ВИРУС-АНТИВИРУС: БИТВА ПРОДОЛЖАЕТСЯ

Первые годы воцарения компьютера на моем рабочем столе были совершенно беззаботными — я работала в Windows, гуляла по Сети, общалась по электронной почте, даже не подозревая, что и на компьютерном солнце есть пятна.

В один прекрасный день мой родной «комп», прежде послушный и аккуратный помощник, стал выкидывать разные фокусы. Знакомый специалист, поколдовав над машиной, сказал: « Ты подхватила компьютерный вирус. Я вылечу твой ПК, но вообще-то предохраняться надо!» Я отнеслась к совету легкомысленно — компьютер заработал, и ладно. Но спустя неделю опять подхватила «инфекцию», несколько вирусов сразу, которые успели размножиться до целой колонии. На этот раз не обошлось, увы, без потери нужной информации. Вот тогда я впервые отнеслась серьезно к компьютерной чуме, как называют иногда вирусы, и поставила на свой компьютер известный «Антивирус Касперского».

И, как оказалось, вовремя. Вирусы стали нападать регулярно, и если бы не «Антивирус», мой компьютер уже, наверное, взорвался бы. Я даже стала делить всех жителей Сети на три категории: Интернет-ангелы, которые ни разу не прислали мне инфекцию, Интернет-фантомы, засылавшие вирусы по неопытности и неаккуратности, и Интернет-бесы, которые эти вирусы придумывают.

Игра в «полицейские — воры»

Любопытно, что у истоков появления зловредной компьютерной фауны стоят добропорядочные инженеры из американской компании Bell Telephone Laboratories. Они придумали совершенно невинную игру «Дарвин», предполагавшую присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы программ-соперников разных игроков между собой. Программы имели функции исследования пространства, размножения и уничтожения, а смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.

Но нет, наверное, в мире теории (в данном случае, это теория саморазмножающихся структур), которую не пытались бы использовать на практике в неблаговидных целях. Первый в истории компьютерный вирус Creeper не замедлил заявить о себе. Он был обнаружен в начале 70-х годов в прототипе современного Интернета — военной компьютерной сети APRAnet. Creeper самостоятельно входил через модем в сеть, передавал свою копию удаленной системе и проявлялся жизнерадостным сообщением на экране: «I’M THE CREEPER … CATCH ME IF YOU CAN». Некто, так и оставшийся мистером Икс, для удаления этого в общем безобидного вируса, может быть, даже своего детища, создал контрпрограмму Reaper удаленной системе и проявлялся жизнерадостным сообщением на экране: «I’M THE CREEPER … CATCH ME тело вируса Creeper, уничтожал его. Этот внешне малозначительный эпизод был, как оказалось, началом нескончаемой битвы создателей вирусов и антивирусов. Вариант древней как мир игры в «полицейские—воры».

А дальше все по законам биологии — чем больше появлялось компьютеров, тем более активной становилась и жизнедеятельность компьютерной фауны. Вскоре произошла и первая в истории массовая киберэпидемия. Elk Cloner на Apple II переворачивал изображение, заставлял мигать текст и выводил на экране разнообразные сообщения. В те далекие семидесятые, памятные повальным увлечением НЛО, иные рядовые пользователи даже всерьез полагали, что это происки … внеземных цивилизаций. Но прошло еще по меньшей мере лет десять, прежде чем словосочетание «компьютерный вирус» стало термином, а родоначальник современной компьютерной вирусологии Фред Коэн дал ему научное определение как программы, способной заражать другие программы при помощи их модификации с целью внедрения своих копий. Тем не менее разразившаяся вскоре глобальная эпидемия вируса Brain для IBM-совместимых компьютеров показала, что компьютерное сообщество абсолютно не готово к встрече с таким явлением.

Целую вспышку инфекции вызвал немецкий программист Ральф Бюргер, написавший провокационную книгу «Компьютерные вирусы: болезнь высоких технологий» (позже появился аналогичный труд Б. Хижняка «Пишем вирус и антивирус»). Обе книги, увы, способствовали популяризации идеи написания вирусов, и результат не замедлил себя ждать. Независимо друг от друга появляется сразу несколько представителей зловредной фауны для IBM-совместимых компьютеров: Лехайский вирус, семейство Suriv; ряд загрузочных вирусов в США, Новой Зеландии, Италии и первый самошифрующийся файловый вирус Cascade. Он получил такое название из-за вызываемого эффекта «осыпающихся букв».

Забавно, что при этом даже не все профессионалы верили в существование компьютерной фауны. Так, в 1988 году известный программист Питер Нортон язвительно сказал: вирусы — это такой же миф, как сказки о крокодилах, живущих в канализации Нью-Йорка. И будто в ответ на это заявление разразилась повальная эпидемия нового сетевого вируса, получившего название «Червь Морриса». Он заразил несколько тысяч компьютерных систем в США, включая Исследовательский центр NASA, практически парализовал их работу, причинив убытков на 96 миллионов долларов. Но первой сенсацией в средствах массовой информации стал другой вирус — жестокий Datacrime, который инициировал безвозвратную потерю данных на жестком диске. Он появился на свет в год 500-летия открытия Америки и получил в США название «День Колумба». Кто-то предположил, что таким образом норвежские террористы пытаются отомстить за то, что открывателем Америки несправедливо считается Колумб, а не их соотечественник Рыжий Эрик.

Тут-то широкая общественность, наконец, заметила новое явление и даже обратилась к корпорации IBM с требованием избавить мир от вирусной напасти. Тщательно подсчитав выгоды, IBM рассекретила свой уже существовавший внутренний антивирусный проект, превратила его в коммерческий продукт и стала продавать. Почти одновременно начали выходить специализированные издания, например, Virus Bulletin и Virus Fax International, пытавшиеся объединить силы специалистов для борьбы с компьютерной чумой. Итак, «полицейские» тоже активизировались.

Но, как известно, первый ход белыми всегда делают, увы, «воры». Некий Джозеф Попп в конце 1989 года ухитрился разослать 20 тысяч дискет, содержащих троянскую программу Aids Information Diskett, по адресам в Европе, Африке и Австралии. Адреса были нагло похищены из баз данных журнала PC Business World и Всемирной организации здравоохранения. «Троянец» шифровал имена всех файлов, делал их невидимыми и оставлял на диске только один читаемый файл — счет, который следовало оплатить и …отослать по указанному адресу.

Но это еще цветочки! В Болгарии появился даже целый «завод» по производству семейства вирусов, а за ним и первая станция BBS (VX BBS), ориентированная на обмен вирусами и информацией для вирусописателей. Вряд ли стоит пояснять, каким мощным стимулом развития вирусного движения стала эта станция. Тем более что вслед за Болгарией подобные организации начали появляться по всему миру, образовалась целая когорта людей, посвятивших себя созданию зловредных программ.

Борцы с вирусами сделали ответный ход: в 1990 году в Гамбурге был создан Европейский институт компьютерных антивирусных исследований, который стал одной из наиболее уважаемых международных организаций, объединяющей практически все крупные антивирусные компании. Активно формировался международный рынок средств защиты от компьютерных вирусов. Появились специальные полицейские подразделения, занимающиеся исключительно компьютерными преступлениями.

Антивирусные компании решили использовать страх пользователей перед коварными вирусами ради извлечения собственной коммерческой выгоды. Чтобы привлечь внимание к своим продуктам, они, например, специально раздули шумиху вокруг эпидемии вируса «Michelangelo» («March6»). Слух о том, что 6 марта 1992 года будет разрушена информация более чем на пяти миллионах компьютеров в мире, вызвал настоящую панику. В результате прибыли компаний поднялись в несколько раз, а пострадали от этого вируса всего пару тысяч пользователей.

1996 год можно считать началом широкомасштабного наступления компьютерного андерграунда на операционные системы Windows и приложения Microsoft Office. Сотни вирусов сходили как с конвейера, и во многих из них использовались совершенно новые приемы и методы заражения. Компьютерные монстры вышли на новый виток своего развития — уровень 32-битных операционных систем.

На этом фоне в Великобритании состоялся громкий судебный процесс над 26-летним безработным Кристофером Пайлом, подозревавшимся в создании и распространении компьютерных вирусов Queeg и Pathogen, а также полиморфик-генератора SMEG. Он все-таки признал себя виновным и был приговорен к 18 месяцам тюремного заключения.

Этот факт, похоже, только подзадорил компьютерных вредителей: они добрались до электронной почты, распространяясь через программу MS Outlook, которая стала корпоративным стандартом в США и многих странах Европы, включая Украину. Исключительно опасный и живучий почтовый скрипт-вирус LoveLetter даже попал в Книгу рекордов Гиннесса. Сразу после запуска он уничтожал на дисках файлы определенного расширения и незаметно рассылал свои копии по всем без исключения адресам, найденным в адресной книге MS Outlook. А вскоре появилась Melissa, которая считывала адресную книгу почтовой программы MS Outlook и аккуратно рассылала свои копии первой полусотне найденных адресатов. Несмотря на то что эпидемия была достаточно быстро погашена, такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты. Автор вируса, 31-летний программист из США Дэвид Смит был найден, арестован и осужден на 10 лет тюремного заключения и оштрафовал на сумму 400 тис. долларов США.

Но атака на MS Windows, MS Office и сетевые приложения не ослабела. На арену выходят многочисленные троянские программы, ворующие пароли доступа в Интернет, разнообразные «черви», вирусы для документов Excel, Microsoft Access, многоплатформенный макро вирус, заражающий документы одновременно двух приложений MS Office: Access и Word, макро вирусы, переносящих свой код из одного Office-приложения в другое, и так далее и тому подобное. Появился опасный и технологически совершенный вирус-червь Hybris, который использовал Web-сайты и электронные конференции для загрузки новых модулей вируса на зараженные компьютеры.

Специалисты признали, что начиная с 2000 года заражение через Интернет и электронную почту стало основным способом транспортировки вредоносных кодов. Охотно верю! Только за последние два месяца в мой компьютер пытались проникнуть шесть (!) вирусов из первой десятки самых рейтинговых, злостных вредителей, четыре «Червя» и два «Троянца».

Среди вирусов
есть и шедевры

И что же делать дальше? Кто победит в этой битве создателей вирусов, которые, замечу, трудятся совершенно бесплатно, на одном энтузиазме, и создателей антивирусов, которые стали за последние годы очень уважаемыми и хорошо оплачиваемыми специалистами? Может быть, борьба с вирусами — это такая же «догоняющая технология», как и борьба с любым видом преступлений?

— В целом — нет, — оптимистично считает 37-летний Евгений Касперский, являющийся сейчас одним из ведущих мировых специалистов в области защиты от вирусов. ? Хотя многие антивирусные компании остановились именно на этом этапе развития. Я считаю, что нужно и можно активно разрабатывать альтернативные антивирусные технологии, которые способны бороться даже с будущими вирусами. То есть использовать эвристический анализ, поведенческие блокираторы и ревизоры изменений. Мы уже интегрируем эти технологии в наши продукты. Как показывает практика, их комбинированное использование дает гораздо лучший эффект, нежели только традиционные антивирусные сканеры и мониторы.

— Существует, однако, мнение, что сама структура операционных программ Майкрософт провоцирует появление компьютерных вирусов. Можно ли в принципе сделать программы, неуязвимые для инфекции?

— Создание вредоносных кодов провоцирует не Microsoft, а скорее, распространенность ее продуктов. Уверяю вас, если бы Linux имела хотя бы половину той популярности, которую приобрела Windows, то соотношение количества вирусов для этих операционных систем было бы диаметрально противоположным сегодняшнему состоянию. Да, распространение вирусов, пользующихся дырами в системах безопасности популярных операционных систем, можно считать основной тенденцией 2001 года. Но сделать систему, абсолютно неуязвимую для вредоносных программ, невозможно в принципе!

— Современная биология рассматривает болезнетворность вирусов как побочное свойство их существования. Главная же их роль в цепи жизни — встраиваясь в геном, видоизменять его свойства, расширять адаптационные возможности человека. Играют ли какую-то полезную роль вирусы компьютерные?

— Нет! Даже самые безобидные из них, те, которые только заражают файлы, все-таки потребляют системные ресурсы, чем снижают работоспособность компьютера.

— Вирус, эпидемия, эволюция, лечить… Все это биологические термины. Видите ли вы какой-то параллелизм в развитии Сети и живых систем?

— Сеть была создана и развивается живыми организмами — людьми. Естественно, что она подчиняется законам развития живой системы.

— Уже сейчас вашему Антивирусу известно более 50 тысяч видов инфекций. Не получится ли со временем, что их станет так много и они будут настолько сложными, громоздкими или изощренными, что их использование будет сильно затруднять работу на компьютере? Приходилось встречаться с мнением, что необходимость постоянно отбивать все более изощренные атаки вирусов будет со временем все сильнее тормозить развитие Сети.

— Развитие компьютерной техники происходит гораздо быстрее. К тому же специалисты по защите постоянно внедряют новые системы оптимизации поиска вирусов, которые увеличивают скорость сканирования, но не ухудшают качество защиты.

— А как вы относитесь к тому, что в странах СНГ, в том числе и в Украине широко используются нелицензионные копии программ, в том числе вашего Антивируса?

— Я не вижу будущего у обычных, даже жестких антипиратских мер. Мы боремся с пиратством иначе — совершенствуем каналы продаж, разрабатываем специальные версии программ, которые подходят пользователям как по функциональности, так и цене.

— Вы встречались с талантливо сделанным вирусом? Бывают ли вообще такие?

— Безусловно! Правда, они встречаются один раз на 500 случаев, но тогда нам приходится иметь дело с настоящими шедеврами.

* * *

Многие специалисты считают, что расслабляться пользователям не стоит. Например, такой знаток вирусов, как Крэйг Шмагара из компании Network Associated, признает, что электронная зараза становится все более изощренной и сложной для распознавания. Например, «герой» нового времени Goner относится к вирусам смешанного типа, использующим для поражения компьютера сразу несколько каналов проникновения, и таких «умельцев» становится все больше. Коварный Goner, по словам Крейга, знает, как обходить такие известные антивирусники, как AtGuard и Norton Antivirus…

Битва продолжается?