформальных пиратских систем BBS и начал распространяться в крупных компьютерных сетях.

2 ноября. Червь Morris, созданный Робертом Тэппаном Моррисом, начал поражать подключенные к Интернету компьютеры DEC VAX и Sun, работающие под управлением ОС BSD UNIX. Он был первым бесконтрольно распространившимся сетевым червем и одной из первых широко известных программ, использующих уязвимости защиты, которые возникают вследствие переполнения буфера.

1989
Октябрь 1989 года. Ghostball, первый многокомпонентный вирус, был обнаружен Фридриком Скуласоном.


1990
Марк Уошберн, который совместно с Ральфом Бергером работал над анализом вирусов Vienna и Cascade, создал первое семейство полиморфных вирусов - Chameleon. Первым в серии Chameleon был вирус 1260. [8][9][10]

1992
В соответствии с паническими предсказаниями СМИ 6 марта вирус Michelangelo должен был вызвать апокалипсис в мире компьютерных технологий, стерев информацию на миллионах машин. Согласно последующим оценкам, последствия распространения этого вируса оказались ничтожными. [требуется цитата]

1993
Вирусы Leandro & Kelly и Freddy Krueger стали достаточно быстро распространяться вследствие популярности систем BBS и распространению условно-бесплатного ПО.

1995
Был создан вирус Concept - первый макровирус, поражающий документы Microsoft Word. [требуется цитата]

1996
Появился сложный полиморфный вирус Ply с интегрированным полиморфик-генератором для 16-битной ОС DOS.

1998
2 июня. Появилась первая версия вируса CIH.

1999
20 января. Червь Happy99 незаметно прикреплялся к электронным письмам. Чтобы скрыть вносимые изменения, программа выводила на экран изображение фейерверка и поздравления с Новым годом. Червь изменял системные файлы, используемые приложениями Outlook Express и Internet Explorer в ОС Windows 95 и Windows 98.

26 марта. Появился червь Melissa, который поражал приложения Microsoft Word и Outlook, при этом значительно увеличивая объем сетевого трафика.

6 июня. Впервые был обнаружен червь ExploreZip, который поражает документы Microsoft Word.

16 декабря. Sub7 (или SubSeven) - это название известной программы типа "бэкдор". В основном она использовалась для шалостей. Так, программа могла спрятать курсор, изменить настройки системы или открыть веб-страницу с порнографическим содержанием. Однако она могла использоваться в более серьезных, преступных целях, напр. для сбора информации о реквизитах кредитной карты посредством "клавиатурного шпиона".


2000
Май. Появился червь ILOVEYOU. По состоянию на 2004 год, этот червь принёс наибольший ущерб предприятиям, принеся им убытки в размере 5,5 - 10 млрд. долларов. Троянская бэкдор-программа для этого червя, Barok, была написана филиппинским программистом Онелом Дегазманом. Неизвестно, кто задал вектор атаки и кто (по неосторожности?) выпустил червя в сеть. Сам Дегазман отрицал свою вину за распространение вредоносного ПО и высказал предположение, что кто-то другой обманул его, используя его код Barok.

2001
11 февраля. Вирус Anna Kournikova атаковал почтовые серверы путем рассылки электронных писем по всем адресам, записанным в адресной книге программы Microsoft Outlook.[12] Создатель вируса, голландец по прозвищу OnTheFly, был приговорен к 150 часам общественных работ.[13]

8 мая. Получил распространение червь Sadmind, использовавший уязвимость защиты в Sun Solaris и Microsoft IIS.

Июль. Был выпущен червь Sircam, распространившийся затем в системах Microsoft через e-mail и незащищенные сетевые ресурсы.

13 июля. Был выпущен червь Code Red, атаковавший Index Server ISAPI Extension в Microsoft IIS.

4 августа. Полностью переработанная версия червя Code Red, Code Red II, начала активно распространяться в системах Microsoft, преимущественно в Китае.

18 сентября. Был обнаружен червь Nimda, который распространялся различными способами, в том числе через уязвимости Microsoft Windows и через "бэкдоры", оставленные червями Code Red II и Sadmind.

26 октября. Впервые был обнаружен червь Klez.

2002
Beast - троянская бэкдор-программа для систем Windows, среди хакеров более известная как RAT (Remote Administration Tool - средство удаленного администрирования). Способна инфицировать практически все версии ОС Windows, т.е. с 95 до XP. Написана на Delphi и впервые выпущена Tataye (автором программы) в 2002 году. Самая современная ее версия была выпущена 3 октября 2004 года.

30 августа. Optix Pro - настраиваемое средство удаленного доступа или троянская программа, схожая с SubSeven или BO2K.

2003
24 января. Червь SQL Slammer (также известный как Sapphire worm, Helkern и под рядом других названий) атаковал уязвимости в Microsoft SQL Server и MSDE и доставил множество проблем пользователям Интернета.

2 апреля. Graybird - троянская программа, известная также как Backdoor.Graybird.

13 июня. ProRat - троянская бэкдор-программа для Microsoft Windows, более известная как RAT (Remote Administration Tool - средство удаленного администрирования).

12 августа. Начинал широко распространяться червь Blaster, также известный как Lovesan, использовавший уязвимость системных служб на компьютерах под управлением ОС Windows.

18 августа. Был впервые обнаружен червь Welchia (Nachi). Данный червь пытается удалить червь Blaster и устранить уязвимость Windows.

19 августа. Червь Sobig (более точное название - Sobig.F) начал стремительно распространяться в системах Microsoft по e-mail и через совместно используемые сетевые ресурсы.

24 октября. В системах Microsoft впервые был обнаружен червь Sober. Присутствие этого червя, а также его многочисленных вариантов отмечалось вплоть до 2005 года. Одновременные сетевые атаки червей Blaster и Sobig причинили большой ущерб.

2004
Вторая половина января: Появился червь MyDoom, установив на какое-то время рекорд по скорости массового распространения через сообщения электронной почты.

19 марта: Червь Witty worm бьет все рекорды, по разным параметрам. Данный червь использовал дыры в некоторых продуктах Internet Security Systems (ISS). Однако данный червь был быстро обнаружен. Это был первый интернет червь, который нес в себе деструктивную нагрузку и быстро распространялся при помощи популяризированных списков нулевых хостов

1 мая: Появляется червь Sasser worm. Целью данного червя было использование слабых мест в системе защиты LSASS тем самым создавая проблемы в самой сети, сменив варианты червей MyDoom и Bagle. Его действия даже прервали работу сети.

16 августа: Появляется бэкдор-вирус троян Nuclear RАТ сокращенно от Nuclear Remote Administration Tool (Ядерное Дистанционное Устройство Управления). Данный вирус инфицировал систему Windows (Windows 2000, XP, 2003).

20 августа: Появляется троянский вирус Vundo, или Vundo Trojan (также известный под названиями Virtumonde или Virtumondo, а иногда даже встречающийся под названием MS Juan). Данный троян известен своей способностью рекламировать при помощи всплывающих окон шпионские антивирусные прграммы, тем самым распространяя и другие вредоносные программы, которые впоследствии приводят к поломке системы и даже к отказу системы работать с такими сайтами Google и Facebook.

12 октября 2004: Появляется троянская прграмма Bifrost, также известная под названием Bifrose. Данный вирус Windows 95 посредством Vista. Для осуществления удаленной атаки, вирус Bifrost использует обычный сервер, программу создания серверов и клиентскую бэкдор конфигурацию программы.

Декабрь: Был запущен первый «вебчервь» Santy. Для поиска новых жертв, данный червь использовал слабые места в защите phpBB, а также Google. В итоге было инфицировано около 40000 сайтов, прежде чем Google отфильтровал запрашиваемую очередь, используемую данной вредоносной программой, тем самым предотвратив ее дальнейшее распространение.

2005 год
16 августа: В системах Microsoft обнаружены червь Zotob и несколько разновидностей троянов. Эффект стал очевиден, так как в нескольких штатах Америки были заражены информационные агентства.

13 октября: червь Samy XSS становится самым быстро распространяющимся вирусом по некоторым данным (по оценкам) 2006 года.

Конец 2005: Троян Zlob – это маскирующийся под требуемый видеокодек в форме Active X троянский конь. Впервые он был обнаружен в конце 2005 года.

2005 год: Bandook или Bandook Rat (Инструмент удаленного администрирования Bandook) – это «закулисный» троян, который заражает семейство Windows. Он использует сервер разработчика, клиента и сервер для мониторинга компьютера с помощью удаленного доступа. Он использует создание сервера, программу клиент и программу сервер, чтобы получить контроль над удаленным компьютером. Он использует подмену процессов / внесение изменений в ядро, чтобы обойти брандмауэр, и позволить серверному компроненту программы использовать процессы и устанавливать права, чтобы получить доступ к Интернету.

2006 год
20 января: был обнаружен червь Nyxem . Его распространение происходило с помошью массовой рассылки по электронной почте. Содержимое письма активировалось каждый третий день месяца, начиная с февраля 2006, и делало попытки отключить программное обеспечение, отвечающее за безопасность и обмен данных, также уничтожая файлы определенных типов, такие как, Microsoft Office.

16 февраля: обнаружение первой вредоносной программы для Mac OS X, это был низкоуровневый троян, известный как OSX/Leap-A или OSX/Oompa-A.
В конце сентября: был обнаружен червь Stration или Warezov.

2007 год
17 января: Обнаружен червь Storm Worm (ботнэт червь), быстро распространяемый электронный спам, представляющий угрозу для корпорации Майкрософт. Он начал собирать зараженные компьютеры в сеть Storm. К 30 июню червь заразил 1,7 миллиона компьютеров, число который к сентябрю насчитывало от 1 до 10 миллионов. [21] Есть предпосылки полагать, что он был создан в России. Червь маскирует себя под рассылку фейковых новостей о фильме по электронной почте с просьбой о загрузке приложения, необходимого для просмотра фильма.

2008 год
17 февраля: Mocmex - троян, найденный в феврале 2008 в электронной рамке для фотографий. Это был первый серьезный компьютерный вирус, написанный для цифровой фоторамки. Происхождение вируса привело к группе в Китае.

3 марта: Torpig, также известный как Sinowal или Mebroot, это троянский конь, который действует на Windows, выключая систему антивируса. Он обеспечивает третьим лицам доступ к компьютеру, изменяет данные, крадет конфиденциальную информацию (такую, как пароль пользователя и другие уязвимые данные) и устанавливает еще больше вредоносных программ на пораженный компьютер.[23]

6 мая: Была обнаружена вредоносная программа Rustock.C типа спам-бот с усовершенствованными возможностями, о ткоторой уже какое-то время ходили слухи. Данная программа была обнаружена в системе Microsoft. Сама программа просуществовала с октября 2007 года вплоть до ее обнаружения в мае 2008 года.

6 июля: Обнаружен Троянкий вирус или конфигурируемый инструмент удаленного администрирования Bohmini.A, который распространялся при помощи пробелов в системе защиты программы Adobe Flash 9.0.115, через Internet Explorer 7.0, Firefox 2.0 в системе Windows XP SP2.[25]

31 июля: Жертвами компьютерного червя Koobface стали пользователи Facebook и Myspace.

21 ноября: Компьютерный червь Conficker инфицировал от 9 до 15 миллионов пользователей системы Microsoft, заразив все программы, начиная с системы Windows 2000 и заканчивая ОС Windows 7 Бета. Были инфицированы даже такие сиcтемы как, система Французского морского флота, Министерство обороны Великобритании (включая военные корабли и подводные лодки королевского флота), сеть госпиталя Шеффилд, Немецкий Bundeswehr и система Норвежской полиции. Майкрософт объявил о вознаграждении в размере $250,000 долларов США за предоставление информации о создателях данного червя. В настоящее время известны 5 вариаций данного червя, получившие название Conficker A, B, C, D и E. Они были обнаружены 21 ноября 2008, 29 декабря 2008, 20 февраля 2009, 4 Марта 2009 и 7 апреля 2009, соответственно.

2009
4 июля: Произошли кибер атаки July 2009 cyber attacks, а также были обнаружены атаки вирусов W32.Dozor в США и Южной Корее.

Многие притендуют на звание первого создателя антивируса. Первая известная публике нейтрализация компьютерного вируса была представлена европейцем Бернтом Фиксом (или Берндом) еще в 1987 году. Фикс прекратил распространение вируса под названием Вена. Первый выпуск польской антивирусной программы mks_vir был в 1987 году; программа была доступна только для польского интерфейса. В 1988 году выходит антивирусная программа Брайтона Алана Соломона «Анти-вирусное программное обеспечение доктора Соломона». К декабрю 1990 года на рынке было уже девятнадцать антивирусных программ, находящихся в продаже, включая NortonAntivirus и Viruscan от Макафи.

Питер Типпетт внес большой вклад в многообещающуюобласть защиты от вирусов. Он был доктором скорой помощи, но в то же время занимался программным обеспечением компании. Он прочитал статью о вирусе Lehigh и озадачился вопросом, найдутся ли сходные характеристики с биологическими вирусами, атакующими живые организмы. С точки зрения эпидемиологии он был способен определить, как эти вирусы влияют на систему компьютера (загрузочному сектору наносил вред вирус Brain, файлам с расширением .com – вирус Lehigh, вирус Jerusalem атаковал файлы с расширением .com и .exe). Затем компания Типпетта Certus International Corp антивирусные программы. В 1992 году компания была продана Symantec Corp, и Типпетт перешел работать к ним, включив программное обеспечение, которое он разработал в NortonAntivirus, продукт фирмы Symantec.

Крайне редко термин «антивирус» применяется к хорошим вирусам, которые распространяются и борются с вредоносными вирусами. Этот термин применяли и к компьютерной платформе Amiga.


Исследования в декабре 2007 года показали, что эффективность программного обеспечения антивируса резко сократилась по сравнению с тем, что было несколько лет назад. В частности, эффективность снизилась против угроз zero day. Немецкий компьютерный журнал c`t опубликовал, что вероятность обнаружения этих вирусов упала до 20-30% по сравнению с 40-50% всего лишь год назад. Только один продукт идентифицирует вероятность обнаружения в 50%.

Катализатором проблемы является изменение желаний авторов вирусов. Несколько лет назад было очевидно, когда в компьютере появлялся вирус. На сегодняшний день вирусы, созданные любителями, носят разрушительный характер или имеют выводящиеся на экран сообщения. Современные вирусы зачастую создаются профессионалами, которых финансируют криминальные структуры. Делать вирусы легко обнаруживаемыми не входит в их интересы, потому что их цель – создать бот-сети или красть информацию на протяжении как можно большего времени с тем, чтобы пользователь этого не обнаружил. Следовательно, они обычно хорошо замаскированы. Если у пользователя зараженного компьютера установлена не очень эффективная антивирусная программа, она выдаст информацию, что компьютер чист, поэтому вирус может вредить, будучи так и не обнаруженным. В результате даже крупные антивирусные продукты не видят программы, содержащие вредоносные вирусы.

Ботнет (сеть ботов) – жаргонный термин для обозначения сети компьютерных программ-роботов, или ботов, которые запускаются автоматически и работают в автономном режиме. Этот термин чаще всего ассоциируется с вредоносным компьютерным обеспечением, хотя такие программы могут встречаться и на компьютерах, которые используют только лицензионные и проверенные программы. В то время как ботнеты часто получают названия в честь вредоносных программ, которые они несут за собой в сеть, обычно в сети существует несколько ботнетов, которые используют одни и те же вредоносные программы, но управляются различными группировками хакеров.

Термин «ботнет» может использоваться для обозначения любой группы программ-ботов, к примеру, тех, которые часто атакуют пользователей IRC, однако чаще всего этим словом обозначают несколько компьютеров, так называемых «зомби», зараженных через Интернет различными вирусами, троянскими программами и т.п., которые объединены общей системой управления.

Создатель ботнета, также называемый бот-боссом или бот-мастером, осуществляет удаленный контроль над группой зараженных компьютеров, обычно с помощью IRC и других подобных программ, чаще всего в противозаконных целях. Некоторые программы объявляются IRC-ботами. Во многих случаях управление осуществляется через сервер IRC (управляющий сервер), или отдельный канал связи, или же IRC-сеть общего доступа. Реже опытные разработчики ботнетов создают собственные командные протоколы , которые включают серверную программу, клиентскую программу для осуществления операций и программу, которая запускается в атакуемый компьютер (сам бот). Все эти программы поддерживают связь друг с другом, при этом используется уникальная система шифрования, которая обеспечивает невидимость и защиту от вмешательства в работу ботнета.

Программа-бот в большинстве случаев работает совершенно незаметно и связывается с управляющим сервером через тайный канал (к примеру, стандарт RFC 1459 (IRC), Twitter или системами обмена мгновенными сообщениями). Обычно создатель ботнета уже обладает некоторым опытом заражения систем с помощью различных инструментов (переполнение буфера и т.д., см. также RPC). Новые боты автоматически сканируют среду, в которой находятся, и распространяются, используя слабые места программ и простые пароли. Чем больше слабых мест способен обнаружить и использовать бот, тем ценнее он становится для ботнета. Кража компьютерных ресурсов – это результат присоединения системы к ботнету, или скрампинга.

Ботнеты, несмотря на то, что они действуют скрыто, успели стать неотъемлемой частью сети Интернет. Поэтому самые популярные IRC-сети уже приняли меры и заблокировали доступ к ботнетам, которые удалось обнаружить – теперь создателям ботнетов приходится искать собственные серверы. Большинство ботнетов работают со многими типами соединения и сетей. Иногда создатель прячет инсталляцию IRC-сервера на образовательном или корпоративном сайте, при этом высокая скорость соединения позволит использование огромного количества других ботов.


Этот метод, то есть использование одного бота как ширмы для других, был изобретен сравнительно недавно, зато теперь разработчики ботов активно его используют.

Несколько ботнетов уже обнаружены и удалены из сети Интернет. Датская полиция засекла ботнет, в котором было 1,4 миллиона элементов, а сотрудники норвежской компании-провайдера «Теленор» обезвредили ботнет из 10000 элементов. Неоднократно предпринимались и совместные усилия нескольких стран, направленные на поиск и уничтожение ботнетов. По статистике, в настоящее время примерно четверть всех компьютеров мира, имеющих выход в Интернет, может быть частью ботнета.


Вирусы мигрировали из мира ноутбуков и настольных ПК в мобильные устройства. Разработчики антивирусов начинают осваивать рынок антивирусного ПО для мобильных устройств. В этой области они сталкиваются со следующими трудностями:
- ограниченная производительность процессора,
- ограниченная оперативная память и
- обновление базы определений и сигнатур для таких мобильных устройств

Современные мобильные устройства имеют различные интерфейсы и возможности обмена данными. Пользователям следует тщательно изучить защитное ПО прежде, чем применять их в устройствах малого форм-фактора.

Вероятно, аппаратные решения (напр. USB-устройства или антивирусные программы, размещенные на SIM) наилучшим образом удовлетворяют потребности пользователей мобильных устройств в антивирусной защите. Техническая оценка и обзор использования антивирусного ПО в сотовых телефонах как процесса сканирования могут повлиять на другие приложения, используемые в мобильном устройстве.

Антивирусные программы, интегрированные в SIM, занимают небольшой объем памяти и могут быть простым решением в борьбе с вредоносным ПО/вирусами и защите как личной информации пользователя, так и данных в мобильном телефоне. Решения, основанные на USB или Flash-памяти, позволяют пользователю использовать их с несколькими мобильными устройствами.