Вирусы и антивирусы: гонка вооружений

[Иван 290]

Лаборатория Касперского публикуeт новую статью ведущего технического консультанта по безопасности Дэвида Эмма «Вирусы и антивирусы: гонка вооружений». Статья рассчитана на пользователей, интересующихся историей эволюции вредоносного ПО и параллельного развития антивирусных решений.

В статье рассмотрены этапы развития компьютерных угроз с конца 1980-х годов, когда появились первые вирусы для персональных компьютеров, до первого десятилетия XXI века, когда на на сцену вышли мобильные угрозы. Параллельно автор анализирует, как внедрение новых технологий позволяло антивирусным решениям эффективно реагировать на изменение вредоносного кода.

Первыми вредоносными программами для персональных компьютеров были загрузочные и файловые вирусы для DOS. К концу 1980-х годов к ним присоединились несколько червей, а также первые троянские программы. Для продления жизненного цикла вредоносного кода вирусописатели использовали различные технологии сокрытия его присутствия в системе, помогавшие избежать обнаружения антивирусными сканерами. Некоторые из этих технологий, в частности подавление вывода сообщений об ошибке и полиморфизм (позволяющий вредоносному коду меняться от заражения к заражению), используются вирусописателями по сей день.

Первые антивирусные решения были утилитами для обнаружения и удаления отдельных вирусов. Однако по мере роста числа вирусов стали появляться «антивирусные пакеты», в которые входил антивирусный сканер, проверявший диск по требованию на наличие известных на тот момент вирусов, и в некоторых случаях утилита для удаления вредоносных программ. К концу 1990 года число известных вирусов приблизилось к 300, и разработчики стали реализовывать в антивирусных решениях защиту в режиме реального времени, а также дополнять традиционный сигнатурный поиск вирусов эвристическим и поведенческим анализом, эмуляцией кода и другими новыми технологиями.

Появление в 1995 году макровирусов привело к значительным изменениям в вирусном «ландшафте», и в течение последующих четырех лет их положение оставалось доминирующим. Это были первые вредоносные программы, предназначенные не для заражения программ, а для заражения файлов данных. Их отличие от традиционных вирусов состояло также в том, что они не зависели от конкретной операционной системы или платформы. Это был поворотный этап в развитии вредоносного ПО: сообщество вирусописателей переключило свое внимание с исполняемого кода на данные. Создавать и изменять макровирусы было легче, чем «классический» вредоносный код, и это открыло возможности создания вредоносных программ для гораздо более широкой группы вирусописателей. Как следствие, численность вирусов подскочила с примерно 6000 в июне 1995 года до более чем 25 000 в декабре 1998 года.

Совершенствование компьютерных угроз и внедрение новых способов ведения бизнеса означало, что антивирусным продуктам также необходимо меняться. Стало понятно, что для обеспечения всесторонней защиты сетей предприятий необходимо дополнить решения для рабочих станций и файловых серверов защитой для шлюзов и почтовых серверов.

Появление в марте 1999 года вируса Melissa, который был способен к самостоятельному распространению без участия пользователя, послужило причиной существенных изменений характера вирусной угрозы. Теперь вирусам уже не нужно было ждать, пока ничего не подозревающий пользователь разошлет инфицированный файл. Наступила эра почтовых червей: захватывая систему электронной почты, вредоносные программы получали чрезвычайно эффективный механизм распространения и могли вызвать глобальную эпидемию за считанные дни или даже часы.

В 2001 году на вирусную сцену вернулись интернет-черви, которые зачастую распространяются, используя уязвимости в операционной системе и приложениях (и нередко сочетают этот подход с другими технологиями размножения, чтобы добиться максимальной эффективности). Они и доминировали среди вредоносных программ в последующие годы.

Антивирусные компании отреагировали на появление новых угроз, выпустив решения с расширенными возможностями. В состав этих решений входили персональные сетевые экраны, системы предотвращения вторжений (IPS) для защиты отдельных компьютеров (host-based) и сети в целом, системы контроля поведения приложений и, в некоторых решениях, функция отката, позволяющая отменить изменения, сделанные на компьютере-жертве вредоносной программой.

Обозначившаяся в 2003 году тенденция к падению числа глобальных вирусных эпидемий отражает изменения, произошедшие в мотивации вирусописателей: если первые вирусы создавались и распространялись с целью нанести как можно больший урон, то цель современных вредоносных программ – незаконное обогащение их авторов. Результатом этих изменений стало появление троянских программ, созданных «на заказ» для вторжения в конкретную систему и вредоносного ПО для кражи личных данных пользователей, в частности информации, позволяющей получить доступ к банковским счетам и учетным записям онлайн-игр. Применяются троянцы и для создания ботнетов – сетей, состоящих из зараженных компьютеров, используемых для рассылки спама или распространения вредоносного кода.

Не обошли вирусописатели своим вниманием и мобильные устройства, которые все чаще используются в деловой среде. После обнаружения в 2004 году первого червя для смартфонов новые вирусы, черви и троянские программы для мобильных устройств появлялись регулярно. За считанные годы угрозы для мобильных устройств прошли такой путь, на который вредоносным программам для персональных компьютеров потребовалось 20 лет.

В заключение автор делает вывод о том, что за прошедшие годы ситуация с угрозами кардинально изменилась, и эффективная защита нужна пользователям как никогда ранее. Антивирусные решения должны не только обеспечивать защиту примерно от каждой из 200 новых угроз, появляющихся каждый день, но и реализовывать технологии, способные отразить новые, еще неизвестные угрозы.