Первый полиморфный вирус вышедший в начале 1990 года

Обновлено: 18.04.2024

Начиная с 1990 года проблема вирусов окончательно утрачивает связь с научными кругами и становится достоянием рядовых программистов, преследующих личные цели.

В Болгарии открывается первая BBS ( VX BBS ), ориентированная на обмен вирусами и информацией для вирусописателей. Чуть позже начинают появляться конференции Usenet по вопросам написания вирусов.

Chameleon (начало 1990 года) — первый полиморфный вирус . Его автор , Марк Уошбурн ( Mark Washburn) за основу для написания программы взял сведения о вирусе Vienna из книги Ральфа Бюргера " Computer Viruses . The Disease of High Technologies" и добавил к ним усовершенствованные принципы самошифрации вируса Cascade - свойство изменять внешний вид как тела вируса, так и самого расшифровщика. Только в 1992 году был изобретен достаточно эффективный способ нейтрализации полиморфных вирусов - эмулятор процессора для дешифрации кодов. Эта технология является неотъемлемым атрибутом каждого современного антивирусного продукта.

DiskKiller (январь 1989 года — июль 1990 года) — этим вирусом была заражена дискета бесплатного приложения к английскому компьютерному журналу PC Today. В июле 1990 года подписчикам разошлось около 50000 экземпляров. Действие DiskKiller сводилось к уничтожению всей информации на жестком диске.

В это же время впервые были обнаружены и первые российские вирусы — Peterburg, Voronezh и ростовский LoveChild.

Несмотря на громкое заявление Питера Нортона, прозвучавшее двумя годами ранее и где он авторитетно заявлял о надуманности проблемы вирусов, в конце 1990 года вышла первая версия антивирусной программы Norton AntiVirus .

Dir_II (лето 1991 года) — вирус , использовавший принципиально новый способ заражения — link-технологию. На сегодняшний день он остается единственным представителем этого класса, который был обнаружен в диком виде.

MtE ( MuTation Engine , 1991 год) — первый известный полиморфик-генератор. Его главное предназначение — возможность интеграции в другие вирусы для обеспечения их полиморфизма. MtE поставлялся в виде готового объектного модуля и сопровождался подробной документацией.

Годом позднее, в июле 1992 года появился первый конструктор вирусов VCL ( Virus Creation Laboratory), представляющий собой графическую среду для разработки вирусов и различных троянских программ для MS DOS . Начиная с этого момента, любой человек мог легко сформировать и написать вирус .

Win.Vir (конец 1992 года) — первый вирус , поражающий исполняемые файлы Microsoft Windows 3.1. Эпидемии не вызвал и его появление осталось практически незаметным. Однако именно Win .Vir положил начало эпохи вирусов для Windows .

Далее события начинают развиваться с невероятной скоростью.

Shifter (январь 1994) — первый вирус , заражающий объектные модули (OBJ-файлы).

SrcVir (апрель 1994) — семейство вирусов, заражающих исходные тексты программ (C и Pascal ).

Следующий год запомнился инцидентом в корпорации Microsoft. В феврале 1995 года, в преддверии выпуска новой операционной системы Windows 95 была разослана демонстрационная дискета, зараженная загрузочным вирусом Form . Копии этого диска получили 160 бета-тестеров, один из которых не поленился провести антивирусную проверку.

Вслед за Microsoft отличились журналы PC Magazine (английская редакция) и Computer Life , которые разослали своим подписчикам дискеты, зараженные загрузочными вирусами Sampo и Parity_Boot соответственно.

Concept (август 1995) — первый макровирус , поражавший документы Microsoft Word .

Green Stripe (1995) — первый вирус для AmiPro, популярного в то время текстового редактора. Исходный код Green Stripe был бесплатным приложением к полуподпольному изданию Марка Людвига ( Mark Ludwig) "Underground Technology Review ".

15 ноября 1995 года Кристофер Пайл (Christopher Pile), известный под псевдонимом Black Baron, автор вирусов Queeg и Pathogen и полиморфик-генератора SMEG был приговорен к 18 месяцам тюремного заключения.

Boza (январь 1996) — первый вирус для операционной системы Microsoft Windows 95 .

Win.Tentacle (март 1996) — вызвал первую эпидемию среди пользователей Microsoft Windows 3.х.

Wazzu — вирус , ставший причиной очередного вирусного инцидента в Microsoft. Он был обнаружен в одном из документов Word на веб-сайте корпорации. Позднее Wazzu был найден также на компакт-дисках, распространенных Microsoft на выставке компьютерных технологий Orbit (г. Базель, Швейцария), а в сентябре - на компакт-дисках Microsoft Solution Provider .

Win95.Punch (декабрь 1996) — первый резидентный вирус для Windows 95 . Он загружался в систему как VxD -драйвер, перехватывал обращения к файлам и заражал их.

Linux.Bliss (февраль 1997) — первый вирус для операционной системы Linux.

ShareFun (март 1997) — первый макро- вирус для MS Word 6/7, использующий для своего распространения возможности электронной почты, в частности, почтовую программу MS Mail .

Homer (апрель 1997) — первый сетевой вирус -червь, использующий протокол передачи данных File Transfer Protocol ( FTP ).

В декабре 1997 года, вскоре после разработки технологии IRC ( Internet Relay Chat ), образовался новый класс вредоносных программ — IRC-черви .

Win95.HPS и Win95.Marburg (февраль 1998) — первые полиморфные Windows32-вирусы. Marburg известен также тем, что им были заражены компакт-диски, сопровождавшие английскую, словенскую, шведскую и итальянскую редакции журнала PC Gamer .

В июне 1998 года был обнаружен вирус тайваньского происхождения Win95.CIH, содержащий логическую бомбу на уничтожение всей информации на жестких дисках и порчу содержимого BIOS на некоторых материнских платах. Дата срабатывания программы (26 апреля) совпадала с датой аварии на Чернобыльской атомной электростанции, вследствие чего вирус получил второе имя — Чернобыль (Chernobyl). Масштабность эпидемии выяснилась 26 апреля 1999 года, когда по различным оценкам пострадало около полумиллиона компьютеров по всему миру, а общий ущерб составил сотни миллионов долларов США. Центром эпидемии стала Южная Корея, где было заражено более 300 тысяч компьютеров. В России Win95.CIH поразил не менее 100 тысяч машин.

BackOrifice, Backdoor.BO (август 1998) — первая известная утилита скрытого администрирования удаленных компьютеров. Единственное отличие этого трояна от обычных программ для удаленного управления - несанкционированная установка и запуск . Действие утилиты сводилось к скрытому слежению за системой: ссылка на троянца отсутствовала в списке активных приложений, но при этом зараженный компьютер был открыт для удаленного доступа. Фактически, открывался свободный вход на зараженные компьютеры для других вредоносных программ - впоследствии возник целый класс червей, размножение которых базировалось на оставленных BackOrifice дырах.

Во второй половине 1998 года вирусы активно начинают осваивать новые технологии: Java.StangeBrew — первый вирус , который заражал выполняемые модули Java , VBScript.Rabbit — скрипты Visual Basic (VBS-файлы), HTML.Internal — первый HTML - вирус .

1999 — 2000

Следующий период вирусной истории прошел под знаменем массовых рассылок по электронной почте.

Happy99 (также известный как Ska, январь 1999 года) — первый интернет -червь, использовавший для своего распространения программу MS Outlook .

26 марта 1999 года началась глобальная эпидемия вируса Melissa — первого макро-вируса для MS Word , сочетавшего в себе также и функциональность интернет -червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Подобно Happy99 вирус Melissa делал это абсолютно незаметно для пользователя и, что самое страшное, от его имени. Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты. По разным оценкам совокупный ущерб от вируса варьировался от нескольких миллионов до десятков миллионов долларов США.

Через некоторое время был обнаружен и арестован автор вируса Melissa, Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и к штрафу в размере 400000 долларов США.

ZippedFiles (также известный как ExploreZip, июнь 1999 года) — первый упакованный интернет -червь. Его тело было упаковано утилитой сжатия Neolite, обращаться с которой в то время антивирусные продукты не умели, что привело к эпидемии.

Bubbleboy (ноябрь 1999) — первый вирус из поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Все вирусы этого типа используют различные уязвимости в системе безопасности Internet Explorer.

Babylonia (декабрь 1999) — первый вирус -червь, который имел функции удаленного самообновления: он ежеминутно пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей.

Liberty (август 2000) — первая вредоносная программа класса троянский конь для операционной системы PalmOS карманных компьютеров Palm Pilot .

Stream (сентябрь 2000) — первый известный вирус , способный манипулировать дополнительными потоками ( ADS ) файловой системы NTFS .

Pirus (октябрь 2000) — первый вирус , написанный на скрипт -языке PHP .

Fable (октябрь 2000) — первый вирус , скрывающийся в информационных файлах PIF .

Начиная с 1990 года проблема вирусов окончательно утрачивает связь с научными кругами и становится достоянием рядовых программистов, преследующих личные цели.

В Болгарии открывается первая BBS ( VX BBS ), ориентированная на обмен вирусами и информацией для вирусописателей. Чуть позже начинают появляться конференции Usenet по вопросам написания вирусов.

Chameleon (начало 1990 года) — первый полиморфный вирус . Его автор , Марк Уошбурн ( Mark Washburn) за основу для написания программы взял сведения о вирусе Vienna из книги Ральфа Бюргера " Computer Viruses . The Disease of High Technologies" и добавил к ним усовершенствованные принципы самошифрации вируса Cascade - свойство изменять внешний вид как тела вируса, так и самого расшифровщика. Только в 1992 году был изобретен достаточно эффективный способ нейтрализации полиморфных вирусов - эмулятор процессора для дешифрации кодов. Эта технология является неотъемлемым атрибутом каждого современного антивирусного продукта.

DiskKiller (январь 1989 года — июль 1990 года) — этим вирусом была заражена дискета бесплатного приложения к английскому компьютерному журналу PC Today. В июле 1990 года подписчикам разошлось около 50000 экземпляров. Действие DiskKiller сводилось к уничтожению всей информации на жестком диске.

В это же время впервые были обнаружены и первые российские вирусы — Peterburg, Voronezh и ростовский LoveChild.

Несмотря на громкое заявление Питера Нортона, прозвучавшее двумя годами ранее и где он авторитетно заявлял о надуманности проблемы вирусов, в конце 1990 года вышла первая версия антивирусной программы Norton AntiVirus .

Dir_II (лето 1991 года) — вирус , использовавший принципиально новый способ заражения — link-технологию. На сегодняшний день он остается единственным представителем этого класса, который был обнаружен в диком виде.

MtE ( MuTation Engine , 1991 год) — первый известный полиморфик-генератор. Его главное предназначение — возможность интеграции в другие вирусы для обеспечения их полиморфизма. MtE поставлялся в виде готового объектного модуля и сопровождался подробной документацией.

Годом позднее, в июле 1992 года появился первый конструктор вирусов VCL ( Virus Creation Laboratory), представляющий собой графическую среду для разработки вирусов и различных троянских программ для MS DOS . Начиная с этого момента, любой человек мог легко сформировать и написать вирус .

Win.Vir (конец 1992 года) — первый вирус , поражающий исполняемые файлы Microsoft Windows 3.1. Эпидемии не вызвал и его появление осталось практически незаметным. Однако именно Win .Vir положил начало эпохи вирусов для Windows .

Далее события начинают развиваться с невероятной скоростью.

Shifter (январь 1994) — первый вирус , заражающий объектные модули (OBJ-файлы).

SrcVir (апрель 1994) — семейство вирусов, заражающих исходные тексты программ (C и Pascal ).

Следующий год запомнился инцидентом в корпорации Microsoft. В феврале 1995 года, в преддверии выпуска новой операционной системы Windows 95 была разослана демонстрационная дискета, зараженная загрузочным вирусом Form . Копии этого диска получили 160 бета-тестеров, один из которых не поленился провести антивирусную проверку.

Вслед за Microsoft отличились журналы PC Magazine (английская редакция) и Computer Life , которые разослали своим подписчикам дискеты, зараженные загрузочными вирусами Sampo и Parity_Boot соответственно.

Concept (август 1995) — первый макровирус , поражавший документы Microsoft Word .

Green Stripe (1995) — первый вирус для AmiPro, популярного в то время текстового редактора. Исходный код Green Stripe был бесплатным приложением к полуподпольному изданию Марка Людвига ( Mark Ludwig) "Underground Technology Review ".

15 ноября 1995 года Кристофер Пайл (Christopher Pile), известный под псевдонимом Black Baron, автор вирусов Queeg и Pathogen и полиморфик-генератора SMEG был приговорен к 18 месяцам тюремного заключения.

Boza (январь 1996) — первый вирус для операционной системы Microsoft Windows 95 .

Win.Tentacle (март 1996) — вызвал первую эпидемию среди пользователей Microsoft Windows 3.х.

Wazzu — вирус , ставший причиной очередного вирусного инцидента в Microsoft. Он был обнаружен в одном из документов Word на веб-сайте корпорации. Позднее Wazzu был найден также на компакт-дисках, распространенных Microsoft на выставке компьютерных технологий Orbit (г. Базель, Швейцария), а в сентябре - на компакт-дисках Microsoft Solution Provider .

Win95.Punch (декабрь 1996) — первый резидентный вирус для Windows 95 . Он загружался в систему как VxD -драйвер, перехватывал обращения к файлам и заражал их.

Linux.Bliss (февраль 1997) — первый вирус для операционной системы Linux.

ShareFun (март 1997) — первый макро- вирус для MS Word 6/7, использующий для своего распространения возможности электронной почты, в частности, почтовую программу MS Mail .

Homer (апрель 1997) — первый сетевой вирус -червь, использующий протокол передачи данных File Transfer Protocol ( FTP ).

В декабре 1997 года, вскоре после разработки технологии IRC ( Internet Relay Chat ), образовался новый класс вредоносных программ — IRC-черви .

Win95.HPS и Win95.Marburg (февраль 1998) — первые полиморфные Windows32-вирусы. Marburg известен также тем, что им были заражены компакт-диски, сопровождавшие английскую, словенскую, шведскую и итальянскую редакции журнала PC Gamer .

В июне 1998 года был обнаружен вирус тайваньского происхождения Win95.CIH, содержащий логическую бомбу на уничтожение всей информации на жестких дисках и порчу содержимого BIOS на некоторых материнских платах. Дата срабатывания программы (26 апреля) совпадала с датой аварии на Чернобыльской атомной электростанции, вследствие чего вирус получил второе имя — Чернобыль (Chernobyl). Масштабность эпидемии выяснилась 26 апреля 1999 года, когда по различным оценкам пострадало около полумиллиона компьютеров по всему миру, а общий ущерб составил сотни миллионов долларов США. Центром эпидемии стала Южная Корея, где было заражено более 300 тысяч компьютеров. В России Win95.CIH поразил не менее 100 тысяч машин.

BackOrifice, Backdoor.BO (август 1998) — первая известная утилита скрытого администрирования удаленных компьютеров. Единственное отличие этого трояна от обычных программ для удаленного управления - несанкционированная установка и запуск . Действие утилиты сводилось к скрытому слежению за системой: ссылка на троянца отсутствовала в списке активных приложений, но при этом зараженный компьютер был открыт для удаленного доступа. Фактически, открывался свободный вход на зараженные компьютеры для других вредоносных программ - впоследствии возник целый класс червей, размножение которых базировалось на оставленных BackOrifice дырах.

Во второй половине 1998 года вирусы активно начинают осваивать новые технологии: Java.StangeBrew — первый вирус , который заражал выполняемые модули Java , VBScript.Rabbit — скрипты Visual Basic (VBS-файлы), HTML.Internal — первый HTML - вирус .

1999 — 2000

Следующий период вирусной истории прошел под знаменем массовых рассылок по электронной почте.

Happy99 (также известный как Ska, январь 1999 года) — первый интернет -червь, использовавший для своего распространения программу MS Outlook .

26 марта 1999 года началась глобальная эпидемия вируса Melissa — первого макро-вируса для MS Word , сочетавшего в себе также и функциональность интернет -червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Подобно Happy99 вирус Melissa делал это абсолютно незаметно для пользователя и, что самое страшное, от его имени. Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты. По разным оценкам совокупный ущерб от вируса варьировался от нескольких миллионов до десятков миллионов долларов США.

Через некоторое время был обнаружен и арестован автор вируса Melissa, Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и к штрафу в размере 400000 долларов США.

ZippedFiles (также известный как ExploreZip, июнь 1999 года) — первый упакованный интернет -червь. Его тело было упаковано утилитой сжатия Neolite, обращаться с которой в то время антивирусные продукты не умели, что привело к эпидемии.

Bubbleboy (ноябрь 1999) — первый вирус из поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Все вирусы этого типа используют различные уязвимости в системе безопасности Internet Explorer.

Babylonia (декабрь 1999) — первый вирус -червь, который имел функции удаленного самообновления: он ежеминутно пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей.

Liberty (август 2000) — первая вредоносная программа класса троянский конь для операционной системы PalmOS карманных компьютеров Palm Pilot .

Stream (сентябрь 2000) — первый известный вирус , способный манипулировать дополнительными потоками ( ADS ) файловой системы NTFS .

Pirus (октябрь 2000) — первый вирус , написанный на скрипт -языке PHP .

Fable (октябрь 2000) — первый вирус , скрывающийся в информационных файлах PIF .

Dr.Web вряд ли был бы создан, если бы до этого не возникли первые вирусы, которые, в свою очередь, не появились бы, не будь для них среды существования — то есть, компьютеров и компьютерных сетей.

Идеи витали в воздухе.

Neiman

benford

Первые вирусы



I`M THE CREEPER: CATCH ME IF YOU CAN

Но она уже умела самостоятельно распространяться по сети, став первым сетевым вирусом в истории.

Она же породила и первый антивирус — программу Reaper, являющуюся по сути таким же сетевым вирусом. Reaper распространялась по сетям, никак себя не проявляя, а если ей удавалось найти на компьютере The Creeper — она его стирала.

Вирусы распространяются

А это уже серьезно



К середине 80-х годов широкое распространение получили компьютеры IBM PC, что стало одной из причин возникновения вирусных эпидемий.

Первой эпидемией компьютерных вирусов можно считать произошедшую в 1987 году эпидемию достаточно безвредного вируса Brain, который за год своего существования поразил множество компьютеров по всему миру, хотя изначально создавался для определения уровня компьютерного пиратства в Пакистане.

Исследования начинаются

1980

1983

Незадолго до Dr.Web

Д.Н. Лозинский

Дмитрий Николаевич Лозинский — один из тех, кто определил развитие отечественного программирования и стоял у истоков первых российских антивирусных решений.

полиморфные вирусы

В начале 1990 года все антивирусные компании встретились с довольно серьезным противником. Дело в том, что с появлением антивирусов, спокойная жизнь вирусам и не снится. Но жить и существовать они хотят. Поэтому им необходимо постоянно совершенствоваться и все больше и больше усложнять процесс своего поиска и удаления. Именно поэтому мир увидел стелс-вирусы, которые всеми доступными способами пытаются уйти от антивирусов. Так же одной из попыток обойти антивирусы становится выход первого полиморфного вируса.

Как происходит обнаружение вируса антивирусными программами?

Обнаружение чего бы то не было происходит приблизительно одинаково. Нужно удостовериться в том, что это искомый объект. А у каждого объекта есть характерные признаки. Такими признаками могут являться действия, производимые вирусом, но в основном, характерными признаками являются весь код вируса либо какая-то его часть. На основе такой информации и составляются сигнатуры вирусов, используя которые антивирус и ищет вредоносные программы, а находя, удаляет.

Что такое полиморфные вирусы?

Класс полиморфных вирусов содержит в себе те компьютерные вирусы, которые тем или другим методом усложняют или делают невозможным опознать вирус. Такие вирусы постоянно меняют свой код, шифруют его. Даже модуль изменения кода тоже подвергается постоянным изменениям. И расшифровщик, кстати, тоже.

Изменениям могут подвергаться куски кода, которые могут быть заменены аналогичным участком. Ну а самый легкий вариант, это добавлять в код разный мусор. То есть код, который не имеет никакого значения и никак не изменит основу. Например, если на протяжении всего кода высчитывать сумму чисел от 1 до 1000, а в следующий раз составить все возможные слова начинающие на буквы J и имеющие длину в 5 символов, то ничего страшного не случиться. А вот антивирус не сможет опознать вирус, так как невозможно найти какой-либо характерный признак. В этом и заключается сильная сторона полиморфного вируса.

История создания первого полиморфного вируса

Вот до такого шедевра додумался программист Марк Уошбурн, который и стал автором первого полиморфного вируса, полное имя которого Chameleon.1260. 1260 — это размер оригинального тела вируса, в байтах. Основой для данного вируса стала книга о вирусах, которую прочитал Марк, и сведения об известном вирусе Vienna.

Полиморфные вирусы в нынешнее время

В настоящее время антивирусные программы с успехом могут опознать и удалить полиморфные вирусы. Но полиморфизм у вирусов может достигать и таких масштабов, что компьютеры, зараженные ими, уже невозможно вылечить. Поэтому, будьте осторожны и постоянно обновляйте свою антивирусную программу.

Читайте также: