4.6. Епідемія макро-вірусу

Рік 1995-й, серпень. Все прогресивне людство, компанія Microsoft і Білл Гейтс особисто святкують вихід нової операційної системи Windows95. На тлі гучного урочистості практично непоміченим пройшло повідомлення про появу вірусу, що використовує принципово нові методи зараження, вірусу, що заражає документи Microsoft Word.

Чесно кажучи, це був не перший вірус, що заражає документи Word. До цього моменту антивірусні фірми вже мали на руках перший дослідний зразок вірусу, який переписував себе з документа в документ. Однак ніхто не звернув серйозної уваги на цей не зовсім вдалий експеримент. У результаті практично всі антивірусні фірми виявилися не готовими до подальшого розвитку подій - епідемії макро-вірусу - і почали спішно робити напів-заходи. Наприклад, кілька фірм практично одночасно випустили в світло документи-антивіруси, діяли приблизно за тими ж принципами, що й вірус, однак знищували його замість розмноження.

До речі, спішно довелося ред антивірусну літературу - адже вона раніше на питання "Чи можна заразити комп'ютер при читанні файлу?" Відповідала "Однозначно - ні!" І приводила довгі докази цього.

А вірус, що отримав до того часу ім'я "Concept", продовжував переможний рух по планеті. З'явившись швидше за все в якомусь з підрозділів фірми Microsoft, "Concept" в одну мить заволодів тисячами (якщо не мільйонами) комп'ютерів. Це не дивно, адже передача текстів у форматі MS Word стала де-факто одним із стандартів, а для того, щоб заразитися вірусом, потрібно всього-лише відкрити заражений документ, і всі інші документи, що редагуються в зараженому Word'e також виявляються зараженими. У результаті, отримавши по Internet заражений файл і прочитавши його, користувач, не знаючи того сам, опинявся "рознощиком зарази", і вся його листування (якщо, звичайно ж, вона велася за допомогою MS Word) також виявлялася зараженої! Таким чином, можливість зараження MS Word, помножена на швидкість Internet, стала однією з найсерйозніших проблем за всю історію існування вірусів.

Не минуло й року, як влітку 1996-го року з'явився вірус "Laroux" ("Лару"), що заражає таблиці MS Excel. Як і у випадку з вірусом "Concept", новий макро-вірус був виявлений "в природі" практично одночасно в різних фірмах. До речі, в 1997 році цей вірус став причиною епідемії в Москві.

У тому ж 1996 році з'явилися перші конструктори макро-вірусів, а на початку 1997 року з'явилися перші поліморфік-макро-віруси для MS-Word і перші віруси для MS Office97. Плюс до того безперервно зростала кількість різноманітних макро-вірусів, що досягло декількох сотень до літа 1997-го.

Відкривши нову сторінку в серпні 1995-го, спираючись на весь досвід, накопичений вирусописательстве за майже десятиліття безперервної роботи і вдосконалення, макро-віруси, мабуть, є найбільшою проблемою сучасної вірусології.

4.7. Хронологія подій

Пора перейти до більш детального опису подій. Почнемо з самого початку.

кінець 1960 - початок 1970-х

На мейнфреймах цього часу періодично з'являлися програми, які отримали назву "кролик" (the rabbit). Ці програми клонували себе, займали системні ресурси і таким чином знижували продуктивність системи. Швидше за все "кролики" не передавалися від системи до системи і були суто місцевими явищами - помилками або пустощами системних програмістів, що обслуговували комп'ютер. Перший же інцидент, який сміливо можна назвати епідемією "комп'ютерного вірусу", стався на системі Univax 1108. Вірус, що отримав назву "Pervading Animal", дописував себе до виконуваних файлів - робив практично те ж саме, що тисячі сучасних комп'ютерних вірусів.

перша половина 1970-х

Під операційну систему Tenex створений вірус "The Creeper", котрий використовував для свого поширення глобальні комп'ютерні мережі. Вірус був в змозі самостійно увійти в мережу через модем і передати свою копію віддаленій системі. Для боротьби з цим вірусом була створена програма "The Reeper" - перша відома антивірусна програма.

Початок 1980-х

Комп'ютери стають все більш і більш популярними. З'являється все більше і більше програм, авторами яких є не софтверні фірми, а приватні особи, причому ці програми мають можливість вільного ходіння по різних серверів загального доступу - BBS. Результатом цього є поява великої кількості різноманітних "троянських коней" - програм, які при їх запуску наносять системі яку-небудь шкоду.

1981

Епідемія завантажувального вірусу "Elk Cloner" на комп'ютерах Apple II. Вірус записувався в завантажувальні сектори дискет, до яких йшло звернення. Виявляв він себе досить багатосторонньо - перевертав екран, примушував мигати текст на екрані і виводив різноманітні повідомлення.

1986

Пандемія перший IBM-PC вірусу "Brain". Вірус, що заражає 360Kб дискети, практично миттєво розійшовся по всьому світу. Причиною такого "успіху" була швидше за все неготовність комп'ютерного суспільства до зустрічі з таким явищем, як комп'ютерний вірус.

Вірус був написаний в Пакистані братами Basit і Amjad Farooq Alvi, залишили у вірусі текстове повідомлення, що містить їх імена, адресу та номер телефону. Як стверджували автори вірусу, вони були власниками компанії з продажу програмних продуктів і вирішили з'ясувати рівень піратського копіювання в їхній країні. На жаль, їхній експеримент вийшов за межі Пакистану.

Цікаво, що вірус "Brain" був також і першим стелс-вірусом - при спробі читання зараженого сектора він "підставляв" його незаражений оригінал.

У тому ж 1986 році програміст на ім'я Ральф Бюргер (Ralf Burger) виявив, що програма може робити власні копії шляхом додавання свого коду до виконуваних DOS-файлів. Його перший вірус, названий "VirDem", демонстрував цю можливість. Цей вірус був проанонсований у грудні 1986 на форумі комп'ютерного "андеграунду" - хакерів, які спеціалізувалися в той час на зломі VAX / VMS-систем (Chaos Computer Club in Hamburg).

1987

Поява вірусу "Vienna". Копія цього вірусу потрапляє в руки все того ж Ральфа Бюргера, який дізассемблірует вірус і поміщає результат в свою книгу "Computer Viruses: A High Tech Desease" (російський аналог - "Пишемо вірус і антивірус" м. Хижняка). Книга Бюргера популяризувала ідею написання вірусів, пояснювала як це відбувається і служила таким чином поштовхом до написання сотень або навіть тисяч комп'ютерних вірусів, частково використовували ідеї з цієї книги.

У тому ж році незалежно один від одного з'являється ще кілька вірусів для IBM-PC. Це знамениті у минулому "Lehigh", що заражає тільки COMMAND.COM, "Suriv-1" (інша назва - "April1st"), що заражає COM-файли, "Suriv-2", що заражає (вперше) EXE-файли, і "Suriv -3 ", що заражає як COM-, так і EXE-файли. З'являються також кілька завантажувальних вірусів ("Yale" в США, "Stoned" в Новій Зеландії і "PingPong" в Італії) і перший самошіфрующійся файловий вірус "Cascade".

Не залишилися осторонь і не-IBM-комп'ютери: було виявлено кілька вірусів для Apple Macintosh, Commodore Amiga і Atari ST.

У грудні 1987 відбулася перша відома повальна епідемія мережного вірусу "Cristmas Tree", написаного на мові REXX і поширював себе в операційному середовищі VM / CMS. 9-го грудня вірус був запущений в мережу Bitnet в одному з університетів Західної Німеччини, проник через шлюз в European Academic Research Network (EARN) і потім - в мережу IBM VNet. Через чотири дні (13 грудня) вірус паралізував мережа - вона була забита його копіями (див. приклад про клерка кількома сторінками вище). При запуску вірус виводив на екран зображення новорічної (вірніше, різдвяної) ялинки і розсилав свої копії всім користувачам мережі, чиї адреси присутні у відповідних системних файлах NAMES і NETLOG.

1988

У п'ятницю 13-го травня 1988-го року відразу кілька фірм та університетів декількох країн світу "познайомилися" з вірусом "Jerusalem" - цього дня вірус знищував файли при їх запуску. Це, мабуть, один з перших MS-DOS-вірусів, що став причиною справжньої пандемії - повідомлення про заражених комп'ютерах надходили з Європи, Америки та Близького Сходу. Назва, до речі, вірус отримав за місцем одного з інцидентів - університету в Єрусалимі.

Разом з кількома іншими вірусами ("Cascade", "Stoned", "Vienna"), вірус "Jerusalem" розповсюдився по тисячах комп'ютерів, залишаючись непоміченим - антивірусні програми ще не були поширені в той час так само широко як сьогодні, а багато користувачів і навіть професіонали ще не вірили в існування комп'ютерних вірусів. Показовим є факт, що в тому ж році комп'ютерний гуру і людина-легенда Пітер Нортон висловився проти існування вірусів. Він оголосив їх неіснуючим міфом і порівняв з казками про крокодилів, які живуть у каналізації Нью-Йорка. Цей казус, однак, не завадив фірмі Symantec через деякий час почати власний антивірусний проект - Norton Anti-Virus.

Почали з'являтися свідомо помилкові повідомлення про комп'ютерні віруси, ніякої реальної інформації не містять, але вносили паніку в стрункі ряди комп'ютерних користувачів. Одна з перших таких "злих жартів" (сучасний термін - "virus hoax") належить нікому Mike RoChenle (псевдонім схожий на "Microchannel"), який розіслав на станції BBS велику кількість повідомлень про нібито існуючий вірус, який передається від модему до модему і використовує для цього швидкість 2400 бод. Як це не смішно, багато пользоватеілі відмовилися від стандарту тих днів 2400 і знизили швидкість своїх модемів до 1200 бод. Подібні "hoax"-и з'являються і зараз. Найбільш відомі на сьогоднішній день - GoodTimes і Aol4Free.

Листопад 1988: повальна епідемія мережного вірусу Морріса (інша назва - Internet Worm). Вірус уразив більше 6000 комп'ютерних систем в США (включаючи NASA Research Institute) і практично паралізував їх роботу. Через помилки в коді вірусу він, як і вірус-черв'як "Cristmas Tree", необмежено розсилав свої копії по інших компьютьерам мережі і, таким чином, повністю забрав під себе її ресурси. Загальні збитки від вірусу Морріса були оцінені в 96 мільйонів доларів.

Вірус використовував для свого розмноження помилки в операційній системі Unix для VAX і Sun Microsystems. Крім помилок в Unix вірус використовував кілька інших оригінальних ідей, наприклад, підбір паролів користувачів. Детальніше про цей вірус і пов'язаним з ним інцидентом можна прочитати досить докладне й цікавої статті Ігоря Моісеєва в журналі КомпьютерПресс, 1991, N8, 9.

Грудень 1988: сезон вірусів-хробаків продовжується, на цей раз в мережі DECNet. Вірус-черв'як HI.COM виводив на екран зображення ялиночки і сповіщав користувачів, що їм слід "stop computing and have a good time at home!"

З'являються нові антивірусні програми, наприклад, Dr.Solomon 's Anti-Virus Toolkit, який є на сьогоднішній день одним із самих потужних антивірусів.

1989

З'являються нові віруси - "Datacrime", "FuManchu" і цілі сімейства - "Vacsina" і "Yankee". Перший мав вкрай небезпечне прояв - з 13 жовтня по 31 грудня він форматували вінчестер. Цей вірус вирвався "на свободу" і викликав повальну істерію в засобах масової інформації в Голландії і Великобританії.

Вересень 1989: на ринок виходить ще одна антивірусна програма - IBM Anti-Virus.

Жовтень 1989: у мережі DECNet зафіксована ще одна епідемія вірусу-хробака - "WANK Worm".

Грудень 1989: інцидент з "троянським конем" "Aids". Було розіслано 20.000 його копій на дискетах, позначених як "AIDS Information Diskette Version 2.0". Після 90 завантажень системи "троянець" шифрував імена всіх файлів на диску, робив їх невидимими (атрибут "hidden") і залишав на диску тільки один читається файл - рахунок на 189 доларів, який слід було надіслати на адресу PO Box 7, Panama. Автор "троянця" був спійманий і засуджений до тюремного ув'язнення.

Слід відзначити той факт, що 1989 був початком повальної епідемії комп'ютерних вірусів в Росії - всі ті ж віруси "Cascade", "Jerusalem" і "Vienna" заполонили комп'ютери російських користувачів. На щастя, російські програмісти досить швидко розібралися з принципами їх роботи і практично відразу з'явилося кілька вітчизняних протиотрут-антивірусів.

Моє перше знайомство з вірусом (це був вірус "Cascade") відбулося у жовтні 1989 року - вірус виявився виявленим на моєму робочому комп'ютері. Саме це і послужило поштовхом для моєї професійної переорієнтації на створення програм-антивірусів. До речі, той перший вірус я вилікував популярної в ті часи антивірусною програмою ANTI-KOT Олега Котика. Місяцем пізніше другий інцидент (вірус "Vacsina") був закритий за допомогою першої версії мого антивіруса-V (який кількома роками пізніше був перейменований в AVP - AntiViral Toolkit Pro). До кінця 1989 року на теренах Росії паслося вже близько десятка вірусів (перелічені в порядку їх появи): дві версії "Cascade", кілька вірусів "Vacsina" і "Yankee", "Jerusalem", "Vienna", "Eddie", "PingPong ".

1990

Цей рік приніс кілька досить помітних подій. Першим з них є поява перших поліморфік-вірусів "Chameleon" (інша назва - "V2P1", "V2P2" і "V2P6"). До цього моменту антивірусні програми для пошуку вірусів користувалися так званими "масками" - шматками вірусного коду. Після появи вірусів "Chameleon" розробники антивірусних програм були змушені шукати інші методи їх виявлення.

Другою подією було поява болгарського "заводу з виробництва вірусів": величезна кількість нових вірусів мали болгарське походження. Це були цілі сімейства вірусів "Murphy", "Nomenclatura", "Beast" (або "512", "Number-of-Beast"), нові модифікації вірусу "Eddie" та ін Особливу активність виявляв хтось Dark Avenger, що випускав на рік по кілька нових вірусів, які використовували принципово нові алгоритми зараження і приховання себе в системі. У Болгарії ж вперше з'явлюся і перша BBS, орієнтована на обмін вірусами та інформацією для вірусописьменників.

У липні 1990 відбувся інцидент з комп'ютерним журналом PC Today (Великобретании). Він містив флоппі-диск, заражений вірусом "DiskKiller". Було продано більше 50.000 копій журналу.

У другій половині 1990-го з'явилися два стелс-монстра - "Frodo" і "Whale". Обидва віруси використовували вкрай складні стелс-алгоритми, а девятікілобайтний "Whale" до того ж застосовував кілька рівнів шифрування та анти-налагоджувальних прийомів.

З'явилися і перші відомі мені вітчизняні віруси: "Peterburg", "Voronezh" і ростовський "LoveChild".

1991

Популяція комп'ютерних вірусів безперервно зростає, досягаючи вже декількох сотень. Зростає і антивірусна активність: відразу два софтверних монстра (Symantec і Central Point) випускають власні антивірусні програми - Norton Anti-Virus і Central Point Anti-Virus. Слідом з'являються менш відомі антивіруси від Xtree і Fifth Generation.

У квітні вибухнула справжня епідемія файлово-завантажувального поліморфік-вірусу "Tequila", а у вересні подібна ж "історія" сталася з вірусом "Amoeba". Росію ці події практично не торкнулися.

Літо 1991: епідемія вірусу "Dir_II", який використав принципово нові способи зараження файлів (link-вірус).

У цілому, рік 1991 був досить спокійним - отаке затишшя перед бурею, що вибухнула в 1992-му.

1992

Віруси для не-IBM-PC і не-MS-DOS практично забуті: "дірки" в глобальних мережах закриття, помилки виправлені, і мережні віруси-черв'яки втратили можливість для розповсюдження. Все більшу і більшу значимість починають набувати файлові, завантажувальні і файлово-завантажувальні віруси для найбільш поширеної операційної системи (MS-DOS) на найпопулярнішому комп'ютері (IBM-PC). Кількість вірусів зростає в геометричній прогресії, різні інциденти з вірусами відбуваються мало не щодня. Розвиваються різні антивірусні програми, виходять десятки кніх і кілька регулярних журналів, присвячених вірусам. На цьому фоні виділяються кілька основних моментів:

Початок 1992: перший поліморфік-генератор MtE, на базі якого через деякий час з'являється відразу декілька поліморфік-вірусів. MtE з'явився також прообразом кількох наступних поліморфік-генераторів.

Березень 1992: епідемія вірусу "Michelangelo" ("March6") і пов'язана з цим істерія. Напевно, це перший відомий випадок, коли антивірусні компанії роздмухували галас навколо вірусу не для того, щоб захистити користувачів від будь-якої небезпеки, а для того, щоб привернути увагу до свого продукту, тобто з метою отримання комерційної вигоди. Так одна американська антивірусна компанія заявила, що 6-го березня буде зруйнована інформація більш ніж на п'ять мільйонів комп'ютерів. У результаті піднялася після цього галасу прибутку різних антивірусних фірм піднялися в кілька разів, а від вірусу в дейтсвітельності постраждали всього близько 10.000 машин.

Липень 1992: поява перших конструкторів вірусів VCL і PS-MPC, які збільшили і без того немаленький потік нових вірусів і, як і MtE у своїй області, підштовхнули вірусописьменників до створення інших, більш потужних конструкторів.

Кінець 1992: перший вірус для Windows, що заражає виконувані файли цієї операційної системи, відкрив нову сторінку в вирусописательстве.

1993

Вірусописьменники серйозно взялися за роботу: крім сотень рядових вірусів, принципово не відрізняються від своїх побратимів, крім цілого ряду нових поліморфік-генераторів і конструкторів, окрім нових електронних видань вірусописьменників з'являється все більше і більше вірусів, що використовують вкрай незвичайні способи зараження файлів, проникнення в систему і т.д. Основними прикладами є:

"PMBS", що працює в захищеному режимі процесора Intel 80386.

"Strange" (або "Hmm") - сольний виступ на тему "стелс-вірус", проте виконане на рівні апаратних переривань INT 0Dh і INT 76h.

"Shadowgard" і "Carbuncle", значно розширили діапазон алгоритмів компаньйон-вірусів;

"Emmie", "Metallica", "Bomber", "Uruguay" і "Cruncher" - використання принципово нових прийомів "спрятиванія" свого коду в заражених файлах.

Навесні 1993 Microsoft випустив свій власний антивірус MSAV, основою якого послужив CPAV від Central Point.

1994

Все більше значення набуває проблема вірусів на компакт-дисках. Швидко ставши популярними, ці диски виявилися одним з основних шляхів поширення вірусів. Зафіксовано відразу декілька інцидентів, коли вірус потрапляв на майстер-диск при підготовці партії компакт-дисків. У результаті на комп'ютерний ринок були випущені досить великі тиражі (десятки тисяч) заражених дисків. Природно, що про їх лікуванні говорити не доводиться - їх доведеться просто знищити.

На початку року у Великобританії з'явилися два вкрай складних поліморфік-вірусу - "SMEG.Pathogen" і "SMEG.Queeg" (до цих пір не всі антивірусні програми в змозі досягти 100%-го результату при їх детектуванні). Автор вірусів поміщав заражені файли на станції BBS, що стало причиною справжньої епідемії і паніки в засобах масової інформації.

Ще одну хвилю паніки викликало повідомлення про нібито існуючий вірус "GoodTimes", розповсюдила цю себе по мережі Інтернет і заражає комп'ютер при отриманні електронної пошти. Накакого такого вірусу насправді не існувало, проте через деякий час з'явився звичайний DOS-вірус з текстом "Good Times", вірус цей отримав назву "GT-Spoof".

Активізуються правоохоронні органи: влітку 1994 автор SMEG був "обчислений" і заарештований. Приблизно в той же самий час в тій же Великобританії арештована ціла група вірусописьменників, що називала себе ARCV (Assotiation for Really Cruel Viruses). Деякий час по тому ще один автор вірусів був арештований в Норвегії.

З'являються кілька нових досить незвичайних вірусів:

Січень 1994: "Shifter" - перший вірус, що заражає об'єктні модулі (OBJ-файли). "Phantom1" - епідемія перший поліморфік-вірусу в Москві.

Квітень 1994: "SrcVir" - сімейство вірусів, що заражають вихідні тексти програм (C і Pascal).

Червень 1994: "OneHalf" - початок повальної епідемії вірусу, до цих пір є найпопулярнішим вірусом в Росії.

Вересень 1994: "3APA3A" - епідемія файлово-завантажувального вірусу, який використовує вкрай незвичайний спосіб впровадження в MS-DOS. Жоден антивірус не виявився готовим до зустрічі з подібного типу монстром.

У 1994 році (весна) перестав існувати один з антивірусних лідерів того часу - Central Point. Він був придбаний фірмою Сімантек, яка до того вже встигла "проковтнути" кілька невеликих фірм, що займалися антивірусними розробками - Peter Norton Computing, Certus International і Fifth Generation Systems.

1995

Нічого дійсно помітного в області DOS-вірусами не сталося, хоча з'являється кілька досить складних вірусів-монстрів типу "NightFall", "Nostradamus", "Nutcracker" і таких кумедних вірусів, як "двостатевий" вірус "RMNS" і BAT-вірус "Winstart ". Широке поширення отримали віруси "ByWay" і "DieHard2" - повідомлення про заражених комп'ютерах були отримані практично зі всього світу.

Лютий 1995: стався інцидент з Microsoft: на диску, що містить демонстраційну версію Windows95, виявлений вірус "Form". Копії цього диску Microsoft розіслав бета-тестерів, один з яких не полінувався перевірити диск на віруси.

Весна 1995: анонсований альянс двох антивірусних компаній - ESaSS (ThunderBYTE anti-virus) і Norman Data Defence (Norman Virus Control). Ці компанії, що випускають досить сильні антивіруси, об'єднали зусилля і приступили до розробки єдиної антивірусної системи.

Серпень 1995: один з поворотних моментів в історії вірусів і антивірусів: у "живому вигляді" виявлений перший вірус для Microsoft Word ("Concept"). Буквально за місяць вірус "облетів" всю земну кулю, заполонив комп'ютери користувачів MS-Word і міцно зайняв перше місце в статистичних дослідженнях, що проводяться різними комп'ютерними виданнями.

1996

Січень 1996: два досить помітних події - з'явився перший вірус для Windows95 ("Win95.Boza") і епідемія вкрай складного поліморфік-вірусу "Zhengxi" в Санкт-Петербурзі.

Березень 1996: перша епідемія вірусу для Windows 3.x. Його ім'я - "Win.Tentacle". Цей вірус заразив комп'ютерну мережу в госпіталі та кількох інших установах у Франції. Цікавість цього події полягала в тому, що це був ПЕРШИЙ Windows-вірус, що вирвався на волю. До того часу (наскільки мені відомо) всі Windows-віруси жили лише в колекціях та електронних журналах вірусописьменників, а в "живому вигляді" зустрічалися тільки завантажувальні, DOS-і Macro-віруси.

Червень 1996: "OS2.AEP" - перший вірус для OS / 2, коректно заражає EXE-файли цієї операційної системи. До цього в OS / 2 зустрічалися лише віруси, які записувалися замість файлу, знищуючи його або діючи методом "компаньйон".

Липень 1996: "Laroux" - перший вірус для Microsoft Excel, до того ж спійманий в "живому вигляді" (практично одночасно в двох нафтовидобувних компаніях на Алясці і в ЮАР). Як і в MS-Word-вірусів, принцип дії "Laroux" грунтується на наявності у файлах так званих макросів - програм на мові Basic. Такі програми можуть бути включені в електронні таблиці Excel так само, як і в документи MS-Word. Як виявилося, вбудований в Excel мова Basic також дозволяє створювати віруси. Цей же вірус в квітні 1997 став причиною епідемії в комп'ютерних фірмах Москви.

Грудень 1996: "Win95.Punch" - перший "резидентний" вірус для Win95. Завантажується в систему як VxD-драйвер, перехоплює звертання до файлів і заражає їх.

У цілому рік 1996 можна вважати початком широкомасштабного наступу комп'ютерного андеграунду на операційну систему Windows32 (Windows95 і Windows NT) і на додатки Microsoft Office. За цей і наступний рік з'явилося кілька десятків вірусів для Windows95/NT і кілька сотень макро-вірусів. У багатьох з них вирусописатели застосовували зовсім нові прийоми і методи зараження, додавали стелс-і поліморфік-механізми і т.п. Таким чином комп'ютерні віруси вийшли на новий виток свого розвитку - на рівень 32-бітових операційних систем. За два роки віруси для Windows32 повторили приблизно все ті ж стадії, що рівно 10 років до того пройшли DOS-віруси, проте на зовсім новому технологічному рівні.

1997

Лютий 1997: "Linux.Bliss" - перший вірус для Linux (різновид юнікс). Так віруси зайняли ще одну "біологічну" нішу.

Лютий-квітень 1997: Макро-віруси перебралися і в Office97. Перші з них виявилися всього лише "відконвертований" в новий формат макро-вірусами для Word 6 / 7, однак практично відразу з'явилися віруси, орієнтовані тільки на документи Office97.

Березень 1997: "ShareFun" - макро-вірус, що вражає MS Word 6 / 7. Для свого розмноження використовує не тільки стандартні можливості MS Word, але також розсилає свої копії по електронній пошті MS-Mail.

Квітень 1997: "Homer" - перший мережевий вірус-хробак, який використовує для свого розмноження File Transfer Protocol (ftp).

Червень 1997: Поява першого самошіфрующегося вірусу для Windows95. Вірус, що має російське походження, був розісланий на кілька BBS в Москві, що стало причиною епідемії.

Листопад 1997: Вірус "Esperanto". Спроба створення (на щастя, невдала) багатоплатформного вірусу, який працює не тільки під DOS і Windows, але в стані заражати і файли Mac OS (Макінтош).

Грудень 1997: з'явилася нова форма вірусу - черв'яки mIRC. Виявилося, що найбільш популярна утиліта Windows IRC (Internet Relay Chat), відома як mIRC, містила "дірку", що дозволяє вірусним скриптам передавати себе по IRC-каналах. В черговий версії IRC дірка була закрита, і mIRC-черв'яки канули в лету.

Основним антивірусним подією 1997 року стало, звичайно ж, відділення антивірусного підрозділу фірми КАМІ в незалежну компанію "Лабораторія Касперського", що зарекомендувала себе на сьогоднішній день як визнаний технічний лідер антивірусної індустрії. Починаючи з 1994 року основний продукт компанії - антивірусний сканер AntiViral Toolkit Pro (AVP) - стабільно показує високі результати в численних тестах, проведених різними тестовими лабораторіями всього світу. Відділення в незалежну компанію дозволило з початку невеликій групі розробників стати першою за значущістю антивірусної компанією на вітчизняному ринку і досить помітною фігурою на ринку світовому. За короткі терміни були розроблені і випущені версії для практично всіх популярних платформ, запропоновані нові антивірусні рішення, створена мережа міжнародної дистрибуції і технічної поддрежки.

У жовтні 1997 року було підписано угоду про ліцензування технологій AVP фінською компанією DataFellows для використання у своїй новій розробці FSAV (F-Secure Anti-Virus). До цього компанія DataFellows була відома як виробник антивіруса F-PROT.

Рік 1997 також помітний з кількох скандалів, що вибухнула між основними виробниками антивірусів в США і Європі. На початку року фірма McAfee оголосила про те, що її фахівці виявили "закладку" в програмах одного зі своїх основних конкурентів - в антивірусі фірми Dr.Solomon. Заява від McAfee наголошувала, що якщо антивірус Dr.Solomon при скануванні виявляє кілька вірусів різних типів, то подальша його робота відбувається у посиленому режиму. Тобто якщо в звичайних умовах на незаражених комп'ютерах антивірус від Dr.Solomon працює в звичайному режимі, то при тестуванні колекцій вірусів перемикається в посилений режим (за термінологією McAfee "cheat mode" - "режим обману"), що дозволяє детектувати віруси, невидимі для Dr . Solomon при скануванні в звичайному режимі. У результаті при тестуванні на незаражених дисках антивірус від Dr.Solomon показує хороші швидкісні результати, а при тестуванні вірусних колекцій показує непогані результати детектування.

Через деякий час Dr.Solomon завдав у відповідь удар, що припав на некоректно побудовану рекламну кампанію McAfee. Конкретно претензії пред'являлися тексту "The Number One Choice Worldwide. No Wonder The Doctor's Left Town ". Одночасно з цим компанія McAfee вела юридичні тяжби з іншого антивірусної компанією Trend Micro з приводу порушення патенту на технологію сканування даних, переданих по Інтернет і електронною поштою. У цей же конфлікт c Trend Micro виявилася втягнута фірма Symantec. Потім Symantec пред'явив позов McAfee за звинуваченням у використанні кодів Symantec в продуктах McAfee. Ну і т.д.

Закінчився рік ще одним помітним подією, пов'язаних з ім'ям McAfee: фірми McAfee Associates і Network General оголосили про об'єднання в єдину компанію Network Assotiates і про позиціонування зусиль не тільки в області антивірусних захистів, але і в розробці універсальних систем комп'ютерної безпеки, шифрування і мережевого адміністрування . Починаючи з цього моменту вірусної та антивірусної історії McAfee слід читати як NAI.

1998

Вірусна атака на MS Windows, MS Office і мережеві додатки не слабшає. З'являються віруси, що використовують усе більш складні прийоми зараження комп'ютерів і нові методи проникнення через комп'ютерні мережі. Крім вірусів на арену виходять також численні троянські програми, що крадуть паролі доступу в Інтернет, і кілька утиліт прихованого адміністрування. Зафіксовані інциденти із зараженими CD-дисками: кілька комп'ютерних журналів поширювали на своїй обкладинці диски з програмами, зараженими Windows-вірусами "CIH" і "Marburg".

Початок року: Епідемія цілого сімейства вірусів "Win32.HLLP.DeTroie", не тільки заражають виконувані файли Windows32, а й здатні передати своєму "господарю" інформацію про зараженому комп'ютері. Унаслідок використання специфічних бібліотек, присутніх тільки у французькій версії Windows, епідемія торкнулася тільки франко-говорять країни.

Лютий 1998: виявлено ще один тип вірусу, що заражає таблиці Excel - "Excel4.Paix" (або "Formula.Paix"). Даний тип макро-вірусу для свого впровадження в таблиці Excel використовує не звичайну для вірусів область макросів, а формули, які, як виявилося, також можуть містити саморозмножуються код.

Лютий-березень 1998: "Win95.HPS" і "Win95.Marburg" - перші поліморфні Windows32-віруси, виявлені до того ж "в живому вигляді". Розробникам антивірусних програм довелося спішно адаптувати до нових умов методики детектування поліморфних вірусів, розрахованих до того тільки на DOS-віруси.

Березень 1998: "AccessiV" - перший вірус для Microsoft Access. Причиною галасу, як це було з вірусами "Word.Concept" і "Excel.Laroux", він не став, оскільки всі вже звикли до того, що додатки MS Office падають одне за іншим.

Березень 1998: Макро-вірус "Cross" - перший вірус, що заражає два різних програми MS Office: Access і Word. Слідом за ним з'явилися ще кілька макро-вірусів, що переносять свій код з одного Office-прокладання в інше.

Травень 1998: вірус "RedTeam". Заражає EXE-файли Windows, розсилає заражені файли за допомогою електронної пошти Eudora.

Червень: епідемія вірусу "Win95.CIH", що стала спочатку масової, потім глобальної, а потім повальної - повідомлення про зараження комп'ютерних мереж і домашніх персональних комп'ютерів обчислювалися сотнями, якщо не тисячами. Початок епідемії зареєстровано на Тайвані, де невідомий хакер заслав заражені файли на місцеві Інтернет-конференції. Звідти вірус пробрався в США, де через недогляд зараженими виявилися відразу кілька популярних Web-серверів - вони поширювали заражені вірусом ігрові програми. Швидше за все, саме ці заражені файли на ігрових серверах і послужили причиною поголовної епідемії вірусу, не слабшав протягом усього року. За результатами рейтингів "популярності" вірус "посунув" таких вірусних суперзірок, як "Word.CAP" і "Excel.Laroux". Слід звернути увагу також на небезпечне прояв вірусу: в залежності від поточної дати вірус стирав Flash BIOS, що в деяких випадках могло призвести до необхідності заміни материнської плати.

Серпень 1998: поява гучного "BackOrifice" ("Backdoor.BO") - утиліти прихованого (хакерського) адміністрування віддалених комп'ютерів і мереж. Слідом за "BackOrifice" з'явилися декілька інших аналогічних програм: "NetBus", "Phase" та інші.

Також у серпні з'явився перший вірус, що заражає виконувані модулі Java - "Java.StangeBrew". Даний вірус не представляв якусь небезпеку для користувачів Інтернет, оскільки на віддаленому компьтере неможливо використовувати необхідні для розмноження функції. Однак він проілюстрував той факт, що атаковані вірусами також можуть бути і додатки, активно використовуються при перегляді Web-серверів.

Листопад 1998: "VBScript.Rabbit" - інтернет-експансія комп'ютерних паразитів продовжилася трьома вірусами, які заражують скрипти VisualBasic (VBS-файли), які активно застосовуються при написанні Web-сторінок. Як логічний наслідок VBScript-вірусів стала поява повноцінного HTML-вірусу ("HTML.Internal"). Стає досить очевидним, що зусилля вірусописьменників починають концентруватися навколо мережевих додатків, і справа йде до появи повноцінного мережного вірусу-хробака, що використовує можливості MS Windows, Office і заражає віддалені комп'ютери, Web-сервера і / або активно распростряняющегося по електронній пошті.

Відбулися також помітні перестановки в антивірусному світі. У травні 1998 компанії Symantec і IBM оголосили про об'єднання своїх зусиль на антивірусному фронті: спільний продукт при цьому поширюється фірмою Symantec під тією ж маркою Norton Anti-Virus, а IBM Anti-Virus (IBMAV) припиняє своє існування. На це моментально відреагували основні конкуренти: Dr.Solomon і NAI (раніше - McAfee) одразу ж випустили прес-релізи з пропозиціями про пільгове опдейте колишніх користувачів IBMAV своїми власними антивірусами.

Не минуло й місяця, як припинив своє існування і сам Dr.Solomon. Він був куплений компанією NAI (McAfee) за 640 мільйонів доларів шляхом обміну акцій. Дана подія викликала шок в антивірусному світі: конфлікт між двома найбільшими гравцями антивірусного бізнесу закінчився купівлею / продажем, в результаті якої з ринку зник один з найбільш помітних і технологічно сильних виробників антивірусного програмного обеспееченія.

1999

Все на світі має проісходть повільно і

неправильно, щоб не зумів загордився людина,

щоб людина була сумний і розгублений.

(Венедикт Єрофєєв. "Москва - Петушки")