Компьютеры под Windows уже двадцать лет находятся в осаде. В дни молодости этой операционной системы вирусы скакали от машины к машине, иногда удаляя файлы (которые почти всегда можно было восстановить) и показывая диалоги непонятного содержания. Теперь они захватывают ваши данные и требуют выкупа, запускают с вашего компьютера вирусные атаки, роются по файлам в поисках номеров кредитных карт и паролей.

Кроме того, вредоносное программное обеспечение стало причиной создания многомиллиардных антивирусных компаний, вдохновило авторов на написание статей в количестве, достаточном, чтобы заполнить Александрийскую библиотеку, создало десятки тысяч рабочих мест для специалистов по безопасности и послужило причиной нескольких сотен миллионов случаев геморроя.

Эти надоедливые программы не выросли на пустом месте за ночь. Это была долгая эволюция со своими целями, средствами и методами, которые изменялись с течением времени. Как и в любой другой технологии, локомотивом прогресса здесь является инновационное мышление. Посмотрим, как изобретательность превратила вирусописательство в огромную индустрию, и что ожидает её в будущем.

Ранние годы

Некоторые из самых инновационных и (пока ещё) распространенных технологий вирусописательства появились на заре Windows, и к появлению Windows 3.0 сформировали прочный фундамент для разработки вредоносных программ.

Возьмем для примера VirDem – первый вирус, заражавший исполняемые файлы. Он был создан Ральфом Бургером в Германии в 1986 году. Самораспространяющаяся программа вставляла себя в начало COM-файла, а код, который был там до этого, перемещала в конец. Вскоре за ним последовал Cascade (1987) - первый вирус, который скрывал себя при помощи шифрования. К несчастью, процедура шифрования была одной и той же для всех зараженных файлов, что позволило сканерам с лёгкостью научиться обнаруживать этот вирус.

GhostBalls (с гордой пометкой «Сделано в Исландии; © 1989» скомбинировал две разных техники заражения, став первым представителем так называемых «многосторонних», или «смешанных вирусных угроз». Он прикреплялся к COM-файлам, а заодно проверял наличие дискеты в дисководе А. Если таковая находилась, вирус заражал загрузочный сектор.

Пытаясь исправить недостаток Cascade, в 1990 году Марк Уошберн разработал первый полиморфный вирус «1260». Полиморфные вирусы изменяют свое тело при каждом шифровании (часто изменяя саму шифрующую процедуру), что значительно усложняет их обнаружение.

«Летать ниже радара» - вот образ действия двух других вирусов Frodo и Whale, появившихся в 1990 году. Оба они стали известны как «стелс-вирусы», поскольку прилагали очень большие усилия, чтобы скрыть свое присутствие. Frodo заставлял Windows неправильно сообщать размер зараженных COM-файлов, так что они выглядели чистыми. Whale (9 Кб, самый большой из известных вирусов того времени) использовал технику Frodo для скрытия своего размера и полиморфную фишку в стиле «1260» для изменения своего тела. Ни тот, ни другой вирус не имели больших разрушительных последствий, но оба они были совершенны в стремлении остаться невидимыми.

Двадцать лет спустя в зоопарке Windows найдется огромное количество примеров заражения исполняемых файлов, многосторонних угроз, полиморфизма и стелс-технологий.

Источник: http://www.ferra.ru