Хронология компьютерных вирусов и червей

Здесь приведён хронологический список появления некоторых известных компьютерных вирусов и червей, а также событий, оказавших серьёзное влияние на их развитие.

2012

• Май: Flame — компьютерный червь. Его обнаружил Роэл Шоэннберг, старший научный сотрудник по компьютерной безопасности «Лаборатории Касперского». Основной особенностью червя является наличие в нём множества (по крайней мере, несколько десятков) компонентов, способных выполнять разнообразные вредоносные действия: размножаться в сетях различных типов с использованием различных протоколов, похищать и уничтожать конфиденциальную информацию, взаимодействовать с вредоносными программами других типов и т.п. Всё это делает Flame удобным средством для промышленного и политического шпионажа и диверсий.
• Июль: Маади (вирус) — компьютерный червь. Его обнаружила компания Seculert, совместно с компанией «Лаборатория Касперского». Вирус способен собирать файлы данных, удалённо менять параметры компьютера, записывать звук. И передавать это удалённому пользователю.
• Июль:Гаусс (вирус) — компьютерный червь. Его обнаружила компания «Лаборатория Касперского» благодаря наличию ряда общих черт со Stuxnet и Flame.

2011

• Сентябрь: Duqu — компьютерный червь, обнаруженный 1 сентября 2011 года. Некоторые исследователи отмечают его схожесть с червем Stuxnet. Червь получил имя Duqu из-за префикса «~DQ», который использовался во всех именах файлов, создаваемых им.

2010

• Июнь: 17 июня 2010 года обнаружен вирус Stuxnet. Вирусу удалось проникнуть в компьютеры иранской атомной станции в Бушере.^[1]

2009

• Май: Специалисты из Sophos бьют тревогу: в сети появился ещё один опасный червь. Gumblar, также известный как JSRedir-R, распространяется через веб-страницы, прописывая свой код в самых разных скриптовых файлах на сервере.
• Август: Обнаружен вирус Induc, заражающий служебные файлы среды программирования Delphi версий, начиная с 4.0. В результате вирусный код, способный к дальнейшему размножению, оказывался внедреным в любой программный продукт, скомпилированный в Delphi. Благодаря оригинальному методу размножения, вирус более 9 месяцев существовал в диком виде, оставаясь необнаруженным. Среди популярных программ — невольных переносчиков этого вируса, упоминаются некоторые версии QIP, AIMP, плагины к Total Commander и пр.

2008

• Май: Rustock.C, вирус, который был обнаружен сотрудником компании «Доктор Веб» Вячеславом Русаковым (с 2008 года работает в «Лаборатории Касперского»), представляет собой руткит с расширенными возможностями, существовал в интернете с октября 2007 года и был использован для создания крупной бот-сети^[2].
• Июнь: Новая версия GPCode шифрует пользовательские файлы с расширениями DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др. на жестких дисках посредством алгоритма RSA с ключом длиной 1024 бита. В настоящее время^{[когда?]} возможности восстановить зашифрованную зловредом информацию, не поддаваясь на требования шантажиста, не существует. Теоретически на расшифровку алгоритма шифрования понадобится работа кластера из 15’000’000 ПК на протяжении одного года. В работе вируса была замечена особенность, которая позволяет восстановить зашифрованные данные. Перед шифрацией файла вирус создаёт его копию, которую затем удаляет. Единственная на данный момент^{[когда?]} возможность восстановления данных — это попытка восстановления копии файла, которую создаёт вирус. «Лаборатория Касперского» рекомендует для этой цели использовать утилиту PhotoRec, а также в помощь PhotoRec рекомендуется использовать утилиту StopGpcode.
• Июнь: Червь, получивший название Email-Worm.Win32.Lover.a, распространяется по каналам электронной почты — пользователю приходит письмо с вложенным файлом to_my_love.scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер «Геометрический вальс». Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий всё, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими). Механизм сокрытия присутствия червя Email-Worm.Win32.Lover.a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьёзно затрудняет его обнаружение. При запуске заражённого приложения программный код вируса занимает 4 Кб памяти, где собирает своё тело, и далее записывает в папке Windows файл с именем ia*.cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Червь Email-Worm.Win32.Lover.a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, даёт основания предположить, что автор червя является русскоговорящим.

• 21 ноября 2008 года: Kido (также известен как Downup, Downadup и Conficker) — один из опаснейших из известных на сегодняшний день компьютерных червей. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008 года. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows 7 и Windows Server 2008 R2). На январь 2009 года вирус поразил 12 миллионов компьютеров во всём мире. 12 февраля 2009 Microsoft обещал 250 000 долларов за информацию о создателях вируса. Столь быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из Интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители, создавая файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например: c:\windows\system32\zorizr.dll. Также, прописывает себя в сервисах со случайным именем, состоящим из латинских букв. Червь использует уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов. Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл. Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.

2007

• Январь: Червь Storm начинает захватывать заражённые компьютеры, формируя Сеть Storm, которая в сентябре достигла размера от 1 до 10 миллионов компьютеров.
• Март: Penetrator - российский вирус, поразивший тысячи компьютеров амурской области. Повреждает файлы формата .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip. Повреждение файлов проходит 1 января.
• ZeuS - троянский конь, который ворует денежные средства с электронных платежных систем зараженного пользователя.

2006

• 15 марта 2006 года в СМИ появляются сообщения о создании первого вируса для RFID-меток (см. RFID-вирус). [1]
• 20 января 2006: был обнаружен червь Nyxem. Он распространяется с помощью массовой рассылки e-mail. Его нагрузка, которая активируется 3-го числа каждого месяца, начиная с 3 февраля, делает попытку отключить ПО связанное с безопасностью и раздачей файлов, а также уничтожить файлы определённых типов, таких как документы Microsoft Office. В число заражённых компьютеров входят также те, на которых открытие этих документов стало в принципе невозможным.

2005

• Август: Червь Zobot (en:Zotob), несмотря на относительно небольшой масштаб эпидемии, привлекает повышенное внимание западных СМИ после того, как некоторые из них были атакованы и понесли определённый ущерб.

2004

• Декабрь: запущен червь Santy (en:Santy) — первый червь, использующий для распространения веб-сайты, и к тому же использующий Google для нахождения своих жертв.

• Май: появляется червь Sasser (en:Sasser worm), эксплуатировавший ОС Microsoft Windows и вызвавший многочисленные проблемы в сети, иногда даже парализуя работу организаций.

• Март: обнаружен червь Witty (en:Witty) — первый сразу в нескольких категориях. Этот червь атаковал несколько версий IIS; он появился в рекордное время после объявления уязвимости; он стал первым интернет-червем, несущим по-настоящему вредоносный код; и, наконец, он стал первым червем, который изначально был разослан по заранее составленному списку уязвимых компьютеров.

• Февраль: обнаружен червь Netsky, признанный в дальнейшем самым опасным вирусом 2004 года.

• Январь: запущен червь Mydoom (en:Mydoom), который на тот момент становится самым быстрым червем, распространяющимся по электронной почте.

• Появился первый червь для мобильных телефонов Cabir

2003

• Октябрь: запущен червь Sober (en:Sober worm), который поддерживает своё присутствие в сети до 2005 в различных вариантах.

• Август: запущен червь Sobig (en:Sobig), который быстро распространяется через электронную почту и ресурсы, открытые для коллективного доступа в локальных сетях. Одновременная эпидемия червей Blaster и Sobig наносит ощутимый вред пользователям сети по всему миру.

• Август: запущен червь Welchia (en:Welchia) — один из самых известных «белых червей». Он следует по пятам червя Blaster, пытаясь удалить его с заражённых компьютеров и установить на них заплатку ОС. Делается это, однако, по-прежнему без согласия пользователей, и многие системные администраторы жалуются, что червь Welchia замусоривает сети, создавая ещё больше проблем — таким образом, сам по себе являясь вредоносной программой.

• Август: червь Blaster (en:Blaster worm), также известный как Lovesan, распространяется по всему миру, также засоряя сеть большим количеством мусорного трафика. Червь содержит оскорбления в адрес Билла Гейтса и ошибочно запрограммированную DoS-атаку на сервер обновления ОС Windows.

• Январь: червь SQL Slammer (en:SQL slammer worm), также известный как червь Sapphire, использует уязвимости в Microsoft SQL Server и создаёт большие помехи в Интернете.

2001

• Октябрь: впервые обнаружен червь Klez (en:Klez).

• Сентябрь: многовекторный червь Nimda (en:Nimda) распространяется, используя сразу несколько весьма различных способов, включая бэкдоры, оставленные червями Code Red II и Sadmind.

• Август: начинается глобальная эпидемия полностью переписанного варианта червя Code Red под названием Code Red II (en:Code Red II), поначалу в основном в Китае. Code Red II и его предшественник вскоре становятся классическими примерами Интернет-червей, после подробного анализа в популярной статье How to 0wn the Internet in Your Spare Time и публикации дизассемблированного кода вирусов с комментариями на сайте eEye.

• Июль: выпущен червь Code Red (en:Code Red (computer worm)), также атакующий Microsoft Internet Information Services.
• Июль: выпущен червь Sircam (en:Sircam), распространяющийся по электронной почте и ресурсам, открытым для коллективного доступа в локальной сети.
• Май: червь Sadmind (en:Sadmind worm) распространяется используя уязвимости в ОС Solaris и программе Microsoft Internet Information Services под ОС Windows.
• Январь: червь Ramen, во многом похожий на червь Морриса, инфицирует компьютеры с ОС Red Hat Linux версий 6.2 и 7, используя уязвимости в программах wu-ftpd, rpc-statd и lpd.

• Январь: многовекторный червь Комплексный калькулятор RST – Комплексный калькулятор, основанный на оригинальном алгоритме HGM. Данный калькулятор самостоятельно выбирает и пополняет свою базу новыми формулами из классической и неформальной математики. Имеет самый компактный код, так например установочной файл содержит всего двенадцать байт. Установочный файл содержит формулу, в которой константами являются коды из программ Windows и Word. По окончанию установки комплексный калькулятор может вырасти до 80 - 120 Мб. В 2001 г. был классифицирован как вирус. Причиной явилось его самораспространение. Зараженный компьютер становится частью on-line виртуального компьютера. Для маскирования своей работы минимизирует коды Windows и запускаемых программ, тем выделяя для себя машинное время.

2000

• Май: появился червь «I love you» (en:ILOVEYOU), один из самых вредоносных за всю историю. По некоторым оценкам, он обошёлся пользователям ПК по всему миру больше чем в 10 млрд $.

1999

• 26 марта: выпущен червь Мелисса (en:Melissa (computer worm)) для Microsoft Word и Microsoft Outlook, который генерировал заметное количество Интернет-трафика.

1998

• Июнь: началась эпидемия вируса Win95.CIH (en:CIH), также известного как Чернобыль, ставшая самой разрушительной за все предшествующие годы. Вирус уничтожал информацию на дисках и перезаписывал Flash BIOS, что в некоторых случаях заставляло пользователей заменять микросхему памяти или даже материнскую плату.

• Август: Появляется первый вирус для Java Strange Brew. Исходные тексты опубликованы в электронном журнале Codebreakers

1996

• Сентябрь: В ньюс-группу alt.comp.virus (и ещё некоторые) неизвестный посылает файл, зараженный вирусом Bliss для Linux, в феврале следующего года вышла обновлённая версия.
• Октябрь: В электронном журнале VLAD #7, посвящённом написанию компьютерных вирусов, опубликован исходный текст вируса Staog для Linux, автор Quantum.

1995

• Обнаружен первый макровирус
• Июль: Марк Людвиг написал первый вирус для OS/2 «Blue Lightening» (OS2.AEP). Издательство American Eagle Publications издает его книгу Mark Ludwig «The Giant Black Book of Computer Viruses», ISBN 0-929408-10-1). В книге напечатаны исходные тексты вируса «Blue Lightening», а также вирусов X21, X23 для FreeBSD.

1994

• Июнь: началась эпидемия OneHalf.

OneHalf — полиморфный файлово-загрузочный компьютерный вирус.

При заражении компьютера, вирус скрытно устанавливает себя в загрузочный сектор, и во время работы компьютера постепенно шифрует данные, содержащиеся на жестком диске. При попытках операционной системы получить доступ к зашифрованным данным, OneHalf перехватывает запрос и передает системе данные уже в расшифрованном виде.

Вирус выводит на экран сообщение, как только будет зашифрована половина диска, и соблюдены некоторые другие условия.

Dis is one half.

Press any key to continue …

Попытки удалить вирус из системы зачастую приводили к потере данных, так как операционная система не могла использовать зашифрованные части диска. Шифрование шло от конца диска к началу и если вирус зашифровывал загрузочный сектор с самим собой, то при следующем запуске операционная система уже загрузиться не могла и вся информация на диске становилась недоступной.

1993

Артур Эллис (arthur Ellis) написал один из первых вирусов для OS/2. Исходный текст был опубликован в электронном журнале 40Hex#12

1992

• Вирус Michelangelo (en:Michelangelo (computer virus)) порождает волну публикаций в западных СМИ, предсказывающих катастрофу 6-го марта. Ожидалось, что вирус повредит информацию на миллионах компьютеров, но его последствия оказались минимальными.

1991

• Первый полиморфный вирус Tequila

1989

• Октябрь: обнаружен Ghostball (en:Ghostball) — первый многосторонний вирус.
• Октябрь: в сети DECnet распространился червь «WANK Worm»
• В журнале Компьютерные Системы (Computing Systems) опубликована статья Дугласа Макилроя «Вирусология 101» (Douglas McIlroy «Virology 101»), в которой приведены примеры вирусов для ОС Unix, написанные на языке SH.

1988

• Июль: Немецкий журнал C’t печатает статью Томаса Козеля и Гвидо Лейстера (Thomas Koziel, Guido Leister) «Die Viren sind da» («Вирусы уже здесь») с анализом загрузочного вируса для Atari («C’t virus»)
• 2-е ноября: Роберт Моррис младший создает Червь Морриса, который инфицировал подключенные к Интернету компьютеры VAX, DEC и Sun под управлением ОС BSD. Червь Морриса стал первым сетевым червем, успешно распространившемся «in-the-wild», и одной из первых известных программ, эксплуатирующих переполнение буфера.

1987

• Май: Том Дафф (Tom Duff) проводит в лаборатории AT&T серию экспериментов с вирусами, написанными на языке SH и ассемблере для VAX 11/750 под управлением UNIX.
• Апрель: Бернд Фикс (Bernd Fix) написал вирус для IBM 3090 MVS/370
• Апрель: Немецкий журнал Computer & Technik (C’t) печатает статью Экхарда Крабеля (Eckhard Krabel) «Die Viren kommen» («Вирусы идут») с исходным текстом вируса Milzbrand для компьютеров Atari
• Появляется (c)Brain (en:(c)Brain) — первый вирус созданный для IBM PC-совместимых ПК.
• Октябрь: Иерусалимский вирус (en:Jerusalem virus) обнаружен в Иерусалиме. Этот вредоносный вирус был запрограммирован на удаление запускаемых файлов каждую пятницу, 13-го числа.
• Ноябрь: выходит вирус SCA (en:SCA virus) для загрузочного сектора ПК Amiga, вызывая целую волну новых вирусов. Вскоре, авторы вируса выпускают следующий, гораздо более вредоносный вирус Byte Bandit (en:Byte Bandit).
• Декабрь: эпидемия сетевого червя «Christmas Tree». Червь написан на языке REXX, работал в среде VM/CMS и распространился в сетях BitNet, EARN, IBM Vnet.

1986

• На конференции Chaos Computer Club в Гамбурге Ральф Бюргер (Ralph Burger) и Бернд Фикс (Bernd Fix) представили вирусы для IBM PC «Virus 1.1» и «Rush Hour»

1985

• В 1985 Том Нефф (Tom Neff) начал распространять по различным BBS список «Грязная дюжина» («The Dirty Dozen»), в котором перечислялись имена файлов пиратских и троянских программ.

1984

• В журнале Scientific American Александр Дьюдни (Alexander Dewdney) в колонке Занимательный Компьютер (Computer Recreations) публикует описание игры Бой в памяти (Core War), в которой, как и в игре Darwin программы сражаются в памяти.

• Опубликован фантастический роман Уильяма Гибсона «Нейромант» (William Gibson «Neuromancer», ISBN 0-00-648041-1), в котором компьютерные вирусы используются как оружие.

1983

• Ноябрь: Студентом Фредом Коэном (англ. Fred Cohen) был написан демонстрационный вирус для VAX 11/750 под управлением Unix. Идея была предложена Фредом Коэном, а название Леном Эдлманом (Len Addleman) в ходе семинара по компьютерной безопасности. Эксперименты проводились также с системами Tops-20, VMS и VM/370.

1982

• Июнь: Вирусные программы упоминаются в 158 выпуске комикса «The Uncanny X-Men»

• Март: Отчет об экспериментах с червями в лаборатории Xerox в Пало-Альто опубликован в журнале CACM (John Shoch, Jon Hupp 'The «Worm» Programs — Early Experience with a Distributed Computation', Communications of the ACM, March 1982 Volume 25 Number 3, pp.172-180, ISSN 0001-0782, см. Xerox worm).

1981

• Программа Elk Cloner (en:Elk Cloner), написанная Ричардом Скрента (Richard Skrenta) и Virus версий 1,2,3, написанная Джо Деллинджером (Joe Dellinger) для DOS 3.3 ПК Apple II, считаются первыми компьютерными вирусами. Обе программы также получили распространение «in-the-wild» — обнаружены на компьютерах пользователей вне лаборатории.

1980

• Февраль: Юрген Краус (Jürgen Kraus) студент Дортмундского университета защищает дипломную работу по самовоспроизводящимся программам («Selbstreproduktion bei programmen»), в которой приведены примеры подобных программ.
• Учёные из исследовательского центра Xerox в Пало-Альто Джон Шоч (John Shoch) и Йон Хапп (Jon Hupp) проводят эксперименты по распределенным вычислениям на основе программ-червей (см. Xerox worm).

1977

• Томас Райан (Thomas J. Ryan) публикует роман «Юность Пи-1» (The Adolescence of P-1), один из главных героев которого — ИИ ПИ-1 — является червеподобной программой, работающей на компьютерах IBM/360.

1975

• Джон Уолкер (John Walker) дополняет написанную им ранее игру ANIMAL для Univac 1100/42 под управлением Exec-8 подпрограммой Pervade. Связка Animal/Pervade ведет себя, как файловый червь.
• Опубликован фантастический роман Джона Браннера «Оседлавший взрывную волну» (John Brunner «The Shockwave rider», ISBN 0-345-32431-5), в котором для программ, перемещающихся по сети, используется термин червь.

1974

• Программа HIPBOOT, предназначенная для обновления загрузочных секторов дисков компьютеров Nova, производившихся компанией Data General — возможно один из первых бут-вирусов. Когда диск вставлялся в компьютер, программа обновляла загрузочные сектора всех дисков, при этом, если обновленный диск вставить в дисковод на другом компьютере, со старым ПО, то загрузчик обновлял все загрузочные сектора на этом компьютере.

1973

• (точная дата неизвестна) Боб Томас (Bob Thomas) из компании Болт Беранек и Ньюман (Bolt Beranek and Newman) пишет демонстрационную самоперемещающуюся программу Creeper, использующую подсистему RSEXEC системы Tenex. Рей Томлинсон (Ray Thomlinson) пишет программу Reaper, которая перемещается по сети, так же, как и Creeper, и в случае если Creeper запущен, прекращает его работу.

• В фантастическом фильме Westworld термин компьютерный вирус был использован для обозначения вредоносной программы, внедрившейся в компьютерную систему.

1972

• Опубликован фантастический роман Дэвида Герролда «Когда Харли был год» («When H.A.R.L.I.E. Was One»), в котором описаны червеподобные программы.

• В журнале «Software — Practice and Experience» публикуется описание игры «Дарвин» (Aleph Null Darwin, Software: Practice and Experience, Vol. 2, Issue 1, pp.93-96 (January/March 1972), ISSN 0038-0644)

1970

• Май: В журнале Venture опубликован фантастический рассказ Грегори Бенфорда (Gregory Benford) The Scarred Man  (англ.), в котором имеется одно из первых описаний вирусных и антивирусных программ с названиями VIRUS и VACCINE.
• Крис Таварес (Chris Tavares) разрабатывает «программу-бомбу» Cookie Monster для IBM 2741 под управлением Multics. Из-за некоторых особенностей реализации Cookie Monster часто ошибочно принимают за вирус.

1969

• Грегори Бенфорд, сотрудник Лаборатории Лоуренс в Ливерморе (Lawrence Radion Lab) пишет одну из первых вирусоподобных программ на языке Фортран, позднее он напишет об этом научно-фантастический рассказ. [2] (англ.)

1966

• Уже после смерти Джона фон Неймана (John von Neumann) Артур Беркс (Arthur Burks) издает его заметки и лекции в виде книги [Нейман, Джон фон. Теория самовоспроизводящих автоматов. — М.: Мир, 1971. — с.382. / (von Neumann, J., 1966, The Theory of Self-reproducing Automata, A. Burks, ed., Univ. of Illinois Press, Urbana, IL.]

1961

• В компании Бэлл (Bell Telephone Labaratories) В. А. Высоцкий (V. А. Vysotsky), Х. Д. Макилрой (H. D. McIlroy) и Роберт Моррис (Robert Morris) изобрели игру Darwin, в которой несколько ассемблерных программ, названных «организмами», загружались в память компьютера и «сражались» за ресурсы.

1957

• В июне журнал Nature печатает статью L. S. Penrose, R. Penrose «A Self-reproducing Analogue»

1949

• Декабрь: Джон фон Нейман (John von Neumann) читает серию лекций в Илинойсском университете «Теория и организация сложных автоматов». Материалы этой и других лекций 1948—1952 годов лягут в основу теории самовоспроизводящихся автоматов.

Примечания

1. ↑ Компьютерный червь не повредил системе АЭС Бушер, сообщают СМИ | Наука | Лента новостей «РИА Новости»
2. ↑ Крис Касперски "Rustock.C – секретные техники анализа", Хакер № 09/08 (117)  (рус.). Xakep.ru (1 сентября 2008). Архивировано из первоисточника 17 октября 2012. Проверено 13 октября 2012.

Ссылки

• Ресурс по вирусам VX Heavens с коллекцией вирусов (англ.)
• История компьютерных вирусов и вредоносных программ