• Главная
• Описания ПО
• Создатели
• История
  • 1994
  • 1995
  • 1996
  • 1997
  • 1998
  • 1999
  • 2000
  • 2001
  • 2002
• Защита
• Перспективы
• Черви
  • Email-черви
  • IM-черви
  • IRC-черви
  • Net-черви
  • P2P-черви
• Вирусы
  • Способ заражения
  • Загрузочные вирусы
  • Макро-вирусы
  • Скрипт-вирусы
• Трояны
  • Backdoor
  • PSW-троянцы
  • Trojan Clickers
  • Trojan Downloaders
  • Trojan Droppers
  • Trojan Proxies
  • Trojan Spies
  • Прочие троянцы
• Антивирусы
  • eTrust EZ Antivirus
  • F-Secure
  • McAfee
  • Panda
  • Symantec
  • Trendmicro
  • NOD32
  • Dr. Web
  • Антивирус Касперского 6.0
• Статьи
• Контакты

1994

Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярным, этот тип носителей оказался одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходилось - их просто уничтожили.

В начале года в Великобритании появились два крайне сложных полиморфик-вируса - SMEG.Pathogen и SMEG.Queeg (до сих пор не все антивирусные программы в состоянии достичь 100%-го результата при их детектировании). Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.

Еще одну волну паники вызвало предупреждение о якобы существующем вирусе "GoodTimes", распространяющем себя по интернету и заражающем компьютер при получении электронной почты. Такого вируса на самом деле не существовало, и это предупреждение было занесено в разряд вирусных мистификаций. Однако через некоторое время появился обычный DOS-вирус, содержащий текст "Good Times". Он получил название GT-Spoof.

Несмотря на то, что эта мистификация родом из далекого 1994 г., мы до сих пор время от времени получаем письма от встревоженных пользователей, требующих рассказать о новом, чрезвычайно опасном вирусе "GoodTimes", слухи о котором циркулируют среди их знакомых по интернету. Мало того, эта утка очень быстро интернационализировалась и была переведена на многие языки мира, в т.ч. испанский, португальский, французский, немецкий, русский, итальянский и многие другие.

Появляются несколько новых, достаточно необычных вирусов:

Январь 1994: Shifter (12) - первый вирус, заражающий объектные модули (OBJ-файлы). "Phantom1" - эпидемия первого полиморфного вируса в Москве.

Апрель 1994: SrcVir - семейство вирусов, заражающих исходные тексты программ (C и Pascal).

Июнь 1994: OneHalf (13) - начало повальной эпидемии опасного и очень сложного полиморфного вируса, до сих пор доставляющего хлопоты пользователям по всему миру.

Сентябрь 1994: "3APA3A" (14) - эпидемия файлово-загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.

Этот год также ознаменовался несколькими важными событиями в антивирусной области. В июне перестал существовать один из антивирусных лидеров того времени - Central Point. Компанию приобрела фирма Symantec, уже успевшая получить титул коллекционера антивирусных проектов за свое пристрастие к поглощению конкурентов. В сентябре состоялся международный дебют AntiViral Toolkit Pro (AVP): первое участие программы группы разработчиков, руководимой Евгением Касперским, в независимых тестах Центра по изучению компьютерных вирусов Гамбургского университета принесла AVP абсолютную победу по всем категориям.

1995

Ничего действительно заметного в области DOS-вирусов не произошло, хотя появилось несколько достаточно сложных вирусов-монстров типа NightFall, Nostardamus, Nutcracker и таких забавных вирусов, как "двуполый" вирус RMNS и BAT-вирус Winstart. Широкое распространение получили вирусы ByWay и DieHard2 - сообщения о зараженных компьютерах были получены практически со всего мира.

Февраль 1995: произошел инцидент с компанией Microsoft: на диске, содержащем демонстрационную версию операционной системы Windows 95, обнаружен загрузочный вирус "Form". Копии этого диска Microsoft разослала 160 бета-тестерам, один из которых не поленился провести антивирусную проверку.

Весна 1995: анонсирован альянс двух антивирусных компаний - ESaSS (разработчик ThunderBYTE Anti-Virus) и Norman Data Defence Systems (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы. Позднее, в феврале 1998 г., это сотрудничество вылилось в банальное поглощению норвежцами голландской компании ESaSS.

Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в "живом виде" обнаружен первый вирус для текстового процессора Microsoft Word ("Concept"). Буквально за месяц вирус "облетел" весь земной шар, заполонил компьютеры пользователей MS Word и прочно занял первые места в статистических исследованиях, проводимых различными компьютерными изданиями. В первой половине сентября один из крупнейших мировых производителей компьютеров, компания Digital Equipment Corporation (DEC), распространила среди делегатов конференции DECUS, проходившей в Дублине, дискету, содержавшую "Concept". К счастью, этот инцидент был быстро обнаружен и локализован. Важно отметить, что "Concept" до сих пор имеет широкое хождение и на сегодняшний момент известно около 100 модификаций этого вируса.

Не меньший резонанс также имело появление первого компьютерного вируса для AmiPro, текстового редактора, в те времена не уступавшего по популярности даже MS Word. Исходный код вируса "Green Stripe" оказался бесплатным "приложением" к полуподпольному изданию Марка Людвига (Mark Ludwig) "Underground Technology Review".

Появление макро-вирусов заставило антивирусные компании еще раз серьезно задуматься, поскольку для защиты от этого класса вирусов требовалась разработка специального дополнения к программному ядру антивирусной программы, способной осуществлять поиск макро-вирусах в документах Word, а позднее и Excel, Access, PowerPoint и других приложений.

В 1995 г. дважды отличился английский филиал издательского дома Ziff-Davis. В сентябре принадлежащий ему журнал PC Magazine (английская редакция) распространил среди своих подписчиков дискету, содержащую загрузочный вирус Sampo. Этот факт был скоро обнаружен, редакция журнала принесла свои извинения и предложила читателям бесплатную антивирусную утилиту. Ирония случившегося заключалась в том, что в номере журнала, который сопровождала зараженная дискета, были опубликованы результаты тестов антивирусных продуктов для Novell NetWare.

В середине декабря другой журнал из семейства Ziff-Davis, Computer Life, разослал читателям дискету с рождественскими поздравлениями. Помимо собственно поздравления диск также содержал неожиданный сюрприз - загрузочный вирус Parity_Boot.B. В этой связи название журнала в глазах его читателей приобрело несколько иное значение.

В течение всего года не смыкали глаз блюстители компьютерного порядка. При содействии Подразделения по борьбе с компьютерными преступлениями Нового Скотланд Ярда (Computer Crime Unit), в Англии напряженно протекал, пожалуй, один из самых громких судебных процессов над Кристофером Пайлом (Christopher Pile), подозревавшимся в создании и распространении компьютерных вирусов. Также известному под псевдонимом Black Baron, 26-летнему безработному Пайлу 16 января, в суде г. Плимут было предъявлено обвинение в авторстве вирусов Queeg и Pathogen, а также полиморфик-генератора SMEG. Через 10 месяцев, 15 ноября, он признал себя виновным и был приговорен к 18 месяцам тюремного заключения.

1996

Январь 1996: два достаточно заметных события - появился первый вирус для операционной системы Windows 95 - Boza, и произошла эпидемия крайне сложного полиморфного вируса Zhengxi, написанного российским программистом из Санкт-Петербурга Денисом Петровым.

Март 1996: первая эпидемия вируса для Windows 3.x. Его имя - Win.Tentacle. Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Отличительная черта этого вируса в том, что это был первый Windows-вирус, вырвавшийся на свободу. До той поры все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в "живом виде" встречались только загрузочные, DOS- и макро-вирусы.

Июнь 1996: "OS2.AEP" - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом "компаньон".

Июль 1996: "Laroux" - первый вирус для Microsoft Excel, к тому же пойманный в "живом виде" практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР. Как и у MS Word-вирусов, принцип действия "Laroux" основывается на наличии в файлах так называемых макросов - программ на языке программирования Visual Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS Word. Как оказалось, встроенный в Excel Visual Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997 стал причиной эпидемии во многих компьютерных фирмах Москвы.

В конце лета вирусописатели под псевдонимами Nightmare Joker и Wild Worker практически одновременно выпускают конструкторы макро-вирусов для соответственно немецкой и английской версий MS Word - Word Macro Virus Construction Kit и Macro Virus Development Kit.

В середине октября в Microsoft произошел очередной инцидент, связанный с компьютерными вирусами: на веб-сайте компании, в одном из документов Word, посвященных технической поддержке программных продуктов Microsoft в Швейцарии, был обнаружен максро-вирус Wazzu. Позднее этот же вирус был найден на компакт-дисках, распространенных компанией на выставке компьютерных технологий Orbit, проходившей в Базеле, Швейцария. Однако на этом проблемы Microsoft с Wazzu не закончились: в сентябре вирус попал на компакт-диск Microsoft Solution Provider.

Декабрь 1996: "Win95.Punch" - первый резидентный вирус для Windows 95. Он загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.

В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андерграунда на операционные системы Windows95 и Windows NT, а также на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows 95/NT и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс- и полиморфик-механизмы и т.п. Таким образом, компьютерные вирусы вышли на новый виток своего развития - уровень 32-битных операционных систем. За два года вирусы для 32-битных Windows повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно новом технологическом уровне.

Произошли существенные изменения и у производителей антивирусных программ: в конце года компания Cheyenne Software, разработчик антивируса InocuLAN, была поглощена софтверным гигантом Computer Associates.

1997

В феврале 1997 г. появляется первый вирус для операционной системы Linux - "Linux.Bliss". Так вирусы заняли еще одну "биологическую" нишу.

Одновременно в выходом очередной версии пакета офисных приложений Microsoft Office 97 отмечается постепенное "переползание" макро-вирусов на эту платформу. Ограниченные возможности работы, а в некоторых случаях полная несовместимость макро-вирусов, созданных для MS Word 5.0 и Excel 5.0, с новым пакетом определялась присутствием в нем новой версии языка программирования Visual Basic for Applications (VBA) 5.0, который заметно отличался от Word Basic и VBA 3.0. Первые макро-вирусы для MS Office 97 на поверку оказались полными аналогами своих предшественников, всего лишь конвертированными в новый формат. Несмотря на это очень скоро появились настоящие макро-вирусы, нацеленные на работу исключительно в MS Office 97.

Март 1997 г. ознаменовался появлением макро-вируса "ShareFun" для MS Word 6/7, открывшего новую страницу в истории компьютерной индустрии. Он стал первым вирусом, использовавшим для своего распространения возможности современной электронной почты, в частности, почтовую программу MS Mail.

Апрель 1997: обнаружение вируса "Homer" - первого сетевого вируса-червя, использующего для своего распространения протокол передачи данных File Transfer Protocol (FTP).

Июнь 1997: Появление первого самошифрующегося вируса для Windows 95 - "Win95.Mad". Вирус, имеющий российское происхождение, был разослан на несколько станций BBS в Москве, что стало причиной довольно крупной эпидемии.

Ноябрь 1997: Вирус "Esperanto". Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы операционной системы MacOS (Макинтош).

Развитие интернета, в частности, появление технологии mIRC (Internet Relay Chat) определило живой интерес, проявленный к ней со стороны вирусописателей. Поток вредоносных программ для mIRC не заставил себя ждать.

Декабрь 1997: антивирусный мир трубит о появлении принципиально нового типа компьютерных червей, использующих каналы IRC (Internet Relay Chat). Анализ работы наиболее популярной утилиты для работы с IRC, известной как mIRC, показал присутствие опасной бреши в системе безопасности. Она заключалась в совпадении каталога для хранения загруженных через IRC файлов и каталога размещения управляющего файла SCRIPT.INI. Таким образом, злоумышленники могли передать на удаленный компьютер файл SCRIPT.INI (содержащий тело червя) и он автоматически замещал оригинальный управляющий файл. При последующем запуске mIRC стартовал код червя, который, в свою очередь, рассылал себя другим пользователям. Это досадное упущение разработчиков быстро исправили, и существовавшие примитивные IRC-черви канули в лету. Однако позднее появились многокомпонентные IRC-черви, которые также охотились на управляющие файлы SCRIPT.INI (для клиентов mIRC), EVENTS.INI (для клиентов pIRCh) и т.д., но делали это примерно так же, как черви для электронной почты: пользователю присылался исполняемый файл (EXE, COM, BAT и т.п.), который при запуске замещал оригинальный управляющий файл.

Одним из важнейших событий 1997 года стало отделение антивирусного подразделения фирмы КАМИ, возглавляемого Евгением Касперским, в независимую компанию "Лаборатория Касперского". Образование независимого юридического лица позволило вначале небольшой группе разработчиков всего за два года стать первой по значимости антивирусной компанией на отечественном рынке и достаточно заметной фигурой на рынке мировом. За короткие сроки были разработаны и выпущены версии для практически всех популярных платформ, предложены новые технологии защиты от вирусов, создана сеть международной дистрибуции и технической поддержки.

В октябре "Лаборатория Касперского" и финская компания Data Fellows (позднее переименованная в F-Secure Corporation) подписывают соглашение о лицензировании антивирусного ядра AVP для использования в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания Data Fellows была известна как производитель антивируса F-PROT.

Год 1997 также остался в памяти многих людей как Год Больших Дрязг: в разных концах мира разразились сразу несколько скандалов между крупными игроками рынка антивирусных продуктов. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили "закладку" в программах одного из своих основных конкурентов - в антивирусе фирмы Dr.Solomon's. Заявление от McAfee гласило, что если антивирус Dr.Solomon's при сканировании обнаруживает несколько вирусов различных типов, то его дальнейшая работа происходит в усиленном режиме. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr.Solomon's работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee "cheat mode" - "режим обмана"), позволяющий детектировать вирусы, невидимые для Dr.Solomon's при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr.Solomon's показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.

Ответный удар Dr.Solomon's не заставил себя ждать и вскоре эта фирма подала иск на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись к тексту "The Number One Choice Worldwide. No Wonder The Doctor's Left Town". Понятно, что под прозвищем Doctor подразумевался Алан Соломон (Alan Solomon) - основатель компании Dr.Solomon's, который в 1996 г. по сути дела передал свой бизнес топ-менеджерам компании.

Однако больше всех отличился тайваньский разработчик Trend Micro, обвинивший сразу две ведущие антивирусные компании - McAfee и Symantec - в нарушении его патента на технологию сканирования данных, передаваемых по интернету и электронной почте. Позднее в драку ввязался Symantec и предъявил иск McAfee по обвинению в использовании кодов из Norton AntiVirus Symantec в продуктах McAfee.

Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Assotiates Inc. (NAI) и о диверсификации бизнеса в направлении разработки не только антивирусных продуктов, но и других систем компьютерной безопасности: программ для шифрования, межсетевых экранов, сетевых сканеров и др. Однако на рубеже 1999-2000 гг. руководство NAI вновь принимает решение о реанимации бренда McAfee и линейка антивирусных продуктов компании получает свое старое имя.

1998

Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в интернет (семейство PSW), и несколько утилит скрытого администрирования (Backdoor). Зафиксированы инциденты с зараженными компакт-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами CIH и Marburg. В частности, компакт-диски, сопровождавшие английскую, словенскую, шведскую, а позднее и итальянскую редакции журнала PC Gamer содержали Marburg. Этот же вирус содержался в программе электронной регистрации компакт диска MGM Interactive под названием Wargames PC. В конце сентября был обнаружен факт присутствия вируса AutoStart на компакт дисках с дистрибутивом новой версии Corel DRAW 8.0 для Mac OS.

Начало года: Эпидемия целого семейства вирусов Win32.HLLP.DeTroie, не только заражающих выполняемые файлы Windows32, но и способных передать своему "хозяину" информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франкоговорящие страны.

В феврале зафиксировано появление нового типа вируса для документов Excel - Excel4.Paix (или Formula.Paix). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. Позже, в этом же месяце, зарегистрированы Win95.HPS и Win95.Marburg - первые полиморфные Windows32-вирусы, обнаруженные к тому же "в живом виде". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.

В марте был обнаружен AccessiV - первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами Word.Concept и Excel.Laroux, он не стал, поскольку все уже привыкли к тому, что приложения MS Office одно за другим становятся жертвами компьютерных вирусов. Примерно в то же время было зафиксировано появление Cross -первого многоплатформенного макро-вируса, заражающего документы одновременно двух приложений MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-приложения в другое. Наиболее заметным из них стал "Triplicate" (также известный под именем "Tristate"), способный заражать Word, Excel и PowerPoint.

Май 1998: вирус "RedTeam", который стал первым вирусом, заражающим EXE-файлы Windows, и распространяющимся по электронной почте при помощи программы Eudora.

Июнь: эпидемия вируса Win95.CIH, ставшая сначала массовой, а затем глобальной - сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные электронные конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных веб-серверов - они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов "популярности" вирус "подвинул" таких вирусных суперзвезд, как Word.CAP и Excel.Laroux. Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы. Исключительно сложные процедуры работы CIH с оперативной памятью потребовали от разработчиков антивирусов значительных усилий по модернизации "движков" своих продуктов.

Август 1998: появление нашумевшего BackOrifice (Backdoor.BO) - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за BackOrifice появились несколько других аналогичных программ: NetBus, Phase и прочие.

Также в августе появился первый вирус, заражающий выполняемые модули Java - Java.StangeBrew. Данный вирус не представлял какой-либо опасности для пользователей интернета, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре файлов с веб-серверов.

Ноябрь 1998: VBScript.Rabbit - интернет-экспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты Visual Basic (VBS-файлы), которые активно применяются при написании веб-страниц. Тогда же "Лаборатория Касперского" выпустила обширный обзор о потенциальной опасности VBS-вирусов, однако многие специалисты поспешили заклеймить компанию "нарушителей спокойствия" и назвали этот шаг возмутительным нагнетанием вирусной истерии среди пользователей. Через полтора года, в мае 2000 г., когда грянула глобальная эпидемия скрипт-вируса LoveLetter, стало ясно, что прогноз в точности сбылся. Сейчас этот тип вирусов прочно удерживает первое место в списке наиболее распространенных и опасных вирусов.

Логическим следствием развития VBScript-вирусов стало появление полноценного HTML-вируса - HTML.Internal. Становится очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, веб-сервера и/или активно распространяющегося по электронной почте.

Жертвой компьютерных вирусов становится еще одно приложение из состава MS Office. Им стала популярная программа для создания презентаций - PowerPoint. В декабре 1998 г. неизвестным выпускается первый вирус этого типа - "Attach". За ним немедленно следуют два других - "ShapeShift" и "ShapeMaster", авторство которых, по всей видимости, принадлежит одному и тому же лицу. Появление PowerPoint-вирусов вызвало очередную головную боль у производителей антивирусных программ. Файлы этого приложения используют формат OLE2, что определяет возможность применения механизмов поиска вирусов в .doc- и .xls- файлах.

В январе журнал Virus Bulletin начинает новый проект VB 100% - регулярное тестирование антивирусных продуктов на предмет обнаружения ими 100% вирусов, выявленных в "диком виде". На данный момент VB 100% является одним из наиболее уважаемых независимых тестов, показывающих качество "родословной" антивирусных пакетов, т.е. насколько они стабильно показывают 100% эффективность в борьбе с вирусами, имеющими реальное хождение среди пользователей.

Произошли также заметные перестановки в антивирусном мире. В мае Symantec и IBM объявляют об объединении усилий в разработке антивирусных продуктов: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus прекращает свое существование. В конце сентября Symantec объявляет о выкупе антивирусного бизнеса корпорации Intel (LANDesk Virus Protect). Спустя всего две недели Symantec потрясает антивирусную индустрию еще одним приобретением - на этот раз компании Quarterdeck за $65 миллионов, в арсенале которой помимо утилит общего назначения также присутствовали продукты для защиты от вирусов (ViruSweep).

Такая агрессивная экспансия не могла остаться незамеченной другим американским антивирусным гигантом NAI, который 13 августа объявил о поглощении одного из своих главных конкурентов, английской компании Dr.Solomon's. Последний был куплен за рекордную сумму в $640 миллионов путем обмена акций. Данное событие вызвало настоящий шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей-продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.

Интересен и факт приобретения в декабре фирмой Aladdin Knowledge Systems известного производителя оборудования и программ для компьютерной безопасности, израильской компании EliaShim, разработчика линейки антивирусных продуктов eSafe.

21 декабря произошел курьезный случай с публикацией в газете The New York Times. Ее автор предупреждал пользователей о появлении нового компьютерного вируса для MS Word, распространяющегося по электронной почте и уже выведшего из строя несколько компьютерных сетей. Как позже стало известно, этим страшным вирусом оказался давно известный макро-вирус "Class".

1999

Как ни странно, но наиболее значительным событием начала года стало отнюдь не появление нового компьютерного вируса, а объявление о, по всей видимости, долго готовившейся покупке софтверным гигантом Computer Associates (CA) австралийского разработчика антивирусных программ Cybec. Таким образом, в "копилке" CA, вслед за поглощенным в конце 1996 г. Cheyenne Software, оказался еще один антивирусный проект.

Однако компьютерные вирусы не заставили себя ждать, и в январе разразилась глобальная эпидемия интернет-червя Happy99 (также известного как Ska). По сути дела это был первый современный червь, открывший новый этап в развитии вредоносных программ. Он использовал для своего распространения программу MS Outlook, ставшую корпоративным стандартом в США и многих странах Европы.

Практически одновременно с этим был обнаружен весьма интересный макро-вирус для MS Word - Caligula. Он просматривает системный реестр, находит ключи, соответствующие популярной программе шифрования PGP (Pretty Good Privacy), вычисляет каталоги возможного нахождения программы и производит в них поиск базы данных ключей шифрования PGP версии 5.x. В случае обнаружения этой базы данных, вирус инициирует FTP-сессию и незаметно для пользователя передает на удаленный компьютер найденный файл.

В конце февраля были зарегистрированы инциденты с участием "SK" - первого вируса, заражающего файлы помощи Windows (HLP).

26 марта мир был потрясен известием о глобальной эпидемии вируса "Melissa" - первого макро-вируса для MS Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Подобно "Happy99" вирус "Melissa" делал это абсолютно незаметно для пользователя и, что самое страшное, от его имени. К счастью, этот макро-вирус не представлял собой ничего сложного, и антивирусные разработчики оперативно выпустили соответствующие дополнения к своим программам. Эпидемия была достаточно быстро погашена. Несмотря на это, "Melissa" все же успела принести ощутимый ущерб компьютерным системам мира: такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты. По разным оценкам совокупный ущерб от вируса варьировался от нескольких миллионов до десятков миллионов долларов США.

Правоохранительные органы США (точнее, те, которые занимаются киберпреступностью) исключительно быстро отреагировали на эпидемию "Melissa". Через некоторое время был обнаружен и арестован автор вируса, которым оказался 31-летний программист из Нью Джерси (США), некий Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и штрафу в размере 400 000 долларов США.

Не спали и правоохранительные органы на противоположном побережье Тихого океана: в Тайване. Здесь в апреле был найден автор вируса CIH (он же "Чернобыль"), которым оказался студент Тайваньского технологического института Чен Инг-Хао (CIH - его инициалы). Однако, из-за отсутствия жалоб на действия вируса со стороны местных компаний, у полиции не было оснований для ареста Чена.

7 мая вирусы вторгаются на территорию канадской корпорации Corel, точнее ее детища, графического пакета Corel DRAW!. Вирус "Gala" (также известный как GaLaDRieL), написанный на скрипт-языке Corel SCRIPT, стал первым, кто оказался способен заражать файлы как самого Corel DRAW!, так и Corel PHOTO-PAINT и Corel VENTURA.

В самом начале лета грянула эпидемия весьма опасного Интернет-червя "ZippedFiles" (также известного как ExploreZip). Он представлял собой EXE-файл, который после внедрения в систему уничтожал файлы некоторых популярных приложений. Хотя червь и не получил такого же распространения как "Melissa", оценки нанесенного им ущерба были гораздо выше. Несмотря на своевременные меры, предпринятые антивирусными компаниями по нейтрализации червя, в декабре был зарегистрирован рецидив "ZippedFiles". Отличие этой модифицированной версии заключалось лишь в том, что его тело было скомпрессировано утилитой сжатия Neolite. Таким образом, если антивирусная программа не поддерживала этот формат сжатия, червь становился для нее невидимым. А таких программ на тот момент было 100%. Лишь в январе 2000 г. в AntiViral Toolkit Pro (AVP) были интегрирована поддержка файлов, обработанных Neolite.

В августе был обнаружен интересный вирус-червь "Toadie" ("Termite"), который, помимо заражения файлов DOS и Windows, также прикреплял свои копии к письмам, отсылаемым по электронной почте при помощи программы Pegasus и пытался распространяться по каналам IRC.

Октябрь принес компьютерному сообществу еще три неприятных сюрприза. Во-первых, был обнаружен вирус "Infis", который стал первым вирусом для этой операционной системы, внедряющийся на самый высокий уровень безопасности платформы - область системных драйверов. Эта особенность делает вирус труднодоступным для лечения в памяти антивирусными программами. Во-вторых, в конце месяца антивирусные компании сообщили о первом компьютерном вирусе для MS Project. В действительности, это был многоплатформенный вирус, одинаково успешно заражавший как файлы MS Word, так и MS Project. В-третьих, проявился известный еще с июля скрипт-вирус "Freelinks", привлекший внимание вирусописателей к языку программирования Visual Basic Script (VBS) и ставший одним из предшественников печально известного вируса LoveLetter.

В ноябре мир потрясло появление нового поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал "KakWorm". Все вирусы этого типа использовали "дыру", обнаруженную в системе безопасности Internet Explorer. Несмотря на то, что Microsoft выпустила соответствующую заплатку в том же месяце, "KakWorm" до сих пор остается среди пяти наиболее распространенных вредоносных программ.

В том же месяце в США и Европе было зарегистрировано много случаев заражения Windows-вирусом FunLove.

7 декабря стал примечательным из-за обнаружения очередного творения бразильского вирусописателя по кличке "Vecna" - крайне сложного и опасного вируса "Babylonia", который также открыл новую страницу в области создания вирусов. Это был первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей. В случае, если в этом списке находился более "свежий" модуль, нежели уже установленный на зараженном компьютере, то вирус автоматически его загружал. Позднее технология удаленного самообновления была применена в червях Sonic, Hybris и многих других.

Начиная с середины года антивирусная индустрия формально разделяется на две части в соответствии с ее отношением к возможным инцидентам накануне и в первые недели после Нового Года. Одна часть усиленно продвигает идею, что компьютерный андерграунд в лице злых хакеров и вирусописателей всего мира приготовил мировому сообществу "сюрприз" в виде сотен тысяч исключительно опасных вирусов, способных потрясти основы человеческой цивилизации. Главный смысл этого послания - всем необходимо немедленно установить антивирусные продукты указанного производителя, которые, естественно, только и смогут спасти пользователей от грядущей напасти. Вторая часть антивирусных компаний, логично, противостояла первой и, в свою очередь, как могла успокаивала напуганных пользователей. Позднее, безосновательность и откровенная истеричность прозвучавших заявлений о "вирусной опасности-2000" показали свою несостоятельность и наступление 2000 года ничем не отличалось от всех остальных.

И немного о курьезах: компакт диск, сопровождавший ноябрьский номер венгерского журнала "Uj Alaplap", помимо набора полезной информации, также содержал и крайне неприятный сюрприз: одновременно два маскро-вируса для MS Word - "Class.B" и "Opey.A".

2000

Год начался неожиданно: жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы, как участники подпольной группы 29A представили вирус "Inta", который оказался первым вирусом, корректно заражающим файлы под Windows 2000. Чуть позже, появившиеся практически одновременно вирусы "Unstable" и "Radiant" поставили крест на Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления "Unstable" и "Radiant" Visio Corporation, производящая пакет Vision была куплена Microsoft.

В апреле были зафиксированы случаи заражения макро-вирусом для MS Word российского происхождения "Proverb" в офисе британского премьер-министра на знаменитой Даунинг Стрит, 10. Остается лишь надеяться, что английские власти вдоволь насладились собранием русских народных афоризмов вроде "никогда не откладывай на завтра то, что можно выпить сегодня".

А 5 мая грянула попавшая в Книгу Рекордов Гиннеса эпидемия скрипт-вируса LoveLetter. Все произошло в точности как предсказывал в ноябре 1998 г. Евгений Касперский. Наивные пользователи даже не представляли себе, что в "безобидных" файлах VBS, замаскированных под еще более безобидные TXT, может находиться исключительно опасный вирус. Сразу же после запуска он уничтожал на дисках файлы определенного расширения и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook. Открытость исходного кода скрипт-вирусов предопределила то, что на протяжении всего года на свет появлялись новые модификации вируса, так что их число на данный момент достигает уже 90.

6 июня был обнаружен "Timofonica" - первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Помимо распространения по электронной почте, вирус посылал сообщения на случайные номера мобильных телефонов испанской сотовой сети MoviStar, принадлежащей телекоммуникационному гиганту Telefonica. Более никаким образом вирус на мобильные телефоны не влиял. Несмотря на это, многие средства массовой информации поспешили назвать "Timifonica" первым "сотовым" вирусом.

Лето 2000 г. действительно выдалось жаркое, особенно применимо к компьютерным вирусам. Хотя это время считается временем отпусков как у вирусописателей, так и у антивирусных экспертов, первые, по всей видимости, решили сделать неожиданный сюрприз вторым. В июле группа Cult of Death Cow представила новую версию известной утилиты несанкционированного удаленного администрирования Back Orifice 2000 (BO2K). Это произошло на ежегодной конференции DefCon (названной в пику DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности, новая версия программы представляла никак не большую опасность, нежели ее предшественница и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой BO2K стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже видимой инсталляцией. Несмотря на это она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как "Троянец" класса "Backdoor".

В июле же появились сразу три исключительно интересных вируса. "Star" стал первым вирусом для пакета AutoCAD. "Dilber" отличился тем, что содержал коды сразу пяти вирусов, среди которых "CIH", "SK", "Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище "Шаттл, полный вирусов". Третьим стал Интернет-червь "Jer", использующий "топорный" метод проникновения на компьютер. На Web сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на человеческий фактор, т.е. что пользователь автоматически ответит 'да', чтобы отвязаться от назойливой скрипт-программы. Появление этого червя свидетельствует о вхождении в моду новой технологии "раскрутки" вируса в Интернет. Сначала червь помещается на Web сайт, а потом проводится массированная рекламная компания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто пропустит его на свой компьютер.

В августе был обнаружен "Liberty" - первая вредоносная программа класса "Троянский конь" для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске он стирал файлы, но не имел никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS - "Phage". Он представлял собой классический вирус-паразит, который вместо внедрения в заражаемые файлы стирал их и на их место записывал свой код.

В начале сентября был обнаружен первый известный компьютерный вирус ("Stream"), способный манипулировать дополнительными потоками (ADS) файловой системы NTFS. Данный вирус нельзя рассматривать как нечто, представляющее собой реальную угрозу. Гораздо большую опасность представляет сама технология проникновения в дополнительные потоки, поскольку ни один антивирусный сканер не в состоянии обнаружить там вредоносный код. К сожалению, история вызвала неадекватную реакцию у некоторых западных антивирусных компаний, которые обвинили "Лабораторию Касперского" в запугивании пользователей. Тем не менее, кроме голословных обвинений оппоненты не смогли представить сколько-нибудь вескую аргументацию в подтверждение выдвинутой ими теории безопасности дополнительных потоков NTFS. Проблема антивирусной защиты NTFS до сих пор остается насущной, поскольку с момента обнаружения Stream, всего несколько антивирусных сканеров научились искать вирусы в ADS.

В октябре появились первый вирус, срывающийся в информационных файлах PIF ("Fable") и первый вирус, написанный на скрипт-языке PHP ("Pirus"). Оба вируса на данный момент так и остались достоянием вирусных коллекций и не были обнаружены в "диком виде". Тогда же произошел громкий скандал, когда стало известно, что внутренняя сеть Microsoft была взломана и в течение нескольких месяцев открыта для неких неизвестных хакеров, предположительно из Санкт-Петербурга. Проникновение было совершено тривиальным способом, посредством сетевого червя QAZ. Курьезность ситуации придавал тот факт, что на момент обнаружения факта взлома, этот червь уже многие месяцы находился в базах данных практически всех антивирусных программ. Это обстоятельство дало основания сомневаться как в компетентности служащих Microsoft, так и, возможно, в их злом умысле. Однако, на момент написания этой книги виновник случившегося так и не был найден.

В ноябре происходит знаменательное событие: основной проект "Лаборатории Касперского", сумевшей всего за три года стать одним из основных игроков антивирусной индустрии, - семейство антивирусных продуктов AntiViral Toolkit Pro (AVP) меняет свое название на "Антивирус Касперского" (Kaspersky Anti-Virus) и принимает новый логотип.

В этом месяце также был обнаружен опасный и технологически совершенный вирус "Hybris", автором которого стал известный бразильский вирусописатель по прозвищу Vecna. Он развил идею своего первого самообновляющегося вируса "Babylonia" и учел ранее допущенные ошибки. Главным нововведением было использование как Web сайтов, так и электронных конференций (в частности alt.comp.virus) для загрузки новых модулей вируса на зараженные компьютеры. Если Web сайт можно было оперативно закрыть, то электронная конференция стала идеальным вариантом для распространения обновлений - уж ее-то закрыть не так просто. Кроме того, для идентификации настоящих вирусных модулей, т.е. действительно выпущенных автором, Hybris использовал 128-битных электронный ключ RSA для их шифрования.

В целом в 2000 году электронная почта еще раз доказала, что именно она стала основным средством транспортировки вредоносных кодов. Согласно статистике службы технической поддержки "Лаборатории Касперского", около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Этот год также был отмечен всплеском активности создателей вирусов к Linux. В целом было зарегистрировано появление 37 новых вирусов и троянских программ для этой операционной системы. Таким образом, общее количество Linux-вирусов достигло 43, причем только за 2000 г. их рост составил более чем 7 раз. Наконец, произошли существенные изменения в вирусных "чартах". Если раньше все верхние места наиболее распространенных вирусов прочно удерживали макро-вирусы, то в 2000 г. их место заняли скрипт-вирусы.

2001

2001 год был отмечен определенными успехами антивирусных компаний в разработке новых и совершенствовании существующих технологий защиты от вредоносных программ. В то же время в этом году наблюдался дальнейший рост числа пострадавших от вирусных атак.

Основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, CodeRed, Nimda, Aliz, BadtransII и др.). Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam.

Традиционное доминирование традиционных файловых вирусов постепенно сходит на нет и основным способом размножения для вредоносных программ становится передача своего тела по локальным и глобальным сетям.

Ошибки в системах безопасности

Брешь - это ошибка в обычной программе, через которую злоумышленник может незаметно внедрить на компьютер вредоносный код.

Опасность вирусов, использующих бреши, в том, что их активация происходит автоматически и практически не зависит от действий пользователя. Например, для заражения червем Nimda достаточно открыть письмо даже в окне предварительного просмотра. Червь CodeRed не требует и такого вмешательства - он самостоятельно находит через интернет уязвимые компьютеры и заражает их. По статистике 'Лаборатории Касперского' доля подобных вредоносных программ в общем объеме вирусных инцидентов 2001 года составила около 55%.

Столь пристальное внимание компьютерного андерграунда к брешам в системах безопасности вполне логично. Традиционный способ проникновения вируса на компьютер, при котором пользователь самостоятельно запускает зараженный файл, уже не является столь эффективным, как раньше. Учитывая это, вирусописатели начали поиск нового, более эффективного способа заражения компьютеров и нашли его в использовании уязвимостей в системах безопасности.

Электронная почта и интернет - главные источники вирусной угрозы

По статистике "Лаборатории Касперского" в 2001 г. количество вирусных атак через электронную почту увеличилось по сравнению с 2000 г. на 5% и достигло почти 90% от общего числа инцидентов.

Наряду с этим наблюдался рост числа заражений компьютеров через интернет. Ранее подавляющее большинство таких случаев происходило, когда пользователи загружали непроверенные файлы с веб-сайтов и запускали их на своих компьютерах. 2001 год стал переломным в этом отношении. Все больше инцидентов стало происходить при намеренном или случайном посещении инфицированных сайтов. Вредоносная программа подменяет одну из страниц сайта, так что при ее посещении компьютер может быть заражен: либо посредством использования злоумышленниками брешей в системах безопасности веб-браузеров, чаще всего Internet Explorer (бреши позволяют незаметно заразить компьютер в момент просмотра инфицированной страницы), либо при помощи автоматического предложения пользователю загрузить некую программу, которая оказывается вредоносной.

В 2001 г. стала также очевидной уязвимость таких популярных среди пользователей всего мира интернет-технологий, как многочисленные интернет-пейджеры (ICQ, Instant Messenger), которые были использованы для распространения целого ряда вредоносных программ. Жертвой сетевого червя Mandragore стала сеть обмена данными Gnutella. Наконец, огромное количество червей было запрограммировано на распространение по каналам IRC.

Атака на Linux продолжается

2001 г. ознаменовался появлением большого количества вредоносных программ, нацеленных на операционную систему Linux. Первой ласточкой стал сетевой червь Ramen, обнаруженный 19 января и за считанные дни поразивший большое количество крупных корпоративных систем. В число жертв червя попали Национальная администрация по аэронавтике и космосу США (НАСА), Техасский университет A&M, Тайваньский производитель компьютерного оборудования Supermicro.

Далее процесс развивался лавинообразно. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты. Практически все вредоносные программы для этой операционной системы использовали известные бреши в системах безопасности Linux. Их широкое распространение указывает на неготовность компаний противостоять новой угрозе. Считая Linux абсолютно защищенной системой, пользователи недостаточно ответственно отнеслись к необходимости своевременной установки заплаток и повсеместного внедрения антивирусных программ. В результате многие из них оказались жертвами Linux-червей.

Бестелесные черви - очередной вызов антивирусной индустрии

Одним из самых неприятных сюрпризов 2001 г. стало обнаружение нового типа вредоносных кодов (CodeRed, BlueCode), способного активно распространяться и работать на зараженных компьютерах без использования файлов. В процессе работы такие программы существуют исключительно в системной памяти, а при передаче на другие компьютеры - в виде специальных пакетов данных.

Эта особенность создала серьезные проблемы разработчикам антивирусного ПО. Традиционные технологии (антивирусный сканер и монитор) оказались неспособными эффективно противостоять новой угрозе, поскольку их алгоритм борьбы с вредоносными программами основан именно на перехвате файловых операций. 'Лаборатория Касперского' первой решила эту проблему и создала специальный антивирусный фильтр, который в фоновом режиме проверяет все поступающие на компьютер пакеты данных и удаляет бестелесных червей.

Глобальная эпидемия сетевого червя CodeRed (по некоторым оценкам зараженными оказались более 300.000 компьютеров) подтвердила исключительную действенность технологии, используемой бестелесносными червями.

Windows-черви наступают

В 2001 г. резко изменился состав наиболее распространенных вредоносных программ. В 1999-2000 гг. безусловными лидерами всех вирусных хит-парадов были макро- и, позднее, скрипт-вирусы и черви. Однако в начале этого года ситуация начала быстро меняться, и уже осенью около 90% зарегистрированных случаев заражения компьютеров были вызваны Windows-червями.

Причина такой резкой смены обстановки заключается в разработке эффективных средств борьбы с макро- и скрипт-вирусами, способных нейтрализовать как существующие, так и потенциальные угрозы этого типа.

Вирусные мистификации

Необычайно богатым на вирусные мистификации оказался 2001 год. Уже в первые два месяца года были зафиксированы около 10 'предупреждений' о 'новом опасном вирусе', массово пересылаемых друг другу напуганными пользователями. Наиболее заметными и получившими широкое распространение стали мистификации California IBM и Girl Thing. Также большой переполох наделало заявление некоторых западных информационных агентств о том, что 14 февраля, в день Св. Валентина, случится эпидемия нового варианта червя ILoveYou. В целом же, некоторые мистификации получились настолько удачными, что спустя несколько лет предупреждающие письма все еще можно встретить с своем почтовом ящике.

По итогам 2001 года можно сказать, что:

2002

В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др.).

В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию .NET. Однако развитие событий показало, что оба вируса оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Лучшим опровержением распространенного мнения, что эта операционная система защищена от любых вредоносных программ, стал червь Slapper, который всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.

Нельзя не отметить стремительный рост так называемых коммерческих вредоносных программ, которые преследуют конкретные коммерческие цели - похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям.

Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь Klez. Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и на ближайшие два года его модификации стали завсегдатаями списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях десятки. Однако в течение 2002 года свирепствовали лишь две из десяти существующих разновидностей этого червя - Klez.H (обнаружен 17.04.2002) и Klez.E (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez.

По масштабам и продолжительности эпидемия Klez не имела себе равных. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года.

Тенденция 2001 года, когда для своего распространения черви использовали различные бреши в программных продуктах Microsoft, была продолжена в 2002 г. Все вышеназванные черви (Klez, Lentin, Tanatos), а также BadTrans - использовали для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом на них пришлось более 85% всех инцидентов.

В конце года наметилась интересная тенденция в качественном составе самых распространенных вредоносных программ. Если раньше почти 100% всех инцидентов приходилось на один, два, максимум три вируса, то начиная с сентября 2002 года ситуация коренным образом изменилась. С этого момента наблюдается так называемая диверсификация - все больше заражений приходится на вирусы, не вошедшие в хит-парады: в декабре этот показатель достиг 62%. Это свидетельствует о том, что пользователи наконец обратили внимание на главные угрозы и предприняли необходимые меры защиты. Грамотные действия пользователей повлекли за собой сокращение числа инцидентов с участием, например, Klez, Lentin и Tanatos. Однако снижения общего количества заражений отмечено не было. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ (например, Bridex). По отдельности доля заражений, вызванных каждой из них, была невелика, но в совокупности они составили достаточно внушительный объем.

Сетевые черви

Среди сетевых червей традиционно преобладали почтовые черви (прежде всего Klez и Lentin), использующие email в качестве основного транспорта для доставки на целевые компьютеры. Стало появляться все больше почтовых червей, применяющих метод прямого соединения с SMTP-сервером. Эта тенденция объясняется тем, что традиционный способ рассылки червей (например, через Outlook или другие почтовые клиенты) уже не имеет достаточных шансов на успех. Производители почтового ПО интегрировали в свои программы антивирусные модули или специальные функции для предотвращения несанкционированной рассылки каких-либо данных. Учитывая это, вирусописатели все чаще используют новые технологии распространения червей, которые обходят такой тип защиты. Другие типы червей (LAN, P2P, IRC) были практически незаметны.

Вирусы

Среди замеченных в 2002 г. компьютерных вирусов, как ни странно, больше всего себя проявили макро-вирусы. Прежде всего здесь стоит отметить Thus, TheSecond, Marker и Flop. Эти макро-вирусы для текстового редактора Microsoft Word показали удивительную живучесть. Эпидемии с их участием были зафиксированы еще в конце 90-х, но в 2002 году они пережили второе рождение: пользователи, уверенные в том, что макро-вирусы полностью сошли со сцены реальных угроз, ослабили бдительность и отключили соответствующие системы защиты. Немного отстают от лидеров Windows-вирусы. Больше всего заражений вызвали Elkern, CIH, FunLove и Spaces. Практически незаметными в течение 2002 г. оказались скрипт-вирусы и другие типы этого класса компьютерной фауны.

Компьютерные мистификации

Начавшееся в 2001 году повальное 'увлечение' мистификациями продолжилось и в 2002 году. Пользователи регулярно засыпали друг друга как старыми, так и новыми мистификациями. Наибольший резонанс имели слухи о вирусах JDBGMGR и Ace-?, а также SULFNBK, Virtual Card for You, California IBM и Girl Thing.

• электронная почта и интернет укрепили свои позиции как наиболее опасные источники вредоносных программ;
• приобрели популярность альтернативные способы рассылки вредоносных программ (ICQ, Gnutella, MSN Messenger, IRC);
• получили распространение вредоносные программы для Linux;
• появились бестелесные сетевые черви;
• в списках наиболее распространенных вредоносных программ доминировали сетевые черви для Windows, и резко снизилась доля скрипт- и макро-вирусов.