Лекция "Антивирусы"

Различают такие типы антивирусных программ: 1) программы­детекторы: предназначены для нахождения зараженных файлов одним из известных вирусов. Некоторые программы­ детекторы   могут   также   лечить   файлы   от   вирусов   или   уничтожать   зараженные   файлы.   Существуют   специализированные,   то   есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами; 2) программы­лекари: предназначены для лечения зараженных дисков и программ. Лечение программы состоит в изъятии из зараженной программы тела вируса. Также могут быть как полифагами, так и специализированными; 3) программы­ревизоры: предназначены для выявления заражения вирусом файлов, а также нахождение поврежденных файлов. Эти программы   запоминают   данные   о  состоянии   программы  и   системных  областей   дисков  в  нормальном  состоянии   (до   заражения)   и сравнивают   эти   данные   в   процессе   работы   компьютера.   В   случае   несоответствия   данных   выводится   сообщение   о   возможности заражения; 4) лекари­ревизоры: предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние. 5)   программы­фильтры:   предназначены   для   перехвата   обращений   к   операционной   системе,   которые   используются   вирусами   для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера. 6) программы­вакцины: используются для обработки файлов и boot­секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).  Следует заметить, что выбор одного "наилучшего" антивируса крайне ошибочное решение. Рекомендуется использовать несколько разных антивирусных пакетов одновременно. Выбирая антивирусную программу следует обратить внимание на такой параметр, как количество распознающих сигнатур (последовательность символов, которые гарантированно распознают вирус). Второй параметр ­ наличие эвристического анализатора неизвестных вирусов, его присутствие очень полезно, но существенно замедляет время работы программы.   На   сегодняшний   день   существует   большое   количество   разнообразных   антивирусных   программ.   Рассмотрим   коротко, распространенные в странах СНГ. DRWEB Один из лучших антивирусов с мощным алгоритмом нахождения вирусов. Полифаг, способный проверять файлы в архивах, документы Word и рабочие книги Excel, выявляет полиморфные вирусы, которые в последнее время, получают все большее распространение. Достаточно   сказать,   что   эпидемию   очень   опасного   вируса   OneHalf   остановил   именно   DrWeb.   Эвристический   анализатор   DrWeb, исследуя программы на наличие фрагментов кода, характерных для вирусов, разрешает найти почти 90% неизвестных вирусов. При загрузке программы, в первую очередь DrWeb проверяет самого себя на целостность, после чего тестирует оперативную память. Программа может работать в диалоговом режиме, имеет удобный настраиваемый интерфейс пользователя. ADINF Антивирус­ревизор диска ADINF (Avanced DiskINFoscope) разрешает находить и уничтожать, как существующие обычные, stealth­ и полиморфные вирусы, так и совсем новые. Антивирус имеет в своем распоряжении лечащий блок ревизора ADINF ­ Adinf Cure Module ­ что может обезвредить до 97% всех вирусов. Эту цифру приводит "Диалогнаука", исходя из результатов тестирования, которое происходило на коллекциях вирусов двух признанных авторитетов в этой области ­ Д.Н.Лозинского и фирмы Dr.Sоlомоn's (Великобритания).  ADINF загружается автоматически в случае включения компьютера и контролирует boot­сектор и файлы на диске (дата и время создания,  длина,  контрольная  сумма),  выводя  сообщения  про  их  изменения.  Благодаря  тому,  что  ADINF  осуществляет  дисковые операции в обход операционной системы, обращаясь к функциям BIOS, достигаются не только возможность выявления активных stеаlth­вірусів,   но   и   высокая   скорость   проверки   диска.   Если   найден   boot­вирус,   то   ADINF   просто   восстановит   предшествующий загрузочный сектор, который хранится в его таблице. Если вирус файловый, то здесь на помощь приходит лечащий блок Adinf Cure Module, который на основе отчета основного модуля о зараженных файлах сравнивает новые параметры файлов с предыдущими, хранящиеся   в   специальных   таблицах.   При   выявлении   расхождений   ADINF   восстанавливает   предыдущее   состояние   файла,   а   не уничтожает тело вируса, как это делают полифаги. AVP Антивирус AVP (AntiVirus Program) относится к полифагам, в процессе работы проверяет оперативную память, файлы, в том числе архивные, на гибких, локальных, сетевых и CD­ROM дисках, а также системные структуры данных, такие как загрузочный сектор, таблицу разделов и т.д. Программа имеет эвристический анализатор, который, по утверждениям разработчиков антивируса способен находить почти 80% всех вирусов. Программа AVP является 32­разрядным приложением для работы в среде операционных систем Windows 98, NT и 2000, имеет удобный интерфейс, а также одну из самых больших в мире антивирусную базу. Базы антивирусов к AVP обновляются приблизительно один раз в неделю и их можно получить с Internеt. Эта программа осуществляет поиск и изъятие разнообразнейших вирусов, в том числе: полиморфных, или самошифрующихся вирусов; стелс­вирусов, или вирусов­невидимок; Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, программы­ шпионы и даже спам.[1] Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру, организуя вирусные эпидемии. Вирусы распространяются, внедряя себя в исполняемый код других программ или же заменяя собой другие программы. Какое­то время даже считалось, что, являясь программой, вирус может заразить только программу — какое угодно изменение не­программы является не заражением, а просто повреждением данных. Подразумевалось, что такие копии вируса не получат управления, будучи информацией, не используемой процессором в качестве инструкций. Так, например неформатированный текст не мог бы быть переносчиком вируса. Однако,  позднее  злоумышленники  добились,   что  вирусным  поведением   может   обладать   не   только  исполняемый   код,   содержащий машинный код процессора. Были написаны вирусы на языке пакетных файлов. Потом появились макровирусы, внедряющиеся через макросы в документы таких программ, как Microsoft Word и Excel. Некоторое время спустя взломщики создали вирусы, использующие уязвимости в популярном программном обеспечении (например, Adobe   Photoshop,   Internet   Explorer,   Outlook),   в   общем   случае   обрабатывающем   обычные   данные.   Вирусы   стали   распространяться посредством   внедрения   в   последовательности   данных   (например,   картинки,   тексты,   и   т.   д.)   специального   кода,   использующего уязвимости программного обеспечения. Ныне существует немало разновидностей вирусов, различающихся по способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и  функциональность  вирусов, которую они  перенимают  от других видов программ:  руткитов, бэкдоров  (создают «чёрный  ход»  в систему), кейлоггеров (регистрация активности пользователей), программ­шпионов (крадут пароли от банковских счётов и номера кредитных  карт),  ботнетов  (превращают  заражённые  компьютеры  в станции  по  рассылке  спама  или  в  часть компьютерных  сетей, занимающихся спамом, DoS­атаками и прочей противоправной активностью). Компьютерный вирус был назван по аналогии с биологическими вирусами. По всей видимости, впервые слово вирус по отношению к программе   было   употреблено   Грегори   Бенфордом   (Gregory   Benford)   в   фантастическом   рассказе   «Человек   в   шрамах»[2], опубликованном в журнале Venture в мае 1970 года. Термин «компьютерный вирус» впоследствии не раз открывался и переоткрывался — так, переменная в программе PERVADE (1975), от значения которой зависело, будет ли программа ANIMAL распространяться по диску, называлась VIRUS. Также, вирусом назвал свои программы Джо Деллинджер (англ. Joe Dellinger), и, вероятно, — это и был первый вирус, названный собственно «вирусом». В   настоящее   время   не   существует   единой   системы   классификации   и   именования   вирусов   (хотя   попытка   создать   стандарт   была предпринята на встрече CARO в 1991 году). Принято разделять вирусы по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макро­вирусы, сетевые черви), по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux), по технологиям, используемым вирусом (полиморфные вирусы, стелс­вирусы), по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.). Макро­вирусы (Macro viruses) являются программами на языках (макро­языках), встроенных во многие системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макро­языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро­вирусы для Microsoft Word, Excel и Office97. Существуют также макро­вирусы, заражающие документы Ami Pro и базы данных Microsoft Access. Классификация файловых вирусов по способу заражения По   способу   заражения   файловые   вирусы   (вирусы,   внедряющие   свой   код   в   исполняемые   файлы:   командные   файлы,   программы, драйверы, исходный код программ и др.) разделяют на перезаписывающие, паразитические, вирусы­звенья, вирусы­черви, компаньон­ вирусы, а так же вирусы, поражающие исходные тексты программ и компоненты программного обеспечения (VCL, LIB и др.). Файловые черви  Файловые черви создают собственные копии с привлекательными для пользователя названиями (например, Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит. Паразитические вирусы  Паразитические вирусы — это файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу. Дискеты  Самый распространённый канал заражения в 1980­90 годы. Сейчас практически отсутствует из­за появления более распространённых и эффективных каналов и отсутствия флоппи­дисководов на многих современных компьютерах. Флеш­накопители (флешки)  В настоящее время USB­флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3­плееры), сотовые телефоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В последней версии MS Windows под торговым названием Windows 7 возможность автозапуска файлов с переносных носителей была устранена. Флешки — основной источник заражения для компьютеров, не подключённых к Интернету. Электронная почта  Сейчас один из основных каналов распространения вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб­сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше. Системы обмена мгновенными сообщениями  Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями. Веб­страницы  Возможно   также   заражение   через   страницы   Интернета   ввиду   наличия   на   страницах   всемирной   паутины   различного   «активного» содержимого: скриптов, ActiveX­компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты   с   большим   потоком   посетителей),   а   ничего   не   подозревающие   пользователи   зайдя   на   такой   сайт   рискуют   заразить   свой компьютер. Интернет и локальные сети (черви)  Черви — вид вирусов, которые проникают на компьютер­жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости)   в   программном   обеспечении   операционных   систем,   чтобы   проникнуть   на   компьютер.   Уязвимости   —   это   ошибки   и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус­ червь попадает в операционную системы и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS­атак. Первые вирусы С появлением первых персональных компьютеров Apple в 1977 году и развитием сетевой инфраструктуры начинается новая эпоха истории вирусов. Появились первые программы­вандалы, которые под видом полезных программ выкладывались на BBS, однако после запуска   уничтожали   данные   пользователей.   В   это   же   время   появляются   троянские   программы­вандалы,   проявляющие   свою деструктивную сущность лишь через некоторое время или при определённых условиях. Первые антивирусы Первые антивирусные утилиты появились зимой 1984 года. Анди Хопкинс (англ. Andy Hopkins) написал программы CHK4BOMB и BOMBSQAD.   CHK4BOMB   позволяла   проанализировать   текст   загрузочного   модуля   и   выявляла   все   текстовые   сообщения   и «подозрительные» участки кода (команды прямой записи на диск и др.). Благодаря своей простоте (фактически использовался только контекстный   поиск)   и   эффективности   CHK4BOMB   получила   значительную   популярность.   Программа   BOMBSQAD.COM перехватывает операции записи и форматирования, выполняемые через BIOS. При выявлении запрещённой операции можно разрешить её выполнение. Первые вирусные эпидемии Очередным этапом развития вирусов считается 1987 год. К этому моменту получили широкое распространения сравнительно дешёвые компьютеры IBM PC, что привело к резкому увеличению масштаба заражения компьютерными вирусами. Именно в 1987 вспыхнули сразу три крупные эпидемии компьютерных вирусов. Brain и другие Первая эпидемия 1987 года была вызвана вирусом Brain (также известен как Пакистанский вирус), который был разработан братьями Амджатом и Базитом Алви (Amdjat и Basit Faroog Alvi) в 1986 и был обнаружен летом 1987. По данным McAfee, вирус заразил только в США более 18 тысяч компьютеров. Программа должна была наказать местных пиратов, ворующих программное обеспечение у их фирмы. В программке значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру. Вирус Brain являлся также и первым стелс­вирусом — при попытке чтения заражённого сектора он «подставлял» его незаражённый оригинал. Вторая эпидемия, берущая начало в Лехайском университете (США), разразилась в ноябре. В течение нескольких дней этот вирус уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет студентов. За время эпидемии вирусом было заражено около четырёх тысяч компьютеров. Последняя вирусная эпидемия разразилась перед самым Новым годом, 30 декабря. Её вызвал вирус, обнаруженный в Иерусалимском Университете (Израиль). Хотя существенного вреда этот вирус не принёс, он быстро распространился по всему миру. В пятницу 13 мая 1988 сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом Jerusalem — в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS­DOS­вирусов, ставший причиной настоящей пандемии — сообщения о заражённых компьютерах поступали из Европы, Америки и Ближнего Востока. Червь Морриса В 1988 году Робертом Моррисом­младшим был создан первый массовый сетевой червь. 60 000­байтная программа разрабатывалась с расчётом на поражение операционных систем UNIX Berkeley 4.3. Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью ARPANET, и остаться там необнаруженным. Вирусная программа включала   компоненты,   позволяющие   раскрывать   пароли,   имеющиеся   в   инфицированной   системе,   что,   в   свою   очередь,   позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса. По самым скромным оценкам инцидент с червём Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов (в эту сумму, также, не совсем обосновано, включены затраты по доработке операционной системы). Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями. Червь Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл­серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя. 4 мая 1990 года суд присяжных признал Морриса виновным. Он был приговорён к условному заключению сроком на два года, 400 часам общественных работ и штрафу размером 10 тыс. долларов. В 1989 году широкое распространение получили вирусы DATACRIME, которые начиная с 12 октября разрушали файловую систему, а до этой даты просто размножались. Эта серия компьютерных вирусов начала распространяться в Нидерландах, США и Японии в начале 1989 года и к сентябрю поразила около 100 тысяч ПЭВМ только в Нидерландах (что составило около 10 % от их общего количества в стране). Даже фирма IBM отреагировала на эту угрозу, выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе. Набор сигнатур мог дополняться и изменяться пользователем. В 1989 году появился первый «троянский конь» AIDS.[17] Вирус делал недоступными всю информацию на жёстком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой­то адрес». Автор программы был арестован в момент обналичивания чека и осуждён за вымогательство. Также был создан первый вирус, противодействующий антивирусному программному обеспечению — The Dark Avenger. Он заражал новые файлы, пока антивирусная программа проверяла жёсткий диск компьютера. Глобализация проблемы вирусов Начиная с 1990 года проблема вирусов начинает принимать глобальный размах. В начале года выходит первый полиморфный вирус — Chameleon. Данная технология была быстро взята на вооружение и в сочетании со   стелс­технологии   (Stealth)   и   бронированием   (Armored)   позволила   новым   вирусам   успешно   противостоять   существующим антивирусным пакетам. Во второй половине 1990 года появились два стелс­вируса — Frodo и Whale. Оба вируса использовали крайне сложные стелс­алгоритмы, а 9­килобайтный Whale к тому же применял несколько уровней шифровки и антиотладочных приёмов. На проблему противостояния вирусам были вынуждены обратить внимание крупные компании — выходит Symantec Norton Antivirus. 1992 год известен как год появления первых конструкторов вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а так же готовых полиморфных модулей (MtE, DAME и TPE) и модулей шифрования. Начиная с этого момента, каждый программист мог легко добавить функции шифрования к своему вирусу. Кроме того, в конце 1992 появился первый вирус для Windows 3.1 — WinVer. В 1993 году появляется всё больше вирусов, использующих необычные способы заражения файлов, проникновения в систему и т. д. Основными   примерами   являются:   PMBS,   работающий   в   защищённом   режиме   процессора   Intel   80386.   Shadowgard   и   Carbuncle, значительно   расширившие   диапазон   алгоритмов   компаньон­вирусов.   Cruncher   —   использование   принципиально   новых   приёмов сокрытия своего кода в заражённых файлах. В начале 1994 года в Великобритании появились два крайне сложных полиморфик­вируса — SMEG.Pathogen и SMEG.Queeg. Автор вирусов помещал заражённые файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации. Автор вируса был арестован. В январе 1994 года появился Shifter — первый вирус, заражающий объектные модули (OBJ­ файлы). Весной 1994 был обнаружено SrcVir, семейство вирусов, заражающих исходные тексты программ (C и Pascal). В июне 1994 года началась эпидемия OneHalf. В 1995 году появляется несколько достаточно сложных вирусов (NightFall, Nostradamus, Nutcracker). Появляются первый «двуполый» вирус  RMNS и BAT­вирус Winstart. Широкое распространение получили вирусы  ByWay и DieHard2 —  сообщения о заражённых компьютерах были получены практически со всего мира. В феврале 1995 года случился инцидент с beta­версией Windows 95, все диски которой оказались заражены DOS­вирусом Form. Windows В 1995 году официально вышла новая версия Windows 95. На пресс­конференции, посвящённой её выходу, Билл Гейтс заявил, что с вирусной угрозой теперь покончено. Действительно, на момент выхода Windows была весьма устойчива к имеющимся DOS вирусам. Однако уже в августе появляется первый вирус для Microsoft Word (Concept), который за несколько недель распространился по всему миру. В 1996 году появился первый вирус для Windows 95 — Win95.Boza. В марте 1996 года на свободу вырвался Win.Tentacle, заражающий компьютеры   под   управлением   Windows   3.1.   Эта   была   первая   эпидемия,   вызванная   вирусом   для   Windows.   Июль   1996   отмечен распространением Laroux — первого вируса для Microsoft Excel. В декабре 1996 появился Win95.Punch — первый резидентный вирус для Win95. Он загружается в систему как VxD­драйвер, перехватывает обращения к файлам и заражает их. В феврале 1997 года отмечены первые макровирусы для Office97. Первые из них оказались всего лишь «отконвертированными» в новый формат макровирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97. Март   1997:   ShareFun   —   макровирус,   поражающий   MS   Word   6/7.   Для   своего   размножения   использует   не   только   стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS­Mail. Он по праву считается первым mail­червём. В июне появляется и первый самошифрующийся вирус для Windows 95. В апреле 1997 года появляется и первый сетевой червь, использующий для своего распространения File Transfer Protocol (ftp). Так же в декабре 1997: появилась новая форма сетевых вирусов — черви mIRC. Начало 1998 года отмечено эпидемией целого семейства вирусов Win32.HLLP.DeTroie, не только заражавших выполняемые файлы Win32, но и способных передать своему «хозяину» информацию о заражённом компьютере. Февраль 1998: обнаружен ещё один тип вируса, заражающий формулы в таблицах Excel — Excel4.Paix. В марте 1998 года появился и AccessiV — первый вирус для Microsoft Access, также в марте был обнаружен и Cross — первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились ещё несколько макровирусов, переносящих свой код из одного Office­ приложения в другое. В феврале­марте 1998 отмечены первые инциденты с Win95.HPS и Win95.Marburg, первыми полиморфными Win32­вирусами. В мае 1998 началась эпидемия RedTeam, который заражал EXE­файлы Windows, и рассылал заражённые файлы при помощи электронной почты Eudora. В июне началась эпидемия вируса Win95.CIH (из­за даты активации 26 апреля также известного как «Чернобыль»), ставшая самой разрушительной   за  все   предшествующие  годы.  Вирус  уничтожал  информацию   на  дисках  и  перезаписывал  Flash  Bios,  что  вызвало физические неисправности у сотен тысяч компьютеров по всему миру. В   августе   1998   появилась   широко   известная   утилита   BackOrifice   (Backdoor.BO),   применяемая   для   скрытого   администрирования удалённых компьютеров и сетей. Следом за BackOrifice были написаны несколько других аналогичных программ: NetBus, Phase и прочие. Также в августе был отмечен первый вирус, заражающий выполняемые модули Java — Java.StangeBrew. Этот вирус не представлял какой­либо опасности для пользователей Интернет, поскольку на удалённом компьютере невозможно использовать необходимые для его   размножения   функции.   Вслед   за   ним   в   ноябре   1998   появился   и   VBScript.Rabbi.   Интернет­экспансия   скриптовых   вирусов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS­файлы), которые активно применяются при написании Web­ страниц. Как логическое следствие VBScript­вирусов стало появление полноценного HTML­вируса (HTML.Internal). 1999   год   прошёл   под   знаком   гибридного   вируса   Melissa,   побившего   все   существовавшие   на   тот   момент   рекорды   по   скорости распространения. Melissa сочетал в себе возможности макровируса и сетевого червя, используя для размножения адресную книгу Outlook. Правоохранительные органы США нашли и арестовали автора Melissa. Им оказался 31­летний программист из Нью Джерси, Дэвид Л. Смит. Вскоре после ареста Смит начал плодотворное сотрудничество с ФБР и, учтя это, федеральный суд приговорил его к необычно мягкому наказанию: 20 месяцам тюремного заключения и штрафу в размере 5 000 долл. США. В апреле был найден и автор вируса CIH (он же «Чернобыль»), которым оказался студент Тайваньского технологического института Чень Инхао ( 陳 盈 豪 , CIH — его инициалы). Однако, из­за отсутствия жалоб на действия вируса со стороны местных компаний, у полиции не было оснований для его ареста. Также   в   1999   году   был   отмечен   первый   macro­вирус   для   Corel   —   Gala.   в   начале   лета   1999   грянула   эпидемия   Интернет­червя ZippedFiles. Этот червь интересен тем, что являлся первым упакованным вирусом, получившим широкое распространение в «диком» виде.