Одним из самых печально известных компьютерных вирусов всех времен был вирус Friday 13. Причина, по которой ему было дано такое имя, очень проста: именно в этот день вирус удалял все файлы с расширением .EXE на зараженных компьютерах.

Существует много подобного рода вирусов, названных в честь какой-либо значимой даты, например April 1st, Christmas, July14 или July 13th. Подобным образом, существуют вирусы, в названии которых хотя и нет ссылки на определенное время запуска, однако которые активируются строго в заданный день, например Michelangelo (6 марта) или CIH/Chernobyl (26 апреля). Причину того, что авторы вирусов задают определенное время активации своих созданий, легко понять.

Несколько лет назад, когда интернет был еще в стадии разработки, и был доступным лишь небольшому кругу лиц, единственным средством распространения были дискеты. Очевидно, что это было очень медленное средство распространения, слишком медленное, если сравнивать с размножением современных вирусов. Вирусу Friday 13, который появился в конце 80-х, потребовалось очень много времени, чтобы распространиться и продолжать заражать компьютеры в течение нескольких лет. Для сравнения: по данным одного источника, в январе 2003 года вирусу SQLSlammer потребовалось всего десять минут, чтобы распространиться по всему миру и вызвать разрушения в сети интернет.

Таким образом, авторы вирусов подсчитывают время, необходимое вирусу для распространения, и после этого назначают определенную дату активации, которая им нравится. Благодаря этому вирус получает «инкубационный период», в течение которого он не будет пытаться воздействовать на зараженный компьютер, а попытается распространиться на максимально большее число компьютеров до того момента, когда настанет день его запуска.

Современным вирусам не требуется инкубационного периода для размножения. На практике, поскольку антивирусные компании обновляют свои файлы вирусных баз ежедневно (к сожалению, некоторые из них делают это реже) и используют системы обнаружения новых вирусов, в течение нескольких часов после появления вирусы могут заражать только незащищенные компьютеры или компьютеры с необновленной антивирусной защитой. Следовательно, чем быстрее распространяется, тем эффективнее будут последствия.

Несмотря на это, некоторые недавно появившиеся вирусы также включают определенную дату в своем коде, но, в отличие от старых вредоносных кодов, они делают абсолютно противоположное: они прекращают распространяться в этот день. Создатели вирусов знают, что они имеют превосходный инструмент для быстрого обращения их вредоносных созданий и, поэтому им не надо ждать, чтобы произвести свои разрушительные действия.

В большинстве случаев дата прекращения деятельности устанавливается сразу после даты его выхода, чаще всего, через неделю. Однако, существуют исключения, например, вариант V червя Bagle, автор которого надеется, что вирус продолжит действовать до 1 января, 2005 года.

Причина, по которой раньше программировали дату активации, очевидна, но почему современным вирусам устанавливается дата прекращения, а не начала действия? Самый простой ответ: чтобы оставить место действия другим хакерам для заражения Интернета вредоносными кодами. Если несколько вирусов будут одновременно распространяться и заражать большое число компьютеров, очень трудно будет отдельно подсчитать ущерб от действия определенного вируса.

Даже хотя некоторые авторы вирусов используют свои вирусы для обмена оскорблениями и угрозами, подобная конспирация сближает их, позволяя по очереди заражать компьютерные системы, и в рамках этого негласного соревнования определять, чей вирус вызвал наибольший ущерб информации, хранимой на компьютерах.

Каждому создателю вируса как бы отводится ограниченный временной интервал для распространения кода, как самолету дается время на взлет с аэропорта. Если за этот промежуток вирус не выполнил никаких действий, он выбывает из турнира. Пользователи и администраторы могут обеспечить быстрое уничтожение вирусов, применяя защитные политики, предотвращающие распространение вредоносных кодов.

В наших силах сделать так, чтобы подобные состязания провалились до старта.

http://webplanet.ru