Історія. 1990 – 1998 роки
Починаючи з 1990 року проблема вірусів остаточно втрачає зв’язок з науковими колами й стає надбанням рядових програмістів, що переслідують особисті цілі.
У Болгарії відкривається перша BBS (VX BBS), орієнтована на обмін вірусами й інформацією для їх авторів. Трохи пізніше починають з’являтися конференції Usenet з питань написання вірусів.
Chameleon (початок 1990 року) — перший поліморфний вірус. Його автор, Марко Уошбурн (Mark Washburn) за основу для написання програми взяв відомості про вірус Vienna із книги Ральфа Бюргера “Computer Viruses. The Disease of High Technologies” і додав до них удосконалені принципи самошифрування вірусу Cascade – властивість змінювати зовнішній вигляд як тіла вірусу, так і самого розшифровувача. Тільки в 1992 році був винайдений досить ефективний спосіб нейтралізації поліморфних вірусів – емулятор процесора для дешифрації кодів. Ця технологія є невід’ємним атрибутом кожного сучасного антивірусного продукту.
DiskKiller (січень 1989 року — липень 1990 року) — цим вірусом була заражена дискета безкоштовного додатка до англійського комп’ютерного журналу PC Today. У липні 1990 року передплатникам розійшлося близько 50000 екземплярів. Дія DiskKiller зводилося до знищення всієї інформації на жорсткому диску.
У цей же час уперше були виявлені й перші російські віруси — Peterburg, Voronezh і ростовський LoveChild.
EICAR (European Institute for Computer Anti-virus Research) — у грудні 1990 року в Гамбурзі (Німеччина) був заснований Європейський інститут комп’ютерних антивірусних досліджень. Заплативши організаційний внесок, його членом може стати будь-яка людина, державна або приватна структура й протягом строку підписки одержувати оперативну інформацію про ситуації в області антивірусного захисту й комп’ютерної безпеки в цілому, а також консультації відомих фахівців. Широкому колу користувачів ця організація відома по створеному нею файлу eicar.com, що детектується всіма відомими антивірусними програмами як вірус – наприклад, з ім’ям EICAR-Test-File. Однак ніякої шкоди він не приносить і служить лише як засіб перевірки працездатності антивірусу. Завантажити eicar.com можна з eicar.org або ж написати особисто, дотримуючись рекомендацій, розміщеним на цьому сайті.
Не дивлячись на голосну заяву Питера Нортона, що пролунала двома роками раніше й де він авторитетно заявляв про надуманість проблеми вірусів, наприкінці 1990 року вийшла перша версія антивірусної програми Norton AntiVirus.
Dir_II (літо 1991 року) — вірус, що використав принципово новий спосіб зараження — link-технологію. На сьогоднішній день він залишається єдиним представником цього класу, що був виявлений у дикому виді.
Mt (MuTation Engine, 1991 рік) — перший відомий поліморфік-генератор. Його головне призначення – можливість інтеграції в інші віруси для забезпечення їхнього поліморфізму. Mt поставлявся у вигляді готового об’єктного модуля й супроводжувався докладною документацією.
Роком пізніше, у липні 1992 року з’явився перший конструктор вірусів VCL (Virus Creation Laboratory), що представляє собою графічне середовище для розробки вірусів і різних троянських програм для MS DOS. Починаючи із цього моменту, будь-яка людина могла легко сформувати й написати вірус.
Win.Vir (кінець 1992 року) — перший вірус, що вражає файли, що виконують, Microsoft Windows 3.1. Епідемії не викликав і його появу залишилося практично непомітним. Однак саме Win.Vir поклав початок епохи вірусів для Windows.
Далі події починають розвиватися з неймовірною швидкістю.
Shifter (січень 1994) — перший вірус, що заражає об’єктні модулі (OBJ-файли).
SrcVir (квітень 1994) — сімейство вірусів, що заражають вихідні тексти програм (C й Pascal).
OneHalf (червень 1994) — дуже складний резидентний файлово-завантажувальний поліморфний вірус, що викликав глобальну епідемію в усім світі, у тому числі в Росії. OneHalf заражав завантажувальні сектори дисків й COM/EXE-файли, збільшуючи їхній розмір на 3544, 3577 або 3518 байта, залежно від модифікації. При кожному перезавантаженні зараженого комп’ютера зашифровувалися два останніх незашифрованих раніше циліндри жорсткого диска. Це тривало доти, поки весь вінчестер не виявлявся зашифрованим. Убудована стелс-процедура дозволяла вірусу при запиті зашифрованої інформації робити розшифровку на лету – отже, користувач довгий час перебував у невіданні. Єдиним візуальним проявом вірусу було повідомлення “Dis is one half. Press any key to continue…”, що виводилося в момент досягнення кількістю зашифрованих циліндрів диска половини від їхнього загального числа. Однак при першій же спробі лікування, після вилікування завантажувальних секторів диска, вся інформація на вінчестері ставала недоступної, без можливості відновлення. Популярності цього вірусу в Росії посприяла компанія Доктор Веб, що випустила нову версію свого антивірусу, анонсувавши його як засіб від OneHalf. Однак на практиці після лікування завантажувальних секторів від цього вірусу, Dr.Web забував розшифрувати інформацію на диску й відновити її було вже неможливо.
Наступний рік запам’ятався інцидентом у корпорації Microsoft. У лютому 1995 року, напередодні випуску нової операційної системи Windows 95 була розіслана демонстраційна дискета, заражена завантажувальним вірусом Form. Копії цього диска одержали 160 бета-тестерів, один із яких не полінувався провести антивірусну перевірку.
Слідом за Microsoft відрізнилися журнали PC Magazine (англійська редакція) і Computer Life, які розіслали своїм передплатникам дискети, заражені завантажувальними вірусами Sampo й Parity_Boot відповідно.
Concept (серпень 1995) — перший макровірус, що вражав документи Microsoft Word.
Green Stripe (1995) — перший вірус для AmiPro, популярного в той час текстовий редактор. Вихідний код Green Stripe був безкоштовним додатком до напівпідпільного видання Марка Людвіга (Mark Ludwig) “Underground Technology Review”.
15 листопада 1995 року Кристофер Пайл (Christopher Pile), відомий під псевдонімом Black Baron, автор вірусів Queeg й Pathogen і поліморфік-генератора SMEG був присуджений до 18 місяців тюремного ув’язнення.
Boza (січень 1996) — перший вірус для операційної системи Microsoft Windows 95.
Win.Tentacle (березень 1996) — викликав першу епідемію серед користувачів Microsoft Windows 3.х.
Wazzu — вірус, що став причиною чергового вірусного інциденту в Microsoft. Він був виявлений в одному з документів Word на веб-сайті корпорації. Пізніше Wazzu був знайдений також на компакт-дисках, розповсюджених Microsoft на виставці комп’ютерних технологій Orbit (м. Базель, Швейцарія), а у вересні – на компакт-дисках Microsoft Solution Provider.
Win95.Punch (грудень 1996) — перший резидентний вірус для Windows 95. Він завантажувався в систему як VxD-драйвер, перехоплював звертання до файлів і заражав їх.
Linux.Bliss (лютий 1997) — перший вірус для операційної системи Linux.
ShareFun (березень 1997) — перший макро-вирус для MS Word 6/7, що використає для свого поширення можливості електронної пошти, зокрема, поштову програму MS Mail.
Homer (квітень 1997) — перший мережний вірус-хробак, що використає протокол передачі даних File Transfer Protocol (FTP).
У грудні 1997 року, незабаром після розробки технології IRC (Internet Relay Chat), утворився новий клас шкідливих програм — IRC-чирви.
Win95.HPS й Win95.Marburg (лютий 1998) — перші поліморфні Windows32-віруси. Marburg відомий також тим, що їм були заражені компакт-диски, що супроводжували англійську, словенську, шведську й італійську редакції журналу PC Gamer.
У червні 1998 року був виявлений вірус тайваньского походження Win95.CIH, що містить логічну бомбу на знищення всієї інформації на жорстких дисках і псую вмісту BIOS на деяких материнських платах. Дата спрацьовування програми (26 квітня) збігалася з датою аварії на Чорнобильській атомній електростанції, внаслідок чого вірус одержав друге ім’я – Чорнобиль (Chernobyl). Масштабність епідемії з’ясувалася 26 квітня 1999 року, коли за різними оцінками постраждало біля півмільйона комп’ютерів по усім світі, а загальний збиток склав сотні мільйонів доларів США. Центром епідемії стала Південна Корея, де було заражено більше 300 тисяч комп’ютерів. У Росії Win95.CIH уразив не менш 100 тисяч машин.
BackOrifice, Backdoor.BO (серпень 1998) – перша відома утиліта схованого адміністрування вилучених комп’ютерів. Єдина відмінність цього трояна від звичайних програм для вилученого керування – несанкціонована установка й запуск. Дія утиліти зводилося до схованого спостереження за системою: посилання на трояна були відсутні в списку активних додатків, але при цьому заражений комп’ютер був відкритий для вилученого доступу. Фактично, відкривався вільний вхід на заражені комп’ютери для інших шкідливих програм – згодом виник цілий клас хробаків, розмноження яких базувалося на залишених BackOrifice дірах.
У другій половині 1998 року віруси активно починають освоювати нові технології: Java.StangeBrew — перший вірус, що заражав виконувані модулі Java, VBScript.Rabbit — скрипты Visual Basic (VBS-файли), HTML.Internal — перший HTML-вірус.