Вирусы. Первое знакомство
Моё первое знакомство с компьютерными вирусами состоялось в 19… году. Тогда только начали появляться персональные IBM-совместимые компьютеры и в организации, где я тогда работал, стояло несколько таких машин.
Первым «настоящим» вирусом был компьютерный вирус, занесённый с какой-то компьютерной игрой то ли «стрелялкой», то ли «бродилкой», которую принёс начальник.
Однажды вечером (во вторую смену) вызывает меня начальник в свой кабинет и указывает на экран своего компьютера. Молча.
А на экране чёрно-белого CGA монитора красуется незабываемая надпись:
Your PC is stone…
Естественно его компьютер на манипуляции не отвечает, на клавиатуру не реагирует, на мышь тоже.
Популярная в то время комбинация из трёх пальцев, нажимающих три известных клавиши для «тёплого» перезапуска системы, также не сработала.
Оставалась кнопка Reset, служащая для «холодного» перезапуска компьютера.
После «холодного» перезапуска выяснилось, что вирус записался на «системную дискету» и после нескольких минут работы (уже работы, а не игры) система виснет снова. С появлением соответствующей надписи конечно.
Кстати в дальнейшем мне встречались разнообразные варианты надписи на экране, также как и переводы этой надписи, появившиеся в компьютерных журналах.
Один из вариантов перевода: Ваш PC тащится…
Естественно, что начальник поставил задачу по «недопущению впредь».
Предотвращение заражения вирусами
Предотвращение заражения вирусами уже тогда не представлялось возможным из-за санкционированного обмена данными с другими организациями и несанкционированного запуска «левых» программ пользователями, для которых в то время компьютер был в новинку.
Естественно было распоряжение, запрещающее ставить на компьютер программы неизвестного происхождения, однако пользователи нередко это распоряжение игнорировали и проблемы возникали вновь.
Потребовалось что-то другое. Задачу переформулировали иначе. Теперь требовалось, чтобы привнесение чужих программ на чужих дискетах не наносило ущерба основной работе. Другими словами требовалось свести ущерб от дискет с вирусами к минимуму.
Кстати в это же время появились и антивирусные программы, которые неплохо справлялись со своей основной задачей. Они выявляли вирусы. А боролись мы сами.
Минимизация ущерба от вирусов
Как сделать так, чтобы ущерб от вирусов был минимальным?
Этот вопрос стоял и стоит и, возможно, будет стоять перед специалистами в области безопасности в сфере информационных технологий.
В 19… году с безопасностью всё было просто – дискеты запирались в сейф.
Оставался вопрос с персональными компьютерами.
Как предотвратить заражение системной дискеты?
Заклеить её было нельзя из-за особенностей работы использовавшихся программ. Кто не знает или забыл можно напомнить, что дискеты или гибкие магнитные диски размером 5 1/4” имели специальный вырез сбоку гибкого пластикового футляра, который (для блокировки записи на дискету) мог быть заклеен специальной полоской алюминиевой фольги с липким слоем. Такие полоски и этикетки для дискет вкладывались в коробку с дискетами.
Решение нашлось в особенностях конфигурации защищаемых компьютеров. Дело в том, что эти компьютеры имели помимо основной памяти ещё и дополнительную память. Рабочие программы эту дополнительную память использовать не могли и при обычной работе она вообще не использовалась!
С дополнительной памятью не работала ни одна из шести поставляемых с компьютером операционных систем! Парадокс! Память есть, а использовать нельзя!
В результате компьютер был конфигурирован таким образом, что вся дополнительная память стала использоваться как виртуальный диск. При этом компьютер работал под управлением PC DOS. Операционная система PC DOS оказалась устойчивой и надёжно работала практически без сбоев. Случалось, что компьютеры работали по 10-15 суток без выключения и без перезагрузки.
При включении компьютера производилась загрузка с системной дискеты, с которой автоматически устанавливались необходимые драйверы, инициировался виртуальный диск в области дополнительной памяти. Затем на виртуальный диск производилось автоматическое копирование командного процессора и всех необходимых для работы программ. В системе указывался новый путь к командному процессору. Запускалась оболочка файлового менеджера.
После этого системная дискета извлекалась из дисковода. Пользователь приступал к работе.
Плюсы метода
-
Системная дискета была защищена от записи
-
При заражении системы вирусами достаточно было воспользоваться кнопкой Reset, для «холодного» перезапуска компьютера
-
Виртуальный диск увеличивал скорость работы прикладных программ, особенно тех, которые часто обращались к командному процессору
Минусы метода
-
Недостаток заключался в том, что данный метод не мог использоваться при другой конфигурации компьютеров
-
Метод работал только на компьютерах с гибкими магнитными дисками
До встречи в Сети!
См.также
Оглавление раздела Интернет
Министерство
образования и науки РФ
Федеральное
государственное автономное образовательное
учреждение высшего профессионального
образования
«Сибирский
федеральный университет»
_______________________________________________________________
Лесосибирский
педагогический институт-
Филиал Федерального
государственного автономного
образовательного учреждения высшего
профессионального образования
Факультет ДПиП
(заочная форма обучения)
Специальность:
«Дошкольная педагогика и психология»
Эссе по
информатике
Тема: «Компьютерные
вирусы»
Выполнила: Нуяксова
Н.Н.
студентка
3 курса, ДПиП,
специальность:
«ДПиП»
заочного отделения
Проверила:
________________
Лесосибирск 2013
XXI
век называют веком компьютерных
технологий. Компьютер становится
неотделимым помощником не только на
работе, но и в быту. Теперь уже у многих
жителей нашей страны дома имеется свой,
персональный компьютер, в том числе и
у меня. Все было бы замечательно, если
бы не компьютерные вирусы, из-за которых
нет-нет да и случаются неприятности с
моим компьютером. Я решила подробнее
разобраться, что это за вирусы и как
обезопасить свой компьютер от «непрошенных
гостей».
Итак, компьютерный
вирус — это специально написанная
небольшая по размерам программа, которая
может «приписывать» себя к другим
программам (т.е. «заражать» их),а
также выполнять различные нежелательные
действия на компьютере.
ПРОЯВЛЕНИЕ НАЛИЧИЯ
ВИРУСА В РАБОТЕ НА ПЭВМ
Все действия вируса
могут выполняться достаточно быстро и
без выдачи каких-либо сообщений, поэтому
мне очень трудно заметить, что в компьютере
происходит что-то необычное. По прошествии
некоторого времени на компьютере
начинает твориться что-то странное,
например:
* некоторые программы
перестают работать или начинают работать
неправильно;
* на экран выводятся
посторонние сообщения, символы и т.д.;
* работа на компьютере
существенно замедляется;
* некоторые файлы
оказываются испорченными и т.д.
К этому моменту,
как правило, уже достаточно много (или
даже большинство) программ являются
зараженными вирусом, а некоторые файлы
и диски — испорченными.
Некоторые виды
вирусов ведут себя еще более коварно.
Они вначале незаметно заражают большое
число программ или дисков, а потом
причиняют очень серьезные повреждения,
например формируют весь жесткий диск
на компьютере. А бывают вирусы, которые
стараются вести себя как можно более
незаметно, но понемногу и постепенно
портят данные на жестком диске компьютера.
Таким образом,
если не предпринимать мер по защите от
вируса, то последствия заражения
компьютера могут быть очень серьезными.
РАЗНОВИДНОСТИ
КОМПЬЮТЕРНЫХ ВИРУСОВ
В последнее время
получили распространение вирусы нового
типа — вирусы, имеющие файловую систему
на диске. Эти вирусы обычно называются
DIR.
Я расскажу о двух
из них: «невидимых» и самомодифицирующихся
вирусах.
«НЕВИДИМЫЕ»
вирусы. Многие резидентные вирусы (и
файловые, и загрузочные) предотвращают
свое обнаружение тем, что перехватывают
обращения DOS (и тем самым прикладных
программ) к зараженным файлам и областям
диска и выдают их в исходном (незараженном)
виде. САМОМОДИФИЦИРУЮЩИЕСЯ вирусы-
самомодифицирующиеся вирусы изменяют
свою стартовую часть, которая служит
для раскодировки остальных команд
вируса.
МЕТОДЫ ЗАЩИТЫ ОТ
КОМПЬЮТЕРНЫХ ВИРУСОВ
Для защиты от
вирусов можно использовать:
* общие средства
защиты информации, которые полезны
также и как страховка от физической
порчи дисков, неправильно работающих
программ или ошибочных действий
пользователя;
* профилактические
меры, позволяющие уменьшить вероятность
заражения вирусом;
* специализированные
программы для защиты от вирусов.
Общие средства
защиты информации полезны не только
для защиты от вирусов. Имеются две
основные разновидности этих средств:
* копирование
информации — создание копий файлов и
системных областей дисков;
* разграничение
доступа предотвращает несанкционированное
использование информации, в частности,
защиту от изменений программ и данных
вирусами, неправильно работающими
программами и ошибочными действиями
пользователей.
Несмотря на то,
что общие средства защиты информации
очень важны для защиты от вирусов, все
же их недостаточно. Необходимо и
применение специализированных программ
для защиты от вирусов.
ДЕЙСТВИЯ ПРИ
ЗАРАЖЕНИИ ВИРУСОМ
При заражении
компьютера вирусом (или при подозрении
на это) важно соблюдать 4-е правила:
1) Прежде всего не
надо торопиться и принимать опрометчивых
решений. Непродуманные действия могут
привести не только к потери части файлов,
но к повторному заражению компьютера.
2) Надо немедленно
выключить компьютер, чтобы вирус не
продолжал своих разрушительных действий.
3) Все действия по
обнаружению вида заражения и лечению
компьютера следует выполнять при
загрузке компьютера с защищенной от
записи дискеты с ОС (обязательное
правило).
4) Если Вы не
обладаете достаточными знаниями и
опытом для лечения компьютера, попросите
помочь более опытных коллег.
Единственный
цивилизованный способ защиты от вирусов
я вижу в соблюдении профилактических
мер предосторожности при работе на
компьютере. А кроме того, даже если вирус
все-таки проник на компьютер, это не
повод для паники. Не стесняйтесь прибегать
к помощи специалистов для борьбы с
компьютерным вирусом, если вы не
чувствуете уверенности в себе.
4
Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
- #
- #
- #
- #
- #
- #
- #
- #
- #
- #
- #
Червь Анны Курниковой
Анна Курникова (названная ее автором как «Vbs.OnTheFly, созданная OnTheFly») была компьютерным червем, написанным 20-летним голландским студентом по имени Ян де Вит, который назвал себя «TheTheFly» 11 февраля 2001 года. Он был разработан для того, чтобы обманом заставить пользователей электронной почты открывать почтовое сообщение, предположительно содержащее фотографию теннисиста Анны Курниковой, при этом фактически скрывая вредоносную программу. Червь приходит по электронной почте с темой «Здесь у вас есть; 0)» и прикрепленным файлом под названием AnnaKournikova.jpg.vbs. При запуске под Microsoft Windows файл не отображает изображение Анны Курниковой, но запускает вирусный скрипт Visual Basic, который перенаправляется всем в адресную книгу Microsoft Outlook жертвы.
ILOVEYOU
ILOVEYOU, иногда называемый Love Bug или Love Letter, был компьютерным червем, который атаковал десятки миллионов персональных компьютеров Windows на Филиппинах и после 5 мая 2000 года по местному времени, когда он начал распространяться в виде сообщения электронной почты с темой. строка «ILOVEYOU» и приложение «LOVE-LETTER-FOR-YOU.txt.vbs». Последнее расширение файла («vbs», тип интерпретируемого файла) чаще всего скрывалось по умолчанию на компьютерах с Windows того времени (так как это расширение для типа файла, известного в Windows), что приводило к тому, что невольные пользователи думали об этом. был обычный текстовый файл. Открытие вложения активировало скрипт Visual Basic. Червь повредил локальный компьютер, перезаписывая файлы случайных типов (включая файлы Office, файлы изображений и аудиофайлы; однако после перезаписи файлов MP3 вирус скрывал файл), и отправлял свою копию на все адреса в Адресная книга Windows, используемая Microsoft Outlook
Вирус Мелиссы
Примерно 26 марта 1999 года Дэвис Л. Смит из Абердина, штат Нью-Джерси, посадил Мелиссу в дикую природу. [2] (Сам вирус был зачислен в Kwyjibo, который, как было показано, был автором макровирусов VicodinES и ALT-F11, сравнивая документы MS Word с тем же глобально уникальным идентификатором – этот метод также использовался для отслеживания вируса до Смита.) В декабре 10, 1999, Смит признал себя виновным в распространении вируса и был приговорен к 10 годам тюремного заключения, отбывая 20 месяцев. Он также был оштрафован на 5000 долларов США. Арест был результатом совместных усилий, в которых участвовали (среди прочего) ФБР, полиция штата Нью-Джерси, Monmouth Internet и шведский ученый-компьютерщик. Дэвида Л. Смита обвинили в нанесении ущерба на сумму 80 миллионов долларов в результате нарушения работы персональных компьютеров и компьютерных сетей в бизнесе и правительстве.
Netsky worm
Netsky – это семейство компьютерных червей, которые влияют на операционные системы Microsoft Windows. Первый вариант появился в понедельник, 16 февраля 2004 года. Вариант «Б» был первым членом семьи, который нашел свое распространение в массовом распространении. Оно появилось в среду, 18 февраля 2004 года. 18-летний Свен Яшан из Германии признался, что написал этих и других червей, таких как Сассер. Хотя отдельные функции варьируются от вируса к вирусу, семейство Netsky, пожалуй, наиболее известно своими комментариями, содержащимися в коде его вариантов, оскорбляющими авторов семейств червей Bagle и Mydoom и, в некоторых случаях, подпрограммами, которые удаляли версии этих вирусов. «Война», как ее называли в средствах массовой информации, привела к неуклонному увеличению числа вариантов вирусов, производимых в этих семьях.
По состоянию на июнь 2004 года у Багла было приблизительно 28, у Netsky – около 29, а у MyDoom – около 10. Другие симптомы у Netsky включали звуковые сигналы в определенные дни, обычно в утренние часы. Червь был разослан по электронной почте, соблазняя получателей открыть вложение. После открытия присоединенная программа сканирует компьютер на наличие адресов электронной почты и отправляет электронную почту на все найденные адреса. До октября 2006 года вариант P этого вируса оставался наиболее распространенным вирусом, рассылаемым по электронной почте во всем мире, несмотря на то, что ему было более двух с половиной лет. Он был превзойден вариантом из семейства вредоносных программ Stration в ноябре 2006 года.
Штормовой червь
Storm Worm (так его называет финская компания F-Secure) – это бэкдор-троян, поражающий компьютеры с использованием операционных систем Microsoft, обнаруженный 17 января 2007 года. Storm Worm начал атаковать тысячи (в основном частных) компьютеров в Европе и Соединенные Штаты в пятницу, 19 января 2007 года, используя электронное сообщение с темой сообщения о недавней погодной катастрофе «230 погибших, когда шторм обрушивается на Европу». В выходные было шесть последующих волн атаки. По состоянию на 22 января 2007 года на долю Storm Worm приходилось 8% всех вредоносных программ в мире. Согласно PCWorld, есть доказательства того, что Штормовой червь был российского происхождения, возможно, его можно отследить и для червя Russian Business Network
Чернобыль
CIH, также известный как Чернобыль или Космический наполнитель, является компьютерным вирусом Microsoft Windows 9x, который впервые появился в 1998 году. Его полезная нагрузка очень разрушительна для уязвимых систем, перезаписывает критическую информацию на зараженных системных дисках, а в некоторых случаях разрушает систему BIOS. Вирус был создан Чэнь Ин-Хау, пиньинь (Чэнь Иньгао), который учился в университете Татунг в Тайване. Теперь он главный исполнительный директор и основатель 8tory. Считается, что 60 миллионов компьютеров заражены этим вирусом на международном уровне, в результате чего коммерческий ущерб оценивается в 1 миллиард долларов США. Чен утверждал, что написал вирус как вызов против смелых заявлений разработчиков антивирусных программ об антивирусной эффективности. Чен заявил, что после того, как вирус был распространен по Татунгскому университету одноклассниками, он извинился перед школой и сделал антивирусную программу доступной для публичного скачивания; антивирусная программа была в соавторстве с Вэн Ши-хао, студентом университета Тамканга. В то время прокуроры на Тайване не могли предъявить обвинение Чену, потому что ни одна жертва не подала иск в суд.
Эти события привели к принятию нового законодательства о компьютерной преступности на Тайване. Название «Чернобыльский вирус» было придумано спустя некоторое время после того, как вирус был уже хорошо известен как CIH, и относится к полному совпадению даты запуска полезной нагрузки в некоторых вариантах вируса (фактически, даты создания вируса в 1998 году, чтобы запустить ровно год). позже) и чернобыльская катастрофа, произошедшая в Советском Союзе 26 апреля 1986 года. Название «Космический заполнитель» было введено потому, что большинство вирусов записывают свой код в конец зараженного файла – однако CIH ищет пробелы в существующих программный код, где он затем пишет свой собственный код. Это не увеличивает размер файла и таким образом помогает вирусу избежать обнаружения.
Zeus
Zeus – это троянский конь, созданный для заражения компьютеров Windows, чтобы он мог выполнять различные преступные задачи. Самыми распространенными из этих задач являются, как правило, ведение клавиатуры человеком-в-браузере и захват форм. Большинство компьютеров были заражены либо при загрузке, либо при фишинге. Впервые выявленный в 2009 году, он смог скомпрометировать тысячи учетных записей FTP и компьютеров крупных транснациональных корпораций и банков, таких как Amazon, Oracle, Bank of America, Cisco и т. Д. Контроллеры бот-сети Zeus использовали его для кражи учетных данных социальной сети. , электронная почта и банковские счета.
Только в США было подсчитано, что более 1 миллиона компьютеров были заражены, причем 25% в США. Вся операция была сложной, с участием людей со всего мира, которые действовали в качестве денежных мулов для контрабанды и передачи наличных денег главарям в Восточной Европе. Около 70 миллионов долларов были похищены и во владении кольца. 100 человек были арестованы в связи с операцией. В конце 2010 года создатель Zeus объявил о своем уходе, но многие эксперты считают это ложным.
Mydoom
В 2004 году Mydoom стал червем для Windows, который стал одним из самых быстро распространяющихся почтовых червей со времен ILOVEYOU. Автор неизвестен, и считается, что создателю заплатили за его создание, поскольку он содержит текстовое сообщение «Энди; Я просто делаю свою работу, ничего личного, извините », – так назвал ее сотрудник McAfee Крейг Шмугар, один из людей, которые изначально ее обнаружили. «Mydom» – это строка текста в коде программы (мой домен), и, чувствуя, что она станет большой, добавила в нее «doom».
Червь распространяется как ошибка передачи электронной почты и содержит вложение. После выполнения он отправляет себя на адреса электронной почты, которые находятся в адресной книге пользователя, и копирует себя в папку любой программы P2P для распространения в этой сети. Сама полезная нагрузка имеет два аспекта: сначала она открывает черный ход, чтобы разрешить удаленный доступ, а затем запускает атаку типа «отказ в обслуживании» на спорную группу SCO. Считалось, что червь был создан, чтобы нарушить SCO из-за конфликта по поводу владения некоторым кодом Linux. Причиненный ущерб составил около 38,5 млрд. Долларов, и червь все еще активен в той или иной форме.
Красный код
Code Red впервые появился в 2001 году и был обнаружен двумя сотрудниками eEye Digital Security. Он был назван Code Red, потому что пара пила Code Red Mountain Dew во время открытия. Червь предназначался для компьютеров с установленным веб-сервером Microsoft IIS, используя проблему переполнения буфера в системе. Он оставляет очень мало следов на жестком диске, поскольку он может работать полностью в памяти, с размером 3569 байт. После заражения он продолжит делать сотни копий самого себя, но из-за ошибки в программировании он будет дублироваться еще больше и в итоге потребляет много системных ресурсов.
Затем будет запущена атака типа «отказ в обслуживании» на несколько IP-адресов, среди которых есть известный сайт Белого дома. Это также позволяет закулисному доступу к серверу, что позволяет удаленный доступ к машине. Самым запоминающимся симптомом является сообщение, которое он оставляет на затронутых веб-страницах, «Взломанный китайцами!», Который сам стал мемом. Позднее был выпущен патч, и было подсчитано, что он принес 2 миллиарда долларов в виде потери производительности. Было затронуто в общей сложности 1-2 миллиона серверов, что удивительно, если учесть, что на тот момент было 6 миллионов серверов IIS.
Crypto Locker
Crypto Locker – это разновидность троянских программ, предназначенных для компьютеров под управлением Windows. Он использует несколько способов распространения, таких как электронная почта, и после заражения компьютера он продолжит шифрование определенных файлов на жестком диске и любом подключенном хранилище, подключенном к нему, с помощью криптографии с открытым ключом RSA. Хотя удалить вредоносное ПО с компьютера достаточно просто, файлы все равно остаются зашифрованными. Единственный способ разблокировать файлы – это заплатить выкуп в срок. Если срок не будет соблюден, выкуп значительно увеличится или ключи дешифрования будут удалены. Выкуп обычно составляет 400 долларов наличными или биткойнами.
Операция по выкупу была в конечном итоге прекращена, когда правоохранительным органам и охранным компаниям удалось взять под контроль часть ботнета, эксплуатирующего крипто-локеры и Zeus. Евгению Богачеву, руководителю кольца, было предъявлено обвинение, и ключи шифрования были переданы на зараженные компьютеры. По данным, полученным в результате рейда, число инфекций оценивается в 500 000, а число тех, кто заплатил выкуп, составляет 1,3%, что составляет 3 миллиона долларов.
Сочинение: Компьютерные вирусы
Введение
Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека — в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.
При этом следует иметь в виду, что антивирусные программы и “железо” не дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема “человек-компьютер”. Как пользователи, так и профессионалы-программисты часто не имеют даже навыков “самообороны”, а их представления о вирусе порой являются настолько поверхностными, что лучше бы их (представлений) и не было.
Немногим лучше обстоят дела на Западе, где и литературы побольше (издается аж три ежемесячных журнала, посвященных вирусам и защите от них), и вирусов поменьше (поскольку “левые” китайские компакт-диски особо на рынок не поступают), и антивирусные компании ведут себя активнее (проводя, например, специальные конференции и семинары для специалистов и пользователей).
У нас же, к сожалению, все это не совсем так. И одним из наименее ”проработанных” пунктов является литература, посвященная проблемам борьбы с вирусами. На сегодняшний день имеющаяся на прилавках магазинов печатная продукция антивирусного толка либо давно устарела, либо написана непрофессионалами, либо авторами типа Хижняка, что гораздо хуже.
Довольно неприятным моментом является также опережающая работа Российского компьютерного “андеграунда”: только за два года было выпущено более десятка электронных номеров журнала вирусописателей “Infected Voice”, появилось несколько станций BBS и WWW-страниц, ориентированные на распространение вирусов и сопутствующей информации.
Все это и послужило толчком к тому, чтобы собрать воедино весь материал, который скопился у меня за восемь лет профессиональной работы с компьютерными вирусами, их анализа и разработке методов обнаружения и лечения.
Стоит мне что-нибудь проглотить, как тут же происходит что-нибудь интересное. Посмотрим, что будет на этот раз!
Льюис Керрол. “Алиса в стране чудес”
1. Феномен компьютерных вирусов
20-е столетие несомненно является одним из поворотных этапов в жизни человечества. Как сказал один из писателей-фантастов, “человечество понеслось вперед, как подстегнутая лошадь”, и, определив себя как технократическую цивилизацию, все свои силы наши деды, отцы и мы сами бросили на развитие техники в самых разных ее обличиях — от медицинских приборов до космических аппаратов, от сельскохозяйственных комбайнов до атомных электростанций, от транспорта до систем связи, — список бесконечен, поскольку крайне сложно привести область деятельности человечества, не затронутую развитием техники. // Что являлось причиной столь широкомасштабного и стремительного развития — военное противостояние политических систем, эволюционное “поумнение” человека или его патологическая лень (изобрести колесо, дабы не таскать мамонта на плечах) — пока неясно. Оставим эту загадку для историков последующих столетий.
Человечество захвачено техникой и уже вряд ли откажется от удобств, предоставляемых ею (мало кто пожелает поменять современный автомобиль на гужевую тягу). Уже очень многими напрочь забыта обычная почта с ее конвертами и почтальонами — вместо нее пришла электронная почта с ее ошеломляющей скоростью доставки (до нескольких минут вне зависимости от расстояния) и очень высокой надежностью. Не представляю себе существования современного общества без компьютера, способного многократно повысить производительность труда и доставить любую мыслимую информацию (что-то вроде принципа “пойди туда, не знаю куда, найди то, не знаю что”). Уже не удивляемся мобильному телефону на улице — я и сам к нему привык всего за один день.
20-е столетие также является одним из самых противоречивых, принесших истории человечества немало парадоксов, основной из которых, как мне кажется, является отношение человека к природе. Перестав жить в дружбе с природой, победив ее и доказав себе, что легко может ее уничтожить, человек вдруг понял, что погибнет и сам, — и поменялись роли в драме ”Человек-Природа”. Раньше человек защищал себя от природы, теперь же он все больше и больше защищает природу от самого себя. Другим феноменом 20-го века является отношение человека к религии. Став технократом, человек не перестал верить в Бога (или его аналогов). Более того, появились и окрепли другие религии.
К основным техническим феноменам 20-го века относятся, на мой взгляд, появление человека в космосе, утилизация атомной энергии вещества, грандиозный прогресс систем связи и передачи информации и, конечно же, ошеломляющее развитие микро- и макро-компьютеров. И как скоро появляется упоминание о феномене компьютеров, так тут же возникает еще один феномен конца нашего столетия — феномен компьютерных вирусов.
Быть может, многим покажется смешным или легкомысленным то, что факт возникновения компьютерных вирусов поставлен в один ряд с исследованиями космоса, атомного ядра и развитием электроники. Возможно, что я неправ в своих рассуждениях, однако дайте возможность объясниться.
Во-первых, компьютерные вирусы — это серьезная и довольно заметная проблема, возникновения которой никто не ожидал. Даже всевидящие фантасты-футурологи прошлого не говорят об этом ничего (насколько это мне известно). В их многочисленных произведениях с той или иной точностью предсказаны практически все технические достижения настоящего (вспомним, например, Уэллса с его идеей полета из пушки на Луну и марсиан, вооруженных неким подобием лазера). Если же говорить о вычислительных машинах, то тема эта вылизана донельзя — однако нет ни одного пророчества, посвященного компьютерным вирусам. Тема вируса в произведениях писателей появилась уже после того, как первый реальный вирус поразил свой первый компьютер.
Во-вторых, компьютерные вирусы — это первая вполне удачная попытка создать жизнь. Попытка удачная, но нельзя сказать, что полезная — современные компьютерные “микроорганизмы” более всего напоминают насекомых-вредителей, приносящих только проблемы и неприятности.
Но все таки — жизнь, поскольку компьютерным вирусам присущи все атрибуты живого — способность к размножению, приспособляемости к среде, движению и т.д. (естественно, только в пределах компьютеров — так же как все вышесказанное верно для биологических вирусов в пределах клеток организма). Более того, существуют “двуполые” вирусы (см. вирус RMNS), а примером “многоклеточности” могут служить, например, макро-вирусы, состоящие из нескольких независимых макросов.
И в-третьих, тема вирусов стоит несколько особняком от всех остальных задач, решаемых при помощи компьютера (забудем о таких специфичных задачах, как взлом защиты от копирования и криптографию). Практически все проблемы, решаемые при помощи вычислительной техники, являются продолжением целенаправленной борьбы человека с окружающей его природой. Природа ставит человеку длинное нелинейное дифференциальное уравнение в трехмерном пространстве — человек набивает компьютер процессорами, памятью, обвешивает пыльными проводами, много курит и в итоге решает это уравнение (или пребывает в состоянии уверенности, что решил). Природа дает человеку кусок провода с вполне определенными характеристиками — человек придумывает алгоритмы передачи как можно большего объема информации по этому проводу, терзает его модуляциями, сжимает байты в биты и терпеливо ждет сверхпроводимости при комнатной температуре. Природа (в лице фирмы IBM) дает человеку очередное ограничение в виде очередной версии IBM PC — и человек не спит ночами, опять много курит, оптимизируя коды очередной базы данных, дабы уместить ее в предоставленные ему ресурсы оперативной и дисковой памяти. И так далее.
А вот борьба с компьютерными вирусами является борьбой человека с человеческим же разумом (в некотором смысле тоже проявлением природных сил, хотя на этот счет имеется более одного мнения). Эта борьба является борьбой умов, поскольку задачи, стоящие перед вирусологами, ставят такие же люди. Они придумывают новый вирус — а нам с ним разбираться. Затем они придумывают вирус, в котором разобраться очень тяжело — но мы с ним разбираемся. И сейчас наверняка где-то сидит за компьютером парень, который не глупее меня, страдающий над очередным монстром, в котором мне придется разбираться целую неделю, а потом еще одну неделю отлаживать алгоритм антивируса. Кстати, чем не эволюция живых организмов?
Итак, появление компьютерных вирусов — один из наиболее интересных моментов в истории технического прогресса 20-го века, и настал момент закончить с околофилософскими рассуждениями и перейти к конкретным вопросам. И вопрос об определении понятия “компьютерный вирус” будет стоять на первом месте.
Так что же такое компьютерный вирус?
На горе лежит дискета
У неё запорчен бут
Через дырочку в конверте
Её вирусы грызут
(Народный фольклор)
2. Что такое компьютерный вирус
Объяснений, что такое компьютерный вирус, можно привести несколько. Самое простое — бытовое объяснение для домохозяйки, которая ни разу в жизни компьютера не видела, но знает, что Он есть, и что в Нем водятся Вирусы. Такое объяснение дается довольно легко, чего нельзя сказать о втором объяснении, рассчитанном на специалиста в области программ. Мне пока не представляется возможным дать точное определение компьютерного вируса и провести четкую грань между программами по принципу “вирус — невирус”.
2.1. Объяснение для домохозяйки
Объяснение будет дано на примере клерка, работающего исключительно с бумагами. Идея такого объяснения принадлежит Д.Н.Лозинскому, одному из известнейших “докторов”.
Представим себе аккуратного клерка, который приходит на работу к себе в контору и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день. Клерк берет верхний лист, читает указания начальства, пунктуально их выполняет, выбрасывает “отработанный” лист в мусорное ведро и переходит к следующему листу. Предположим, что некий злоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаг лист, на котором написано следующее:
“Переписать этот лист два раза и положить копии в стопку заданий соседей”
Что сделает клерк? Дважды перепишет лист, положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второго листа из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделают соседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же, что и первый: перепишут его по два раза и раздадут другим клеркам. Итого, в конторе бродят уже четыре копии первоначального документа, которые и дальше будут копироваться и раздаваться на другие столы.
Примерно так же работает и компьютерный вирус, только стопками бумаг-указаний являются программы, а клерком — компьютер. Так же как и клерк, компьютер аккуратно выполняет все команды программы (листы заданий), начиная с первой. Если же первая команда звучит как “скопируй меня в две другие программы”, то компьютер так и сделает, — и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других ”зараженных” программ, вирус тем же способом будет расходиться все дальше и дальше по всему компьютеру.
В приведенном выше примере про клерка и его контору лист-вирус не проверяет, заражена очередная папка заданий или нет. В этом случае к концу рабочего дня контора будет завалена такими копиями, а клерки только и будут что переписывать один и тот же текст и раздавать его соседям — ведь первый клерк сделает две копии, очередные жертвы вируса — уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копий каждый раз будет увеличиваться в два раза.
Если клерк на переписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий, то через час по конторе будет “бродить” более 1.000.000.000.000.000.000 копий вируса! Скорее всего, конечно же, не хватит бумаги, и распространение вируса будет остановлено по столь банальной причине.
Как это ни смешно (хотя участникам этого инцидента было совсем не смешно), именно такой случай произошел в 1988 году в Америке — несколько глобальных сетей передачи информации оказались переполненными копиями сетевого вируса (вирус Морриса), который рассылал себя от компьютера к компьютеру. Поэтому “правильные” вирусы делают так:
“Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа”.
Проблема решена — “перенаселения” нет, но каждая стопка содержит по копии вируса, при этом клерки еще успевают справляться и с обычной работой.
“А как же уничтожение данных?” — спросит хорошо эрудированная домохозяйка. Все очень просто — достаточно дописать на лист примерно следующее:
“1. Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа.
2. Посмотреть на календарь — если сегодня пятница, попавшая на 13-е число, выкинуть все документы в мусорную корзину”
Примерно это и выполняет хорошо известный вирус “Jerusalem” (другое название — “Time”).
Кстати, на примере клерка очень хорошо видно, почему в большинстве случаев нельзя точно определить, откуда в компьютере появился вирус. Все клерки имеют одинаковые (с точностью до почерка) КОПИИ, но оригинал-то с почерком злоумышленника уже давно в корзине!
Вот такое простое объяснение работы вируса. Плюс к нему хотелось бы привести две аксиомы, которые, как это ни странно, не для всех являются очевидными:
Во-первых, вирусы не возникают сами собой — их создают очень злые и нехорошие программисты-хакеры и рассылают затем по сети передачи данных или подкидывают на компьютеры знакомых. Вирус не может сам собой появиться на Вашем компьютере — либо его подсунули на дискетах или даже на компакт-диске, либо Вы его случайно скачали из компьютерной сети передачи данных, либо вирус жил у Вас в компьютере с самого начала, либо (что самое ужасное) программист-хакер живет у Вас в доме.
Во-вторых: компьютерные вирусы заражают только компьютер и ничего больше, поэтому не надо бояться — через клавиатуру и мышь они не передаются.
2.2. Попытка дать “нормальное” определение
Первые исследования саморазмножающихся искусственных конструкций проводились в середине нынешнего столетия. В работах фон Неймана, Винера и других авторов дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин “компьютерный вирус” появился позднее — официально считается, что его впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. С тех пор прошло немало времени, острота проблемы вирусов многократно возросла, однако строгого определения, что же такое компьютерный вирус, так и не дано, несмотря на то, что попытки дать такое определение предпринимались неоднократно.
Основная трудность, возникающая при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и проч.) либо присущи другим программам, которые никоим образом вирусами не являются, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением возможности распространения).
Например, если в качестве отличительной характеристики вируса принимается скрытность, то лекго привести пример вируса, не скрывающего своего распространения. Такой вирус перед заражением любого файла выводит сообщение, гласящее, что в компьютере находится вирус и этот вирус готов поразить очередной файл, затем выводит имя этого файла и запрашивает разрешение пользователя на внедрение вируса в файл.
Если в качестве отличительной черты вируса приводится возможность уничтожения им программ и данных на дисках, то в качестве контрпримера к данной отличительной черте можно привести десятки совершенно безобидных вирусов, которые кроме своего распространения ничем больше не отличаются.
Основная же особенность компьютерных вирусов — возможность их самопроизвольного внедрения в различные объекты операционной системы — присуща многим программам, которые не являются вирусами. Например, самая распространенная операционная система MS-DOS имеет в себе все необходимое, чтобы самопроизвольно устанавливаться на не-DOS’овские диски. Для этого достаточно на загрузочный флоппи-диск, содержащий DOS, записать файл AUTOEXEC.BAT следующего содержания:
SYS A:
COPY *.* A:
SYS B:
COPY *.* B:
SYS C:
COPY *.* C:
…
Модифицированная таким образом DOS сама станет самым настоящим вирусом с точки зрения практически любого существующего определения компьютерного вируса.
Таким образом, первой из причин, не позволяющих дать точное определение вирусу, является невозможность однозначно выделить отличительные признаки, которые соответствовали бы только вирусам.
Второй же трудностью, возникающей при формулировке определения компьютерного вируса является то, что данное определение должно быть привязано к конкретной операционной системе, в которой этот вирус распространяется. Например, теоретически могут существовать операционные системы, в которых наличие вируса просто невозможно. Таким примером может служить система, где запрещено создавать и изменять области выполняемого кода, т.е. запрещено изменять объекты, которые либо уже выполняются, либо могут выполняться системой при каких-либо условиях.
Поэтому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом.
ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
Следует отметить, что это условие не является достаточным (т.е. окончательным), поскольку следуя вышеприведенному примеру операционная система MS-DOS удовлетворяет данному свойству, но вирусом, скорее всего, не является.
Вот почему точного определения вируса нет до сих пор, и вряд ли оно появится в обозримом будущем. Следовательно нет точно определенного закона, по которому “хорошие” файлы можно отличить от “вирусов”. Более того, иногда даже для конкретного файла довольно сложно определить, является он вирусом или нет.
Вот два примера: вирус KOH и программа ALREADY.COM.
Пример 1. Есть… вирус? утилита? с названием KOH. Эта программа шифрует/расшифровывает диски только по запросу пользователя. Выполнена она в виде загрузочной дискеты — boot-cектор содержит bootstrap loader KOH, а где-то в других секторах лежит основной код KOH. При загрузке с дискеты KOH задает пользователю вопрос типа: “А можно, я сам себя установлю на винчестер?” (если он уже на винчестере, то спрашивает то же самое про дискету). При утвердительном ответе KOH переносит себя с диска на диск.
В результате KOH переносит (копирует) сам себя с дискеты на винчестер, а с винчестера на дискеты, но только с разрешения хозяина компьютера.
Затем KOH выводит текст о своих hot-keys (“горячие” клавиши), по которым он шифрует/расшифровывает диски — спрашивает пароль, читает сектора, шифрует их и делает недоступными, если не знать пароля. Есть у него, кстати, ключ деинсталляции, по коему он сам себя с диска убирает (расшифровав, естественно, все, что было зашифровано).
Итого, KOH — это некая утилита защиты информации от несанкционированного доступа. Добавлена к ней, правда, одна особенность: сия утилита сама себя может копировать с диска на диск (с разрешения пользователя). Вирус ли это?.. Да или нет? Скорее всего — нет…
И все-бы было ничего, и никто бы эту утилиту по имени KOH вирусом не обозвал, но только bootstrap loader у этого KOH практически на 100% совпадает с довольно “популярным” вирусом “Havoc” (“StealthBoot”)… “и все — и крышка празднику”. Вирус! И официальное название есть — “StealthBoot.KOH”.
Если бы, конечно, автором KOH был бы не безызвестный программист, а, скажем, Симантек, или Sierra, или даже Сам Microsoft, то никто бы и не посмел назвать это вирусом…
Пример 2. Есть некая программа ALREADY.COM, которая сама себя копирует в разные подкаталоги на диске в зависимости от системной даты. Вирус? Конечно да — типичный вирус-червь, сам себя расползающий по дискам (включая сетевые). Да?.. Да!
“Вы играли — но не угадали ни одной буквы!” Hе вирус это, как оказалось, а компонента от какого-то софтвера. Однако если этот файл выдернуть из этого софтвера, то ведет он себя как типичный вирус.
Итого были приведены два живых примера:
1. не-вирус — вирус
2. вирус — не-вирус
Внимательный читатель, который не прочь поспорить, может возразить:
Стоп. Hазвание “вирусы” по отношению к программам пришло из биологии именно по признаку саморазмножения. КОH этому условию соответствует, следовательно это есть вирус (или комплекс, включающий вирусный компонент)…
В таком случае DOS является вирусом (или комплексом, включающим вирусный компонент), поскольку в нем есть команда SYS и COPY. А если на диске присутствует файл AUTOEXEC.BAT, приведенный несколькими абзацами выше, то для размножения не потребуется даже вмешательства пользователя. Плюс к этому: если принять за необходимый и достаточной признак вируса возможность саморазмножения, то тогда любая программа, имеющая инсталлятор, является вирусом. Итого: аргумент не проходит.
… что, если под вирусом понимать не просто “саморазмножающийся код”, но “саморазмножающийся код, не выполняющий полезных действий или даже приносящий вред, без привлечения/информирования пользователя”…
Вирус KOH является программой, шифрующей диски по паролю, вводимому пользователем. _Все_ свои действия KOH комментирует на экране и спрашивает разрешения пользователя. Плюс к тому имеет деинсталлятор — расшифровывает диски и удаляет с них свой код. Однако все равно — вирус!
Если в случае с ALREADY.COM привлечь субъективные критерии (полезна/не полезна, входит в комплект/самостоятельна и т.п.), то, возможно, это и не стоит называть вирусом/червяком. Hо стоит ли привлекать эти самые субъективные критерии?
А какие могут быть объективные критерии вируса? Саморазмножение, скрытность и деструктивные свойства? Но ведь на каждый объективный критерий можно привести два контрпримера — a) пример вируса, не подходящего под критерий, и b) пример не-вируса, подходящего под критерий:
Саморазмножение:
Intended-вирусы, не умеющие размножаться по причине большого количества ошибок, или размножающиеся только при очень ограниченных условиях.
MS-DOS и вариации на тему SYS+COPY.
Скрытность:
Вирусы “KOH”, “VirDem”, “Macro.Word.Polite” и некоторые другие информируют пользователя о своем присутствии и размножении.
Сколько примерно (с точностью до десятка) драйверов сидит под стандартной Windows95? Скрытно сидит, между прочим.
Деструктивные свойства:
Безобидные вирусы, типа “Yankee”, которые прекрасно живут в DOS, Windows 3.x, Win95, NT и ничего никуда не гадят.
Старые версии Norton Disk Doctor’а на диске с длинными именами файлов. Запуск NDD в этом случае превращает Disk Doctor’а в Disk Destroyer’а.
Посему тема “нормального” определения компьютерного вируса остается открытой. Есть только несколько точных вех: например, файл COMMAND.COM вирусом не является, а печально известная программа с текстом “Dis is one half” является стопроцентным вирусом (”OneHalf”). Все, что лежит между ними, может как оказаться вирусом, так и нет.
Не горячитесь, Шура, — вы еще не отсидели за прошлое дело.
из Жванецкого
3. Кто и почему пишет вирусы?
Сам я написанием вирусов не занимался, с их авторами пересекаюсь довольно редко, и, следовательно, мои соображения по этому поводу могут быть лишь чисто теоретическими.
Так кто же пишет вирусы? На мой взгляд, основную их массу создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения. Отраден тот факт, что значительная часть таких вирусов их авторами часто не распространяется, и вирусы через некоторое время “умирают” вместе с дискетами, на которых хранятся. Такие вирусы пишутся скорее всего только для самоутверждения.
Вторую группу составляют также молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Единственная причина, толкающая подобных людей на написание вирусов, это комплекс неполноценности, который проявляет себя в компьютерном хулиганстве.
Из-под пера подобных “умельцев” часто выходят либо многочисленные модификации “классических” вирусов, либо вирусы крайне примитивные и с большим числом ошибок (такие вирусы я называю “студенческими”). Значительно облегчилась жизнь подобных вирусописателей после выхода конструкторов вирусов, при помощи которых можно создавать новые вирусы даже при минимальных знаниях об операционной системе и ассемблере, или даже вообще не имея об этом никакого представления. Их жизнь стала еще легче после появления макро-вирусов, поскольку вместо сложного языка Ассемблер для написания макро-вирусов достаточно изучить довольно простой Бейсик.
Став старше и опытнее, но так и не повзрослев, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир “профессиональные” вирусы. Эти очень тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области данных. “Профессиональные” вирусы часто выполнены по технологии “стелс” и(или) являются полиморфик-вирусами, заражают не только файлы, но и загрузочные сектора дисков, а иногда и выполняемые файлы Windows и OS/2.
Довольно значительную часть в моей коллекции занимают “семейства” — группы из нескольких (иногда более десятка) вирусов. Представителей каждой их таких групп можно выделить по одной отличительной черте, которая называется “почерком”: в нескольких различных вирусах встречаются одни и те же алгоритмы и приемы программирования. Часто все или почти все представители семейства принадлежат одному автору, и иногда довольно забавно следить за “становлением пера” подобного художника — от почти “студенческих” попыток создать хоть что-нибудь, похожее на вирус, до вполне работоспособной реализации “профессионального” вируса.
По моему мнению, причина, заставляющая таких людей направлять свои способности на такую бессмысленную работу все та же — комплекс неполноценности, иногда сочетающийся с неуравновешенной психикой. Показателен тот факт, что подобное вирусописательство часто сочетается с другими пагубными пристрастиями. Так, весной 1997 года один из наиболее известных в мире авторов вирусов по кличке Talon (Австралия) скончался в возрасте 21 года от летальной дозы героина.
Несколько отдельно стоит четвертая группа авторов вирусов — “исследователи”. Эта группа состоит из довольно сообразительных программистов, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают способы внедрения в новые операционные системы, конструкторы вирусов и полиморфик-генераторы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради “исследования” потенциалов “компьютерной фауны”.
Часто авторы подобных вирусов не запускают свои творения в жизнь, однако очень активно пропагандируют свои идеи через многочисленные электронные издания, посвященные созданию вирусов. При этом опасность от таких “исследовательских” вирусов не падает — попав в руки “профессионалов” из третьей группы, новые идеи очень быстро реализуются в новых вирусах.
Отношение к авторам вирусов у меня тройственное. Во-первых, все, кто пишет вирусы или способствует их распространению, являются “кормильцами” антивирусной индустрии, годовой оборот которой я оцениваю как минимум две сотни миллионов долларов или даже более того (при этом не стоит забывать, что убытки от вирусов составляют несколько сотен миллионов долларов ежегодно и в разы превышают расходы на антивирусные программы). Если общее количество вирусов к концу 1997 года скорее всего достигнет 20.000, то нетрудно подсчитать, что доход антивирусных фирм от каждого вируса ежегодно составляет минимум 10 тысяч долларов. Конечно же, авторам вирусов не следует надеяться на материальное вознаграждение: как показывает практика, их труд был и остается бесплатным. К тому же на сегодняшний день предложение (новые вирусы) вполне удовлетворяет спрос (возможности антивирусных фирм по обработке новых вирусов).
Во-вторых, мне несколько жаль авторов вирусов, особенно “профессионалов”. Ведь для того, чтобы написать подобный вирус, необходимо: a) затратить довольно много сил и времени, причем гораздо больше, чем требуется для того, чтобы разобраться в вирусе занести его в базу данных или даже написать специальный антивирус; и б) не иметь другого, более привлекательного, занятия. Следовательно, вирусописатели -”профессионалы” довольно работоспособны и одновременно с этим маются от безделья — ситуация, как мне кажется, весьма печальная.
И в третьих, к моему отношении к авторам вирусов довольно сильно подмешаны чувства нелюбви и презрения как к людям, заведомо и бесцельно тратящим себя во вред всем остальным.
Тяжела и неказиста
Жизнь простого программиста
(Народный фольклор)
Нет предела нашему интегралу.
(Народная мудрость)
4. История компьютерных вирусов — от древности до наших дней
4.1. Немного археологии
Мнений по поводу даты рождения первого компьютерного вируса очень много. Мне доподлинно известно только одно: на машине Беббиджа его не было, а на Univac 1108 и IBM-360/370 они уже были (“Pervading Animal” и “Christmas tree”). Таким образом, первый вирус появился где-то в самом начале 70-х или даже в конце 60-х годов, хотя “вирусом” его никто еще не называл. На этом разговор о вымерших ископаемых предлагаю считать завершенным.
4.2. Начало пути
Поговорим о новейшей истории: “Brain”, “Vienna”, “Cascade” и далее. Те, кто начал работать на IBM-PC аж в середине 80-х, еще не забыли повальную эпидемию этих вирусов в 1987-89 годах. Буквы сыпались на экранах, а толпы пользователей неслись к специалистам по ремонту дисплеев (сейчас все наоборот: винчестер сдох от старости, а валят на неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный гимн “Yankee Doodle”, но чинить динамики уже никто не бросился — очень быстро разобрались, что это — вирус, да не один, а целый десяток.
Так вирусы начали заражать файлы. Вирус “Brain” и скачущий по экрану шарик вируса “ Ping-pong” ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилось пользователям IBM-PC, и — появились противоядия. Первым попавшимся мне антивирусом был отечественный ANTI-KOT: это легендарный Олег Котик выпустил в свет первые версии своей программы, которая уничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в стране несколько позднее). Кстати, всем, кто до сих пор сохранил копию этого антивируса, предлагаю немедленно ее стереть (да простит меня Олег Котик!) как программу вредную и ничего, кроме траты лишних нервов и ненужных телефонных звонков, не приносящую. К сожалению, ANTI-KOT определяет вирус “ Time” (“Иерусалимский”) по комбинации “MsDos” в конце файла, а некоторые другие антивирусы эти самые буквы аккуратно прицепляют ко всем файлам с расширением COM или EXE.
Следует обратить внимание на то, что истории завоевания вирусами России и Запада различаются между собой. Первым вирусом, стремительно распространившимся на Западе был загрузочный вирус “ Brain”, и только потом появились файловые вирусы “ Vienna” и “ Cascade”. В России же наоборот, сначала появились файловые вирусы, а годом позже — загрузочные.
Время шло, вирусы плодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялись к файлам и секторам, периодически убивали файлы, дискеты и винчестеры. Одним из первых “откровений” стал вирус “ Frodo.4096” — первый из известных мне файловых вирусов-невидимок (стелс). Этот вирус перехватывал INT 21h и, при обращении через DOS к зараженным файлам, изменял информацию таким образом, что файл появлялся перед пользователем в незараженном виде. Но это была только надстройка вируса над MS-DOS. Не прошло и года, как электронные тараканы полезли внутрь ядра DOS (вирус-невидимка “ Beast.512”). Идея невидимости продолжала приносить свой плоды и далее: летом 1991 года пронесся, кося компьютеры как бубонная чума, вирус “ Dir_II”. “Да-a-a!” сказали все, кто в нем копался.
Но бороться с невидимками было довольно просто: почистил RAM — и будь спокоен, ищи гада и лечи его на здоровье. Побольше хлопот доставляли самошифрующиеся вирусы, которые иногда встречались в очередных поступлениях в коллекции. Ведь для их идентификации и удаления приходилось писать специальные подпрограммы, отлаживать их. Но на это никто тогда не обращал внимания, пока… Пока не появились вирусы нового поколения, те, которые носят название полиморфик-вирусы. Эти вирусы используют другой подход к невидимости: они шифруются (в большинстве случаев), а в расшифровщике используют команды, которые могут не повторяться при заражении различных файлов.
4.3. Полиморфизм — мутация вирусов
Первый полиморфик-вирус появился в начале 90-х кодов — “ Chameleon”, но по-настоящему серьезной проблема полиморфик-вирусов стала лишь год спустя — в апреле 1991-го, когда практически весь мир был охвачен эпидемией полиморфик-вируса “ Tequila” (насколько мне известно, эта эпидемия практически не затронула Россию, а первая Российская эпидемия, вызванная полиморфик-вирусом, произошла аж три года спустя — год 1994, это был вирус “ Phantom1”).
Популярность идеи самошифрующихся полиморфик-вирусов вылилась в появление генераторов полиморфик-кода — в начале 1992 появляется знаменитый вирус “ Dedicated”, базирующийся на первом известном полиморфик-генераторе MtE и открывший серию MtE-вирусов, а через довольно короткое время появляется и сам полиморфик-генератор. Представляет он из себя объектный модуль (OBJ-файл), и теперь для того чтобы из самого обычного нешифрованного вируса получить полиморфик-мутанта достаточно лишь слинковать их объектные модули — OBJ-файл полиморфик-генератора и OBJ-файлом вируса. Теперь автору вируса, если он желает создать настоящий полиморфик-вирус, не придется корпеть над кодами собственного за/расшифровщика. При желании он может подключить к своему вирусу полиморфик-генератор и вызывать его из кодов вируса.
К счастью, первый MtE-вирус не попал в “живую природу” и не вызвал эпидемии, а разработчики антивирусных программ, соответственно, имели некоторый запас времени для подготовки к отражению новой напасти.
Всего год спустя производство полиморфик-вирусов становится уже “ремеслом”, и в 1993 году произошел их “обвал”. В поступающих в коллекцию вирусах удельный вес самошифрующихся полиморфик-вирусов становится все больше и больше. Создается впечатление, что одним из основных направлений в трудном деле создания вирусов становится разработка и отладка полиморфик-механизма, а конкуренция среди авторов вирусов сводится не к тому, кто из них напишет самый крутой вирус, а чей полиморфик-механизм окажется круче всех.
Вот далеко не полный список тех из них, которые можно назвать стопроцентно полиморфичными (конец 1993):
Bootache, CivilWar (четыре версии), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Moctezuma (две версии), MVF, Necros, Nukehard, PcFly (три версии), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (восемь версий).
Для обнаружения этих вирусов приходится использовать специальные методы, к которым можно отнести эмуляцию выполнения кода вируса, математические алгоритмы восстановления участков кода и данных в вирусе и т.д. К не-стопроцентным полиморфикам (т.е. которые шифруют себя, но в расшифровщике вируса всегда существуют постоянные байты) можно отнести еще десяток новых вирусов:
Basilisk, Daemaen, Invisible (две версии), Mirea (несколько версий), Rasek (три версии), Sarov, Scoundrel, Seat, Silly, Simulation.
Однако и они требуют расшифровки кода для их детектирования и восстановления пораженных объектов, поскольку длина постоянного кода в рассшифровщике этих вирусов слишком мала.
Параллельно с полиморфик-врусами развиваются полиморфик-генераторы. Появляется несколько новых, использующих более сложные методы генерации полиморфик-кода, они распространяются по станциям BBS в виде архивов, содержащих объектные модули, документацию и примеры использования. В конце 1993 года было известно уже семь генераторов полиморфик-кода. Это:
MTE 0.90 (Mutation Engine), четыреразличныеверсии TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel’s Multiple Encryptor)
С тех пор новые полиморфные генераторы появлялись по несколько штук в год, и приводить их полный список вряд ли имеет смысл.
4.4. Автоматизация производства и конструкторы вирусов
Лень — движущая сила прогресса. Эта народная мудрость не нуждается в комментариях. Но только в середине 1992 года прогресс в виде автоматизации производства дошел и до вирусов. Пятого июля 1992 года объявлен к выпуску в свет первый конструктор вирусного кода для IBM-PC совместимых компьютеров — пакет VCL ( Virus Creation Laboratory) версии 1.00.
Этот конструктор позволяет генерировать исходные и хорошо откомментированные тексты вирусов (файлы, содержащие ассемблерный текст), объектные модули и непосредственно зараженные файлы. VCL снабжен стандартным оконным интерфейсом. При помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, подключить до десяти эффектов, сопровождающих работу вируса и т.п. Вирусы могут использовать стандартный способ поражения файлов в их конец, или записывать себя вместо файлов, уничтожая их первоначальное содержимое, или являться вирусами-спутниками (международный термин — компаньон-вирусы [companion]).
И все сразу стало значительно проще: захотел напакостить ближнему — садись за VCL и, за 10-15 минут настрогав 30-40 разных вирусов, запусти их на неприятельском компьютере(ах). Каждому компьютеру — отдельный вирус!
Дальше — больше. 27 июля появилась первая версия конструктора PS-MPC ( Phalcon/Skism Mass-Produced Code Generator). Этот конструктор не содержит в себе оконного интерфейса и генерирует исходные тексты вирусов по файлу конфигурации. Этот файл содержит в себе описание вируса: тип поражаемых файлов (COM или EXE); резидентность (PS-MPC создает также и резидентные вирусы, чего не позволяет конструктор VCL); способ инсталляции резидентной копии вируса; возможность использования самошифрования; возможность поражения COMMAND.COM и массу другой полезной информации.
На основе PS-MPC был создан конструктор G2 ( Phalcon/Skism’s G2 0.70 beta), который поддерживает файлы конфигурации стандарта PS-MPC, однако при генерации вируса использует большее количество вариантов кодирования одних и тех же функций.
Имеющаяся у меня версия G2 помечена первым января 1993 года. Видимо, новогоднюю ночь авторы G2 провели за компьютерами. Лучше бы они вместо этого попили шампанского, хотя одно другому не мешает.
Итак, каким же образом повлияли конструкторы вирусов на электронную фауну? В коллекции вирусов, которая хранится на моем “складе”, количество “сконструированных” вирусов следующее:
на базе VCL и G2 — по несколько сотен;
на базе PS-MPC — более тысячи.
Так проявилась еще одна тенденция в развитии компьютерных вирусов: все большую часть в коллекциях начинают занимать “сконструированные” вирусы, а в ряды их авторов начинают вливаться откровенно ленивые люди, которые сводят творческую и уважаемую профессию вирусописания к весьма заурядному ремеслу.
4.5. За пределы DOS
Год 1992-й принес больше, чем полиморфик-вирусы и вирус-конструкторы. В конце этого года появился первый вирус для Windows, открывший, таким образом, новую страницу в истории вирусописания. Небольшого размера (менее 1K), совершенно безвредный и нерезидентный вирус вполне грамотно заражал выполняемые файлы нового формата Windows (NewEXE) и своим появлением пробил для вирусов окно в мир Windows.
Через некоторое время появились вирусы для OS/2, а в январе 1996 — и первый вирус для Windows95. На сегодняшний день не проходит и недели без появления новых вирусов, заражающих не-DOS системы, и, видимо, проблема не-DOS вирусов в скором времени выйдет на первый план, перекрыв проблему DOS-вирусов. Скорее всего, это произойдет эквивалентно постепенному умиранию DOS и распространению новых операционных систем и программ для них. Коль скоро все существующие DOS-приложения будут замещены их аналогами для Windows, Win95 и OS/2, проблема DOS-вирусов сойдет на нет и оставит после себя лишь теоретический интерес для компьютерного социума.
В том же 1993 году появилась и первая попытка написать вирус, работающий в защищенном режиме процессора Intel386. Это был загрузочный вирус “ PMBS”, названный так по строке текста внутри его кода. При загрузке с зараженного диска вирус переходил в защищенный режим, устанавливал себя как супервизор системы и затем загружал DOS в режиме виртуального окна V86. К счастью, вирус этот оказался “не жильцом” — его второе поколение напрочь отказывалось размножаться по причине нескольких ошибок в коде вируса. К тому же он “завешивал” систему, если какая-либо из программ пыталась выйти за пределы V86, например, определить наличие расширенной памяти.
Эта неудачная попытка написать вирус-супервизор так и оставалась единственной известной вплоть до весны 1997 года, когда один московский умелец выпустил вирус “ PM.Wanderer” — вполне “удачную” реализацию вируса, работающего в защищенном режиме.
Пока непонятно, станут ли в дальнейшем вирусы-супервизоры действительной проблемой для пользователей и разработчиков антивирусных программ. Скорее всего нет, так как такие вирусы должны “засыпать” на время работы новых операционных систем (Windows, Win95/NT, OS/2), что позволяет их (вирусы) легко обнаружить и удалить. Однако полноценный вирус-супервизор, использующий технологию “стелс” может принести немало неприятностей пользователям “чистой” DOS, ведь обнаружить такой стелс-вирус под DOS не представляется возможным.
4.6. Эпидемия макро-вируса
Год 1995-й, август. Все прогрессивное человечество, компания Microsoft и Билл Гейтс лично празднуют выход новой операционной системы Windows95. На фоне шумного торжества практически незамеченным прошло сообщение о появлении вируса, использующего принципиально новые методы заражения, вируса, заражающего документы Microsoft Word.
Честно говоря, это был не первый вирус, заражающий документы Word. До этого момента антивирусные фирмы уже имели на руках первый опытный образец вируса, который переписывал себя из документа в документ. Однако никто не обратил серьезного внимания на этот не вполне удачный эксперимент. В результате практически все антивирусные фирмы оказались не готовыми к последующему развитию событий — эпидемии макро-вируса — и начали спешно предпринимать полу-меры. Например, несколько фирм практически одновременно выпустили в свет документы-антивирусы, действовавшие примерно по тем же принципам, что и вирус, однако уничтожавшие его вместо размножения.
Кстати, спешно пришлось править антивирусную литературу — ведь она раньше на вопрос “Можно ли заразить компьютер при чтении файла?” отвечала “Однозначно — нет!” и приводила длинные доказательства этого.
А вирус, получивший к тому времени имя “ Concept”, продолжал победное движение по планете. Появившись скорее всего в каком-то из подразделений фирмы Microsoft, “Concept” в мгновение ока завладел тысячами (если не миллионами) компьютеров. Это неудивительно, ведь передача текстов в формате MS Word стала де-факто одним из стандартов, а для того, чтобы заразиться вирусом, требуется всего-лишь открыть зараженный документ, и все остальные документы, редактируемые в зараженном Word’e также оказываются зараженными. В результате, получив по Internet зараженный файл и прочитав его, пользователь, не зная того сам, оказывался “разносчиком заразы”, и вся его переписка (если, конечно же она велась при помощи MS Word) также оказывалась зараженной! Таким образом, возможность заражения MS Word, помноженная на скорость Internet, стала одной из самых серьезных проблем за всю историю существования вирусов.
Не прошло и года, как летом 1996-го года появился вирус “ Laroux” (“Лару”), заражающий таблицы MS Excel. Как и в случае с вирусом “Concept”, новый макро-вирус был обнаружен “в природе” практически одновременно в разных фирмах. Кстати, в 1997 году этот вирус стал причиной эпидемии в Москве.
В том же 1996 году появились первые конструкторы макро-вирусов, а в начале 1997 года появились первые полиморфик-макро-вирусы для MS-Word и первые вирусы для MS Office97. Плюс к тому непрерывно росло число разнообразных макро-вирусов, достигшее нескольких сотен к лету 1997-го.
Открыв новую страницу в августе 1995-го, опираясь на весь опыт, накопленный вирусописательством за почти десятилетие непрерывной работы и совершенствования, макро-вирусы, пожалуй, являются самой большой проблемой современной вирусологии.
4.7. Хронология событий
Пора перейти к более детальному описанию событий. Начнем с самого начала.
конец 1960 — начало 1970-х
На мейнфреймах этого времени периодически появлялись программы, которые получили название “кролик” (the rabbit). Эти программы клонировали себя, занимали системные ресурсы и таким образом снижали производительность системы. Скорее всего “кролики” не передавались от системы к системе и являлись сугубо местными явлениями — ошибками или шалостями системных программистов, обслуживавших компьютер. Первый же инцидент, который смело можно назвать эпидемией “компьютерного вируса”, произошел на системе Univax 1108. Вирус, получивший название “Pervading Animal”, дописывал себя к выполняемым файлам — делал практически то же самое, что тысячи современных компьютерных вирусов.
первая половина 1970-х
Под операционную систему Tenex создан вирус “The Creeper”, использовавший для своего распространения глобальные компьютерные сети. Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с этим вирусом была создана программа “The Reeper” — первая известная антивирусная программа.
Начало 1980-х
Компьютеры становятся все более и более популярными. Появляется все больше и больше программ, авторами которых являются не софтверные фирмы, а частные лица, причем эти программы имеют возможность свободного хождения по различным серверам общего доступа — BBS. Результатом этого является появление большого числа разнообразных “ троянских коней” — программ, которые при их запуске наносят системе какой-либо вред.
1981
Эпидемия загрузочного вируса “Elk Cloner” на компьютерах Apple II. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Проявлял он себя весьма многосторонне — переворачивал экран, заставлял мигать текст на экране и выводил разнообразные сообщения.
1986
Пандемия первого IBM-PC вируса “ Brain”. Вирус, заражающий 360Kб дискеты, практически мгновенно разошелся по всему миру. Причиной такого “успеха” являлась скорее всего неготовность компьютерного общества к встрече с таким явлением, как компьютерный вирус.
Вирус был написан в Пакистане братьями Basit и Amjad Farooq Alvi, оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Как утверждали авторы вируса, они являлись владельцами компании по продаже программных продуктов и решили выяснить уровень пиратского копирования в их стране. К сожалению, их эксперимент вышел за границы Пакистана.
Интересно, что вирус “Brain” являлся также и первым стелс-вирусом — при попытке чтения зараженного сектора он “подставлял” его незараженный оригинал.
В том же 1986 году программист по имени Ральф Бюргер (Ralf Burger) обнаружил, что программа может делать собственные копии путем добавления своего кода к выполняемым DOS-файлам. Его первый вирус, названный “ VirDem”, демонстрировал эту возможность. Этот вирус был проанонсирован в декабре 1986 на форуме компьютерного “андеграунда” — хакеров, специализировавшихся в то время на взломе VAX/VMS-систем (Chaos Computer Club in Hamburg).
1987
Появление вируса “ Vienna”. Копия этого вируса попадает в руки все того же Ральфа Бюргера, который дизассемблирует вирус и помещает результат в свою книгу “Computer Viruses: A High Tech Desease” (русский аналог — “Пишем вирус и антивирус” г. Хижняка). Книга Бюргера популяризовала идею написания вирусов, объясняла как это происходит и служила таким образом толчком к написанию сотен или даже тысяч компьютерных вирусов, частично использовавших идеи из этой книги.
В том же году независимо друг от друга появляется еще несколько вирусов для IBM-PC. Это знаменитые в прошлом “ Lehigh”, заражающий только COMMAND.COM, “ Suriv-1” (другое название — “April1st”), заражающий COM-файлы, “ Suriv-2”, заражающий (впервые) EXE-файлы, и “ Suriv-3”, заражающий как COM-, так и EXE-файлы. Появляются также несколько загрузочных вирусов (“ Yale” в США, “ Stoned” в Новой Зеландии и “PingPong” в Италии) и первый самошифрующийся файловый вирус “ Cascade”.
Не остались в стороне и не-IBM-компьютеры: было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.
В декабре 1987 произошла первая известная повальная эпидемия сетевого вируса “ Cristmas Tree”, написанного на языке REXX и распространявшего себя в операционной среде VM/CMS. 9-го декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем — в сеть IBM VNet. Через четыре дня (13 декабря) вирус парализовал сеть — она была забита его копиями (см. пример про клерка несколькими страницами выше). При запуске вирус выводил на экран изображение новогодней (вернее, рождественской) елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG.
1988
В пятницу 13-го мая 1988-го года сразу несколько фирм и университетов нескольких стран мира “познакомились” с вирусом “ Jerusalem” — в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии — сообщения о зараженных компьютерах поступали из Европы, Америки и Ближнего Востока. Название, кстати, вирус получил по месту одного из инцидентов — университета в Иерусалиме.
Вместе с несколькими другими вирусами (“ Cascade”, “ Stoned”, “ Vienna”), вирус “ Jerusalem” распространился по тысячам компьютеров, оставаясь незамеченным — антивирусные программы еще не были распространены в то время так же широко как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов. Показателен тот факт, что в том же году компьютерный гуру и человек-легенда Питер Нортон высказался против существования вирусов. Он объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал фирме Symantec через некоторое время начать собственный антивирусный проект — Norton Anti-Virus.
Начали появляться заведомо ложные сообщения о компьютерных вирусах, никакой реальной информации не содержащие, но вносившие панику в стройные ряды компьютерных пользователей. Одна из первых таких “злых шуток” (современный термин — “virus hoax”) принадлежит некому Mike RoChenle (псевдоним похож на “Microchannel”), который разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бод. Как это ни смешно, многие пользоватеили отказались от стандарта тех дней 2400 и снизили скорость своих модемов до 1200 бод. Подобные “hoax”-ы появляются и сейчас. Наиболее известны на сегодняшний день — GoodTimes и Aol4Free.
Ноябрь 1988: повальная эпидемия сетевого вируса Морриса (другое название — Internet Worm). Вирус заразил более 6000 компьютерных систем в США (включая NASA Research Institute) и практически парализовал их работу. По причине ошибки в коде вируса он, как и вирус-червь “ Cristmas Tree”, неограниченно рассылал свои копии по другим компьютьерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.
Вирус использовал для своего размножения ошибки в операционной системе Unix для VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал несколько других оригинальных идей, например, подбор паролей пользователей. Подробнее об этом вирусе и связанным с ним инцидентом можно прочитать в достаточно подробной и интересной статье Игоря Моисеева в журнале КомпьютерПресс, 1991, N8,9.
Декабрь 1988: сезон вирусов-червей продолжается, на этот раз в сети DECNet. Вирус-червь HI.COM выводил на экран изображение елочки и извещал пользователей, что им следует “stop computing and have a good time at home!!!”
Появляются новые антивирусные программы, например, Dr.Solomon’s Anti-Virus Toolkit, являющийся на сегодняшний день одним из самых мощных антивирусов.
1989
Появляются новые вирусы — “ Datacrime”, “FuManchu” и целые семейства — “Vacsina” и “ Yankee”. Первый имел крайне опасное проявление — с 13 октября по 31 декабря он форматировал винчестер. Этот вирус вырвался “на свободу” и вызвал повальную истерию в средствах массовой информации в Голландии и Великобритании.
Сентябрь 1989: на рынок выходит еще одна антивирусная программа — IBM Anti-Virus.
Октябрь 1989: в сети DECNet зафиксирована еще одна эпидемия вируса-червя — “WANK Worm”.
Декабрь 1989: инцидент с “троянским конем” “ Aids”. Было разослано 20.000 его копий на дискетах, помеченных как “AIDS Information Diskette Version 2.0”. После 90 загрузок системы “троянец” шифровал имена всех файлов на диске, делал их невидимыми (атрибут “hidden”) и оставлял на диске только один читаемый файл — счет на 189 долларов, который следовало послать по адресу PO Box 7, Panama. Автор “троянца” был пойман и приговорен к тюремному заключению.
Следует отметить тот факт, что 1989 год являлся началом повальной эпидемии компьютерных вирусов в России — все те же вирусы “Cascade”, “Jerusalem” и “Vienna” заполонили компьютеры российских пользователей. К счастью, российские программисты довольно быстро разобрались с принципами их работы и практически сразу появилось несколько отечественных противоядий-антивирусов.
Мое первое знакомство с вирусом (это был вирус “Cascade”) произошло в октябре 1989 года — вирус оказался обнаруженным на моем рабочем компьютере. Именно это и послужило толчком для моей профессиональной переориентации на создание программ-антивирусов. Кстати, тот первый вирус я вылечил популярной в те времена антивирусной программой ANTI-KOT Олега Котика. Месяцем позже второй инцидент (вирус “Vacsina”) был закрыт при помощи первой версии моего антивируса -V (который несколькими годами позже был переименован в AVP — AntiViral Toolkit Pro). К концу 1989 года на просторах России паслось уже около десятка вирусов (перечислены в порядке их появления): две версии “Cascade”, несколько вирусов “Vacsina” и “Yankee”, “Jerusalem”, “Vienna”, “Eddie”, “PingPong”.
1990
Этот год принес несколько довольно заметных событий. Первым из них является появление первых полиморфик-вирусов “ Chameleon” (другое название — “V2P1”, “V2P2” и “V2P6”). До этого момента антивирусные программы для поиска вирусов пользовались так называемыми “масками” — кусками вирусного кода. После появления вирусов “Chameleon” разработчики антивирусных программ были вынуждены искать другие методы их обнаружения.
Вторым событием являлось появление болгарского “завода по производству вирусов”: огромное количество новых вирусов имели болгарское происхождение. Это были целые семейства вирусов “ Murphy”, “ Nomenclatura”, “ Beast” (или “512”, “Number-of-Beast”), новые модификации вируса “ Eddie” и др. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и скрытия себя в системе. В Болгарии же впервые появлась и первая BBS, ориентированная на обмен вирусами и информацией для вирусописателей.
В июле 1990 произошел инцидент с компьютерным журналом PC Today (Великобретания). Он содержал флоппи-диск, зараженный вирусом “ DiskKiller”. Было продано более 50.000 копий журнала.
Во второй половине 1990-го появились два стелс-монстра — “ Frodo” и “ Whale”. Оба вируса использовали крайне сложные стелс-алгоритмы, а девятикилобайтный “Whale” к тому же применял несколько уровней шифровки и анти-отладочных приемов.
Появились и первые известные мне отечественные вирусы: “ Peterburg”, “ Voronezh” и ростовский “ LoveChild”.
1991
Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Растет и антивирусная активность: сразу два софтверных монстра (Symantec и Central Point) выпускают собственные антивирусные программы — Norton Anti-Virus и Central Point Anti-Virus. Следом появляются менее известные антивирусы от Xtree и Fifth Generation.
В апреле разразилась настоящая эпидемия файлово-загрузочного полиморфик-вируса “ Tequila”, а в сентябре подобная же “история” произошла с вирусом “ Amoeba”. Россию эти события практически не затронули.
Лето 1991: эпидемия вируса “ Dir_II”, использовавшего принципиально новые способы заражения файлов (link-вирус).
В целом, год 1991 был достаточно спокойным — этакое затишье перед бурей, разразившейся в 1992-м.
1992
Вирусы для не-IBM-PC и не-MS-DOS практически забыты: “дыры” в глобальных сетях закрыти, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки кних и несколько регулярных журналов, посвященных вирусам. На этом фоне выделяются несколько основных моментов:
Начало 1992: первый полиморфик-генератор MtE, на базе которого через некоторое время появляется сразу несколько полиморфик-вирусов. MtE явился также прообразом нескольких последующих полиморфик-генераторов.
Март 1992: эпидемия вируса “Michelangelo” (“March6”) и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своему продукту, т.е. в целях извлечения коммерческой выгоды. Так одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в дейтсвительности пострадали всего около 10.000 машин.
Июль 1992: появление первых конструкторов вирусов VCL и PS-MPC, которые увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.
Конец 1992: первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу в вирусописательстве.
1993
Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик-генераторов и конструкторов, помимо новых электронных изданий вирусописателей появляется все больше и больше вирусов, использующих крайне необычные способы заражения файлов, проникновения в систему и т.д. Основными примерами являются:
“ PMBS”, работающий в защищенном режиме процессора Intel 80386.
“ Strange” (или “Hmm”) — сольное выступление на тему “стелс-вирус”, однако выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h.
“Shadowgard” и “ Carbuncle”, значительно расширившие диапазон алгоритмов компаньон-вирусов;
“ Emmie”, “ Metallica”, “ Bomber”, “ Uruguay” и “ Cruncher” — использование принципиально новых приемов “спрятывания” своего кода в зараженных файлах.
Весной 1993 Microsoft выпустил свой собственный антивирус MSAV, основой которого послужил CPAV от Central Point.
1994
Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярными, эти диски оказались одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходится — их придется просто уничтожить.
В начале года в Великобритании появились два крайне сложных полиморфик-вируса — “ SMEG.Pathogen” и “ SMEG.Queeg” (до сих пор не все антивирусные программы в состоянии достичь 100%-го результата при их детектировании). Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.
Еще одну волну паники вызвало сообщение о якобы существующем вирусе “GoodTimes”, распространяющем себя по сети Интернет и заражающем компьютер при получении электронной почты. Накакого такого вируса на самом деле не существовало, однако через некоторое время появился обычный DOS-вирус с текстом “Good Times”, вирус этот получил название “ GT-Spoof”.
Активизируются правоохранительные органы: летом 1994 автор SMEG был “вычислен” и арестован. Примерно в то же самое время в той же Великобритании арестована целая группа вирусописателей, называвшая себя ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще один автор вирусов был арестован в Норвегии.
Появляются несколько новых достаточно необычных вирусов:
Январь 1994: “ Shifter” — первый вирус, заражающий объектные модули (OBJ-файлы). “ Phantom1” — эпидемия первого полиморфик-вируса в Москве.
Апрель 1994: “SrcVir” — семейство вирусов, заражающих исходные тексты программ (C и Pascal).
Июнь 1994: “ OneHalf” — начало повальной эпидемии вируса, до сих пор являющегося самым популярным вирусом в России.
Сентябрь 1994: “ 3APA3A” — эпидемия файлово-загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.
В 1994 году (весна) перестал существовать один из антивирусных лидеров того времени — Central Point. Он был приобретен фирмой Симантек, которая до того уже успела “проглотить” несколько небольших фирм, занимавшихся антивирусными разработками — Peter Norton Computing, Certus International и Fifth Generation Systems.
1995
Ничего действительно заметного в области DOS-вирусами не произошло, хотя появляется несколько достаточно сложных вирусов-монстров типа “ NightFall”, “ Nostradamus”, “ Nutcracker” и таких забавных вирусов, как “двуполый” вирус “ RMNS” и BAT-вирус “Winstart”. Широкое распространение получили вирусы “ByWay” и “ DieHard2” — сообщения о зараженных компьютерах были получены практически со всего мира.
Февраль 1995: произошел инцидент с Microsoft: на диске, содержащем демонстрационную версию Windows95, обнаружен вирус “ Form”. Копии этого диска Microsoft разослал бета-тестерам, один из которых не поленился проверить диск на вирусы.
Весна 1995: анонсирован альянс двух антивирусных компаний — ESaSS (ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы.
Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в “живом виде” обнаружен первый вирус для Microsoft Word (“ Concept”). Буквально за месяц вирус “облетел” весь земной шар, заполонил компьютеры пользователей MS-Word и прочно занял первое место в статистических исследованиях, проводимых различными компьютерными изданиями.
1996
Январь 1996: два достаточно заметных события — появился первый вирус для Windows95 (“ Win95.Boza”) и эпидемия крайне сложного полиморфик-вируса “ Zhengxi” в Санкт-Петербурге.
Март 1996: первая эпидемия вируса для Windows 3.x. Его имя — “ Win.Tentacle”. Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Интересность этого события состояла в том, что это был ПЕРВЫЙ Windows-вирус, вырвавшийся на свободу. До той поры (насколько мне известно) все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в “живом виде” встречались только загрузочные, DOS- и Macro-вирусы.
Июнь 1996: “ OS2.AEP” — первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом “компаньон”.
Июль 1996: “ Laroux” — первый вирус для Microsoft Excel, к тому же пойманный в “живом виде” (практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР). Как и у MS-Word-вирусов, принцип действия “Laroux” основывается на наличии в файлах так называемых макросов — программ на языке Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS-Word. Как оказалось, встроенный в Excel язык Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997 стал причиной эпидемии в компьютерных фирмах Москвы.
Декабрь 1996: “ Win95.Punch” — первый “резидентный” вирус для Win95. Загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.
В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андеграунда на операционную систему Windows32 (Windows95 и Windows NT) и на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows95/NT и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс- и полиморфик-механизмы и т.п. Таким образом компьютерные вирусы вышли на новый виток своего развития — на уровень 32-битных операционных систем. За два года вирусы для Windows32 повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно новом технологическом уровне.
1997
Февраль 1997: “ Linux.Bliss” — первый вирус для Linux (разновидность юникса). Так вирусы заняли еще одну “биологическую” нишу.
Февраль-апрель 1997: Макро-вирусы перебрались и в Office97. Первые из них оказались всего лишь “отконвертированными” в новый формат макро-вирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97.
Март 1997: “ ShareFun” — макро-вирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS-Mail.
Апрель 1997: “ Homer” — первый сетевой вирус-червь, использующий для своего размножения File Transfer Protocol (ftp).
Июнь 1997: Появление первого самошифрующегося вируса для Windows95. Вирус, имеющий российское происхождение, был разослан на несколько BBS в Москве, что стало причиной эпидемии.
Ноябрь 1997: Вирус “ Esperanto”. Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы Mac OS (Макинтош).
Декабрь 1997: появилась новая форма вируса — черви mIRC. Оказалось, что наиболее популярная утилита Windows IRC (Internet Relay Chat), известная как mIRC, содержала “дыру”, позволяющую вирусным скриптам передавать себя по IRC-каналам. В очередной версии IRC дыра была закрыта, и mIRC-черви канули в лету.
Основным антивирусным событием в 1997 году стало, конечно же, отделение антивирусного подразделения фирмы КАМИ в независимую компанию “Лаборатория Касперского”, зарекомендовавшую себя на сегодняшний день как признанный технический лидер антивирусной индустрии. Начиная с 1994 года основной продукт компании — антивирусный сканер AntiViral Toolkit Pro (AVP) — стабильно показывает высокие результаты в многочисленных тестах, проводимых различными тестовыми лабораториями всего мира. Отделение в независимую компанию позволило по началу небольшой группе разработчиков стать первой по значимости антивирусной компанией на отечественном рынке и достаточно заметной фигурой на ринке мировом. За короткие сроки были разработаны и выпущены версии для практически всех популярных платформ, предложены новые антивирусные решения, создана сеть международной дистрибуции и технической поддрежки.
В октябре 1997 года было подписано соглашение о лицензировании технологий AVP финской компанией DataFellows для использования в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания DataFellows была известна как производитель антивируса F-PROT.
Год 1997 также заметен по нескольким скандалам, разразившимся между основными производителями антивирусов в США и Европе. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили “закладку” в программах одного из своих основных конкурентов — в антивирусе фирмы Dr.Solomon. Заявление от McAfee гласило, что если антивирус Dr.Solomon при сканировании обнаруживает несколько вирусов различных типов, то дальнейшая его работа происходит в усиленном режима. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr.Solomon работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee “cheat mode” — “режим обмана”), позволяющий детектировать вирусы, невидимые для Dr.Solomon при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr.Solomon показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.
Через некоторое время Dr.Solomon нанес ответный удар, пришедшийся на некорректно построенную рекламную кампанию McAfee. Конкретнопретензиипредъявлялисьтексту “The Number One Choice Worldwide. No Wonder The Doctor’s Left Town”. Одновременно с этим компания McAfee вела юридические тяжбы с другой антивирусной компанией Trend Micro по поводу нарушения патента на технологию сканирования данных, передаваемых по Интернет и электронной почте. В этот же конфликт c Trend Micro оказалась втянута фирма Symantec. Затем Symantec предъявил иск McAfee по обвинению в использовании кодов Symantec в продуктах McAfee. Ну и т.д.
Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Assotiates и о позиционировании усилий не только в области антивирусных защит, но и в разработке универсальных систем компьютерной безопасности, шифрования и сетевого администрирования. Начиная с этого момента вирусной и антивирусной истории McAfee следует читать как NAI.
1998
Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в Интернет, и несколько утилит скрытого администрирования. Зафиксированы инциденты с зараженными CD-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами “ CIH” и “ Marburg”.
Начало года: Эпидемия целого семейства вирусов “Win32.HLLP.DeTroie”, не только заражающих выполняемые файлы Windows32, но и способные передать своему “хозяину” информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франко-говорящие страны.
Февраль 1998: обнаружен еще один тип вируса, заражающий таблицы Excel — “ Excel4.Paix” (или “Formula.Paix”). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код.
Февраль-март 1998: “ Win95.HPS” и “ Win95.Marburg” — первые полиморфные Windows32-вирусы, обнаруженные к тому же “в живом виде”. Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.
Март 1998: “ AccessiV” — первыйвирусдля Microsoft Access. Причиной шумихи, как это было с вирусами “Word.Concept” и “ Excel.Laroux”, он не стал, поскольку все уже привыкли к тому, что приложения MS Office падают одно за другим.
Март 1998: Макро-вирус “ Cross” — первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-проложения в другое.
Май 1998: вирус “RedTeam”. Заражает EXE-файлы Windows, рассылает зараженные файлы при помощи электронной почты Eudora.
Июнь: эпидемия вируса “ Win95.CIH”, ставшая сначала массовой, затем глобальной, а затем повальной — сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные Интернет-конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных Web-серверов — они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов “популярности” вирус “подвинул” таких вирусных суперзвезд, как “Word.CAP” и “Excel.Laroux”. Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы.
Август 1998: появление нашумевшего “BackOrifice” (“Backdoor.BO”) — утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за “BackOrifice” появились несколько других аналогичных программ: “NetBus”, “Phase” и прочие.
Также в августе появился первый вирус, заражающий выполняемые модули Java — “ Java.StangeBrew”. Данный вирус не представлял какой-либо опасности для пользователей Интернет, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре Web-серверов.
Ноябрь 1998: “ VBScript.Rabbit” — интернет-экспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса (“ HTML.Internal”). Становится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, Web-сервера и/или активно распростряняющегося по электронной почте.
Произошли также заметные перестановки в антивирусном мире. В мае 1998 компании Symantec и IBM объявили об объединении своих усилий на антивирусном фронте: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus (IBMAV) прекращает свое существование. На это моментально отреагировали основные конкуренты: Dr.Solomon и NAI (ранее — McAfee) тут же выпустили пресс-релизы с предложениями о льготном опдейте бывших пользователей IBMAV своими собственными антивирусами.
Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon. Он был куплен компанией NAI (McAfee) за 640 миллионов долларов путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспеечения.
1999
Все на свете должно происходть медленно и
неправильно, чтобы не сумел загордиться человек,
чтобы человек был грустен и растерян.
(Венедикт Ерофеев. “Москва — Петушки”)
5. Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим основным признакам:
среда обитания;
операционная система (OC);
особенности алгоритма работы;
деструктивные возможности.
По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:
файловые;
загрузочные;
макро;
сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний — например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания — сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS — DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:
резидентность;
использование стелс-алгоритмов;
самошифрование и полиморфичность;
использование нестандартных приемов.
РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие “перезагрузка операционной системы” трактуется как выход из редактора.
В многозадачных операционных системах время “жизни” резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.
Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо “подставляют” вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус “Frodo”, первый загрузочный стелс-вирус — “Brain”.
САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) — это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус “3APA3A”), защитить от обнаружения свою резидентную копию (вирусы “TPVO”, “Trout2”), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:
безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов — вводить в резонанс и разрушать головки некоторых типов винчестеров.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус “DenZuk” довольно корректно работает с 360K дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие “COM или EXE” не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также “заклинивание” резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее.
6. Перспективы: что будет завтра и послезавтра
А что же будет дальше? И как долго вирусы будут нас беспокоить? — вопросы, который в той или иной мере беспокоит практически всех пользователей.
6.1. Что будет завтра?
Чего ожидать от компьютерного андеграунда в последующие годы? Скорее всего основными проблемами останутся: 1) полиморфик-DOS-вирусы, к которым добавятся проблемы полиморфизма в макро-вирусах и вирусах для Windows и OS/2; 2) макро-вирусы, которые будут находить все новые и новые приемы заражения и скрытия своего кода в системе; 3) сетевые вирусы, использующие для своего распространения протоколы и команды компьютерных сетей.
Пункт 3) находится пока только на самой ранней стадии — вирусы делают первые робкие попытки самостоятельно распространять свой код по MS Mail и пользуясь ftp, однако все еще впереди.
Не исключено, что появятся и другие проблемы, которые принесут немало неприятностей пользователям и достаточное количество неурочной работы разработчикам антивирусных программ. Однако я смотрю на будущее с оптимизмом: все проблемы, когда-либо встававшие в истории развития вирусов, были довольно успешно решены. Скорее всего так же успешно будут решаться и будущие проблемы, пока еще только витающие идеями в воспаленном разуме вирусописателей.
6.2. Что будет послезавтра?
Что будет послезавтра и как долго вообще будут существовать вирусы? Для того, чтобы ответить на этот вопрос следует определить, где и при каких условиях водятся вирусы.
Основная питательная среда для массового распространения вируса в ЭВМ, на мой взгляд, обязана содержать следующие необходимые компоненты:
незащищенность операционной системы (ОС);
наличие разнообразной и довольно полной документации по OC и “железу”;
широкое распространение этой ОС и этого “железа”.
Следует отметить, что понятие операционной системы достаточно растяжимое. Например, для макро-вирусов операционной системой являются редакторы Word и Excel, поскольку именно редакторы, а не Windows предоставляют макро-вирусам (т.е. программам на Бейсике) необходимые ресурсы и функции.
Если в операционной системе присутствуют элементы защиты информации, как это сделано практически во всех ОС, вирусу будет крайне трудно поразить объекты своего нападения, так как для этого потребуется (как минимум) взломать систему паролей и привилегий. В результате работа, необходимая для написания вируса, окажется по силам только профессионалам высокого уровня (вирус Морриса для VAX — пример этому). А у профессионалов, на мой взгляд, уровень порядочности все-таки намного выше, чем в среде потребителей их продукции, и, следовательно, число созданных и запущенных в большую жизнь вирусов еще более сократится.
Для массового производства вирусов также необходимо и достаточное количество информации о среде их обитания. Какой процент от числа системных программистов, работающих на мини-ЭВМ в операционках UNIX, VMS и т.д. знает систему управления процессами в оперативной памяти, полные форматы выполняемых файлов и загрузочных записей на диске? (т.е. информацию, необходимую для создания вируса). И следовательно, какой процент от их числа в состоянии вырастить настоящего полноценного зверя? Другой пример — операционная система Novell NetWare, достаточно популярная, но крайне слабо документированная. В результате мне пока не известно ни одного вируса, поразившего выполняемые файлы Novell NetWare, несмотря на многочисленные обещания вирусописателей выпустить такой вирус в ближайшее время.
Ну а по поводу широкого распространения ОС как необходимого условия для вирусного нашествия и говорить надоело: на 1000 программистов только 100 способны написать вирус, на эту сотню приходится один, который эту идею доведет до завершения. Теперь полученную пропорцию умножаем на число тысяч программистов — и получаем результат: с одной стороны 15.000 или даже 20.000 полностью IBM-совместимых вирусов, с другой — несколько сот вирусов для Apple-Macintosh. Такое же несоответствие пропорций наблюдается и в сравнении общего количества вирусов для Windows (несколько десятков) и для OS/2 (несколько штук).
Приведенным выше трем условиям “расцвета” компьютерных вирусов удовлетворяют сразу несколько OS (включая редакторы), производимых фирмой Microsoft (DOS, Windows, Win95/NT и Word, Excel, Office97), что дает благодатную почву для существования самых разнообразных файловых и макро-вирусов. Удовлетворяют приведенным условиям также и стандарты разбиения жестких дисков. Результат — разнообразные варианты загрузочных вирусов, поражающих систему в момент ее загрузки.
Для того, чтобы прикинуть продолжительность нашествия компьютерных вирусов в какой-либо OC, надо оценить время сосуществования приведенных выше необходимых условий.
Довольно очевидно, что в обозримом будущем фирмы IBM и Apple не собираются уступать массовый рынок своим конкурентам (на радость Apple- и IBM-программистам), даже если для этого этим фирмам придется объединить усилия. Не представляется возможным и усечение потока информации по наиболее распространенным системам, так как это ударит по числу приложений для них, а следовательно, и по их “продаваемости”. Остается только одно — защита ОС. Однако, защищенность ОС требует исполнения некоторых правил (паролей и т.п.), что приводит к ряду неудобств. Поэтому мне кажется маловероятным, что такие ОС станут популярными в среде обычных пользователей — секретарш, бухгалтеров, на домашних компьютерах, и т.д., и т.п., либо функции защиты будут отключаться пользователем еще при установке ОС.
Исходя из вышесказанного можно сделать единственный вывод: вирусы успешно внедрились в повседневную компьютерную жизнь и покидать ее в обозримом будущем не собираются.
Список литературы
www.symantec.ru/region/ru/product/navbrochure/index.htm
www.symantec.ru
www.dials.ru/
www.avp.ru/
www2.dialognauka.ru/
www.apl.ru/isvwsolaris.htm
В настоящее время, в связи с широким распространением информационных технологий резко обострилась проблема защиты компьютеров от заражения их компьютерными вирусами. В связи с этим появляется все больше антивирусных программ, способных помочь пользователю в борьбе с ними. Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему уже написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека — в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию. Вот ещё пара случаев нарушения безопасности сети и последствия этого. 2 ноября 1988 года выпускник Корнельского университета Роберт Таппан Моррис запустил свою программу, которая вышла из-под контроля автора и начала быстро перемещаться по сети. В короткий срок вирус-червь Morris заполнил многие узлы Internet, загружая операционные системы Unix своими копиями, вызывая отказы в обслуживании и т.п. Червь инфицировал 6200 компьютеров. Подсчитанные потери, хотя формально червь не наносил какого-либо ущерба данным в инфицированных хостах, были разделены на прямые и косвенные. Прямые потери были оценены более чем в 32 000 000 долларов. Косвенные потери были оценены более чем в 66 000 000 долларов. Общие затраты были оценены на сумму в 98 253 260 долларов. А, например, вирус I love you парализовала некоторые деловые системы, расположенные в Европе и США. Вирус VBS/LoveLetter.bd впервые появился в Европе. Как утверждают эксперты, сначала он размножался и заражал только компьютеры банков в разных частях США. Последняя версия загружает из сети и запускает программу hcheck.exe, которая ворует пароли с инфицированного компьютера. Эта программа посылает сворованные коды для доступа к банковским системам на электронные адреса, зарегистрированные на бесплатных почтовых Web-узлах, заведенные американскими компаниями. Последствия и ущерб этого вируса можете себе представить!
Что такое компьютерные вирусы, какие они бывают, что они делают и как с ними, бороться вы сможете узнать далее. Для начала немного истории. Первое упоминание о компьютерных вирусах было зафиксировано еще в конце 60-х. На мейнфреймах того времени периодически появлялись программы, которые получили название «кролик» (the rabbit). Эти программы клонировали себя, занимали системные ресурсы и таким образом снижали производительность системы. Скорее всего «кролики» не передавались от системы к системе и являлись сугубо местными явлениями — ошибками или шалостями системных программистов, обслуживавших компьютер. Первый же инцидент, который смело можно назвать эпидемией «компьютерного вируса», произошел в системе Univax 1108. Вирус, получивший название «Pervading Animal», дописывал себя к выполняемым файлам, т.е. во многом делал то же самое, что и тысячи современных компьютерных вирусов. Далее события разворачивались стремительно: каждый год появлялись все новые вирусы и новые алгоритмы их написания. Первая революция в мире вирусов произошла в начале 1970 года, когда под операционную систему Tenex был создан вирус «The Creeper», использовавший для своего распространения глобальные компьютерные сети. Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с этим вирусом была создана программа «The Reeper» — первая известная антивирусная программа. Самым же интересным является то, что вплоть до конца 80-х большинство пользователей компьютеров отказывались верить в существование вирусов. Показателен тот факт, что даже компьютерный гуру — человек-легенда Питер Нортон — высказывался против существования вирусов. Он объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал фирме Symantec (www.symantec.com) через некоторое время начать собственный антивирусный проект — Norton Anti-Virus, который и сейчас пользуется огромной популярностью пользователей всего мира. Подробную хронологию событий развития вирусов и антивирусного софта можно прочитать по адресу www.viruslist.com. Также о событиях в мире компьютерных вирусов, можно узнать на сайте www.virusbtn.com, а о программах троянцов на www.trojan.ru. Что такое компьютерный вирус? Официально считается, что термин «компьютерный вирус» впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США. Основная трудность, возникающая при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и проч.) либо присущи другим программам, которые никоим образом вирусами не являются, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением
возможности распространения). Основная же особенность компьютерных вирусов — возможность их самопроизвольного внедрения в различные объекты операционной системы — присуща многим программам, которые не являются вирусами. Второй же трудностью, возникающей при формулировке определения компьютерного вируса является то, что данное определение должно быть привязано к конкретной операционной системе, в которой этот вирус распространяется. Например, теоретически могут существовать операционные системы, в которых наличие вируса просто невозможно. Таким примером может служить система, где запрещено создавать и изменять области выполняемого кода, т.е. запрещено изменять объекты, которые либо уже выполняются, либо могут выполняться системой при каких-либо условиях. Поэтому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом. ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Попробуем всё же дать определение вируса. Вирус — это программный код способный к самостоятельному размножению и функционированию, и имеющий защитные механизмы от обнаружения и уничтожения. Различие между компьютерным вирусом и другими программами — то, что вирусы предназначены, чтобы делать копии себя. Они обычно самокопируют без знания пользователя. Вирусы часто содержат ‘полезные грузы’ — действия, которые вирус выполняет отдельно от ответа пользователя. Полезные грузы могут изменяться от раздражающего (например, WM97/CLASS-D — вирус, который неоднократно показывает издевательские сообщения пользователю), к бедственному (например, CIH — вирус, который пытается переписывать вспышку BIOS, чем может нанести непоправимый ущерб некоторым компьютерам). Вирусы могут быть скрыты в программах, доступных на дискетах или компактдисках, скрыт в приложениях электронной почты или в материале, разгруженном от сети. Если вирус не имеет никакого очевидного полезного груза, пользователь без антивирусного программного обеспечения даже не может знать, что компьютер поражен. Как присходит заражение? По способу заражения файлов вирусы делятся на: «overwriting» паразитические («parasitic») компаньон-вирусы («companion») «link»-вирусы, вирусы-черви вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ
Вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать. К разновидности overwriting-вирусов относятся вирусы, которые записываются вместо DOS-заголовка NewEXE-файлов. Основная часть файла при этом остается без изменений и продолжает нормально работать в соответсвующей операционной системе, однако DOS-заголовок оказывается испорченным. Как только вирус активен на компьютере, он может копировать себя, чтобы заразить другие файлы или диски, поскольку к ним обращается пользователь. К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сими файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов («prepending»), в конец файлов («appending») и в середину файлов («inserting»). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла («cavity»-вирусы). К категории «компаньон» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус. Link-вирусы, как и компаньон-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы. Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус. Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к исходным текстам свой исходный код (в этом случае вирус должен содержать его в своем теле) или свой шестнадцатеричный дамп (что технически легче). Зараженный файл способен на дальнейшее распространение вируса только после компиляции и линковки (см. например, вирусы «SrcVir», «Urphin»). Теперь познакомимся с разнообразием вирусов.
- Локальные и глобальные компьютерные сети (свободной ориентации в информационных потоках)
- Справочно-правовые системы
- We all aspire to something in our lives (brain must know exactly)
- Объемно-пространственные проекты В. Татлина
- Творчество В. Кандинского и Баухауз ( учёном-исследователе)
- Роль какого персонажа из изученных произведений с 11 по 18 век я хотела бы сыграть и почему?
- Гендерные стереотипы (особые формы обработки информации)
- Особенности прикладного социально-психологического исследования (общественной роли социальной психологии)
- Методы активного социально-психологического обучения (Подходы к пониманию сущности активного социально-психологического обучения)
- Организационная структура и состав службы персонала в гостиницах и ресторанах. Функционал службы. Кадровый документооборот
- Today’s society dictates the need to be a leader
- Первые компьютерные системы
В настоящее время очень многие области деятельности человека связаны с применением компьютеров. Почему же эти электронные машины так плотно внедряются в нашу жизнь? Все довольно тривиально. Они выполняют рутинную расчетную и оформительскую работу, освобождая наш мозг для более необходимых и ответственных задач.
Содержание
Введение
1. Компьютерные вирусы. Что такое компьютерный вирус?
2. Испорченные и зараженные файлы
3. Классификация вирусов
4. Маскировка вирусов
5. Профилактика и борьба с компьютерными вирусами. Основные методы защиты от компьютерных вирусов
6. Профилактика против заражения вирусом
Заключение
Список использованных источников
Введение
В настоящее время очень многие области деятельности человека связаны с применением компьютеров. Почему же эти электронные машины так плотно внедряются в нашу жизнь? Все довольно тривиально. Они выполняют рутинную расчетную и оформительскую работу, освобождая наш мозг для более необходимых и ответственных задач. В результате утомляемость резко снижается, и мы начинаем работать гораздо производительнее, нежели без применения компьютера.
Возможности современных компьютеров поражают самое богатое воображение. Они способны параллельно выполнять несколько задач, сложность которых довольно велика. По этому некоторые производители задумываются над созданием искусственного интеллекта. Да и сейчас работа компьютера напоминает работу интеллектуального электронного помощника человека.
Но кто бы мог подумать, что этому электронному чуду техники свойственны болезни похожие на человеческие. Он, так же как и человек может подвергнуться атаке «вируса» но компьютерного. И если не принять мер, компьютер скоро «заболеет» т.е. начнет выполнять неправильные действия или вообще «умрет» т.е. повреждения нанесенные «вирусом» окажутся очень серьезными. О том что такое компьютерные вирусы и как с ними бороться пойдет речь далее.
1. Компьютерные вирусы. Что такое компьютерный вирус?
Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов (FAT) на диске, «засоряет» оперативную память и т.д.).
Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.
Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается в памяти компьютера и время от времени заражает программы и выполняет нежелательные действия на компьютере.
Нужна помощь в написании реферата?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Подробнее
Все действия вируса могут выполняться очень быстро и без выдачи каких либо сообщений, по этому пользователю очень трудно, практически невозможно, определить, что в компьютере происходит что-то необычное.
Пока на компьютере заражено относительно мало програм, наличие вируса может быть практически незаметным. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:
- некоторые программы перестают работать или начинают работать неправильно;
- на экран выводятся посторонние сообщения, символы и т.д.;
- работа на компьютере существенно замедляется;
- некоторые файлы оказываются испорченными и т.д.
К этому моменту, как правило, уже достаточно много (или даже большинство) тех программ, с которыми вы работаете, являются зараженными вирусом, а некоторые файлы и диски — испорченными. Более того, зараженные программы с Вашего компьютера могли быть уже перенесены с помощью дискет или локальной сети на компьютеры ваших коллег и друзей.
Некоторые вирусы ведут себя очень коварно. Они вначале незаметно заражают большое число программ и дисков, а затем наносят очень серьезные повреждения, например, форматируют весь женский диск на компьютере, естественно после этого восстановить данные бывает просто невозможно. А бывают вирусы, которые ведут себя очень скрытно, и портят понемногу данные на жестком диске или сдвигают таблицу размещения файлов (FAT).
Таким образом, если не принимать мер по защите от вируса, то последствия заражения могут быть очень серьезными. Например, в начале 1989г. вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс. дол. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные, а только размножался.
Для того, чтобы программа-вирус была незаметной, она должна иметь небольшие размеры. По этому вирусы пишут обычно на низкоуровневых языках Ассемблер или низкоуровневыми командами языка СИ.
Вирусы пишутся опытами программистами или студентами просто из любопытства или для отместки кому-либо или предприятию, которое обошлось с ними недостойным образом или в коммерческих целях или в целях направленного вредительства. Какие бы цели не преследовал автор, вирус может оказаться на вашем компьютере и постарается произвести те же вредные действия, что и у того, для кого он был создан.
Следует заметить, что написание вируса — не такая уж сложная задача, вполне доступная изучающему программирование студенту. Поэтому еженедельно в мире появляются все новые и новые вирусы. И многие из них сделаны в нашей стране.
Нужна помощь в написании реферата?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Цена реферата
2. Испорченные и зараженные файлы
Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может «заразить». Это означает, что вирус может «внедриться» в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены обычным вирусом, он может их только испортить. Заражение подобных файлов делается только Макро-вирусами. Эти вирусы могут заразить даже ваши документы.
Обычным вирусом могут быть заражены (табл.1):
Таблица 1. Угроза вирусами
Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполняемые файлы. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполняемые файлы.
3. Классификация вирусов
Вирусы можно делить на классы по разным признакам На схеме отображены основные признаки и классы компьютерных вирусов.
Возможно деление вирусов по признаку вероломности: вирусы, моментально поражающие компьютер, форматируют жесткий диск, портят таблицу размещения файлов, портят загрузочные сектора, стирают так называемое Flash-ПЗУ (где находится BIOS) компьютера (вирус «Чернобыль»), другими словами, как можно быстрее наносят непоправимый урон компьютеру.
Сюда же можно отнести и результаты обид программистов, пишущих вирусы, на антивирусные программы. Имеются в виду так называемые аллергии на определенные антивирусные программы. Эти вирусы достаточно вероломны. Вот, например, аллергия на Dr.Weber при вызове этой программы, не долго думая, блокирует антивирус, портит все, что
находится в директории с антивирусом и C:WINDOWS. В результате приходится переустанавливать операционную систему и затем бороться с вирусом другими средствами.
Нужна помощь в написании реферата?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Заказать реферат
Существуют вирусы, рассчитанные на продолжительную жизнь в компьютере. Они постепенно и осторожно заражают программу за программой, не афишируя, свое присутствие и производят подмену стартовых областей программ на ссылки к месту, где расположено тело вируса. Кроме этого они производят незаметное для пользователя изменение структуры диска, что даст о себе знать, только когда некоторые данные уже будут безнадежно утеряны (например, вирус «OneHalf-3544″,»Yankey-2C»).
По признаку способов передачи и размножения тоже можно провести разделение.
Раньше вирусы в основном поражали только исполняемые файлы (с расширениями .com и .exe). Действительно, ведь вирус это программа и она должна выполняться.
Теперь вирусы отправляют электронной почтой как демонстрационные программки или как картинки, например, если по электронной почте пришел файл «PicturesForYou.jpg», не спешите его смотреть, тем более что он пришел неизвестно откуда. Если посмотреть на название повнимательнее, то окажется, что оно имеет еще 42 пробела и действительное расширение .exe. То есть реально полное имя файла будет таким: «PicturesForYou.jpg .exe». Теперь любому понятно, что на самом деле несет в себе эта картинка. Это не файл рисунка, который при активизации вызывает осмотрщик рисунков, а наглый чуточку завуалированный вирус, который только и ждет когда его активизируют щелчком мыши или нажатием клавиши . Такой вирус вы сами загружаете себе на компьютер, под оболочкой какой-нибудь картинки, как «Троянского коня». Отсюда и жаргонное название таких вирусов как «Трояны».
На данный момент существуют такие оболочки информационных каналов как Internet Explorer, Outlook Express, Microsoft Office. Сейчас появились немногочисленные классы так называемых «Макро-вирусов». Они содержат скрытые команды для данных оболочек, которые нежелательны для рядового пользователя. И этот код уже не является кодом для компьютера, то есть это уже не программа, а текст программы, выполняемый оболочкой. Таким образом, он может быть записан в любом необходимом формате: .html, .htm — для Internet Explorer, .doc, .xls, .xlw, .txt, .prt, или любой другой — для Microsoft Office и т. д.. Такие вирусы наносят вред только определенного характера, ведь оболочка не имеет команд, к примеру, для форматирования жесткого диска. Но все же этот вид вирусов заслуживает внимания, ведь с помощью скрытых гиперссылок он способен самостоятельно загрузить из Интернета на ваш компьютер тело вируса, а некоторые вирусы способны обновляться и загружаться по частям через Интернет с определенных серверов. Вот, например, одним из японских студентов разработан именно такой вирус, который подключает небольшой «загрузчик» к любому формату входных данных из Интернета. Далее этот загрузчик самостоятельно скачивает из Интернета с сервера с IP-адресом Babilon5 тела вируса. Этих тел четыре. Каждая из них способна самостоятельно разрушать ваш компьютер, но имеет определенное назначение. Этот вирус по типу является гибридом между макро-вирусами и обычными вирусами. Но надо отметить, что именно гибриды являются наиболее живучими, хитрыми, опасными и многочисленными среди вирусов. Совсем недавно нашумел скандал о программисте, который, как утверждают эксперты, создал и начал распространение макро-вируса, заражавшего текстовые файлы для Microsoft Word. Его вычислили по дате и времени создания исходного документа, которое хранится в невидимых частях .doc файлов. Возможно, что файл был создан другим человеком до того, как к нему был приделан вирус, тогда вопрос о злоумышленнике остается открытым. Но эксперты утверждают, что это именно он.
Например, вирус Win32.HLLM.Klez. один из разновидностей опасного сетевого червя распространяется путем рассылки своих копий по электронной почте. Кроме того, этот червь может распространяться по локальной сети, заражая компьютеры, диски которых являются разделяемыми сетевыми ресурсами, доступными для записи. Попадая в систему, червь рассылает себя по адресам, найденным в адресной книге Windows, в базе данных ICQ и в локальных файлах. Зараженные письма, рассылаемые данным червем, используют одну из сравнительно давно известных ошибок в системе безопасности Internet Explorer, которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запуститься при простом просмотре почты в программах Outlook и Outlook Express.
4. Маскировка вирусов
Попробуем рассмотреть способы маскировок и защит, применяемых вирусами против нас рядовых пользователей и антивирусных программ.
Вероломность — это основной и самый быстрый способ сделать пакость до обнаружения. Вирус «Чернобыль», например, полностью стирает BIOS (стартовую программу, расположенную в микросхеме ПЗУ, обеспечивающую работу компьютера). После такого компьютер вообще ничего не сможет выдать на экран. Но его работа легко блокируется, если внутри компьютера установлен переключатель, запрещающий писать в область ПЗУ. По этому это был первый, но и, как я думаю, последний представитель аппаратных вирусов.
Нужна помощь в написании реферата?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Заказать реферат
Регенеративные вирусы делят свое тело на несколько частей и сохраняют их в разных местах жесткого диска. Соответственно эти части способна самостоятельно находить друг друга и собираться для регенерации тела вируса. Программа — антивирус обнаруживает и убивает лишь тело вируса, а части этого тела не заложены в антивирусной базе, так как являются измененными. От таких вирусов помогает целенаправленное низкоуровневое форматирование жесткого диска. Предварительно необходимо принять осторожные меры по сохранению информации.
Хитрые вирусы прячутся не только от нас, но и от антивирусных программ. Эти «хамелеоны» изменяют сами себя с помощью самых хитрых и запутанных операций, применяя и текущие данные (время создания файла) и используя чуть ли не половину всего набора команд процессора. В определенный момент они, конечно же, по хитрому алгоритму превращаются в подлый вирус и начинают заниматься нашим компьютером. Это самый трудно обнаруживаемый тип вирусов, но некоторые антивирусные программы, такие как «Dr.Weber», способны с помощью так называемого эвристического анализа обнаруживать и обезвреживать и подобные вирусы.
«Невидимые» вирусы чтобы предотвратить свое обнаружение применяют так называемый метод «Stelth». Он заключается в том, что вирус, находящийся в памяти резидентно, перехватывает обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдает их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере — на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Но некоторые антивирусные программы могут обнаруживать вирусы — «невидимки» даже на зараженных компьютерах.
Сетевой червь «Randon» появился в марте 2003 года. Распространятся по IRC-каналам и ресурсам локальных сетей и заражает компьютеры под управлением операционных систем Windows2000 и Windows XP. Для проникновения на компьютер он подключается к локальной сети или IRC-серверу, сканирует находящийся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы «Random» пересылает на нее троянскую программу «Apher», которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя. После этого «Randon» устанавливает свои компоненты в системном каталоге Windows, регистрирует свой основной файл. Для сокрытия присутствия в памяти использует специальную утилиту «HideWindows», которая также является компонентом червя. Благодаря ей он оказывается невидимым для пользователя, так что активный процесс «Randon» можно обнаруживать только в диспетчере задач Windows. Его побочные эффекты – создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов.
«Лаборатория Касперского», один из ведущих разработчиков антивирусных программ, представляет обзор вирусной активности за март 2003г.(табл.2)
Таблица 2. Двадцатка наиболее распространенных вредоносных программ
| Название | Доля в общем числе вирусных инцидентов (%) |
| 1. I-Worm.Klez | 37,60% |
| 2. I-Worm.Sobig | 10,75% |
| 3. I-Worm.Lentin | 9,03% |
| 4. I-Worm.Avron | 3,30% |
| 5. Macro.Word97.Thus | 2,62% |
| 6. I-Worm.Tanatos | 1,38% |
| 7. Macro. Word97.Marker | 1,21% |
| 8. Worm.Win32.Opasoft | 1,13% |
| 9. I-Worm.Hybris | 1,04% |
| 10. Win95.CIH | 0,69% |
| 11. Worm.Win32.Randon | 0,58% |
| 12. VBS.Redlof | 0,57% |
| 13. Backdoor.Death | 0,51% |
| 14. Win95.Spaces | 0,51% |
| 15. I-Worm.Roron | 0,49% |
| 16.Trojan.PSW.Gip | 0,49% |
| 17. Backdoor.NetDevil | 0,48% |
| 18. Win32.HLLP.Hantaner | 0,45% |
| 19. TrojanDropper.Win32.Delf | 0,42% |
| 20. TrojanDropper.Win32.Yabinder | 0,41% |
| Другие вредоносные программы* | 26,33% |
*не вошедшие в 20 наиболее распространенных
5. Профилактика и борьба с компьютерными вирусами. Основные методы защиты от компьютерных вирусов
Для защиты от вирусов можно использовать:
- Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
- профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
- специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:
- копирование информации — создание копий файлов и системных областей дисков;
- разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от вирусов. Эти программы можно разделить на несколько видов:
- Программы — детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
- Программы — доктора, или фаги, «лечат» зараженные программы или диски, «выкусывая» из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.
- Программы — ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий, об этом сообщается пользователю.
- Доктора — ревизоры — это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.
- Программы — фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
- Программы — вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.
Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. По этому наилучшей стратегией защиты от вирусов является многоуровневая, «эшелонная» оборона. Опишем структуру этой обороны.
Средствам разведки в «обороне» от вирусов соответствуют программы — детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел «просочиться» через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве. Но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.
Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
И, наконец, в «стратегическом резерве» находятся архивные копии информации и «эталонные» дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.
В большинстве случаев для обнаружения вируса, заразившего компьютер, можно найти уже разработанные программы-детекторы. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режим лечения или уничтожения зараженных файлов.
Нужна помощь в написании реферата?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Заказать реферат
Следует отметить, программа — детектор может обнаруживать только те вирусы, которые ей известны (т.е. занесены в антивирусную базу данных этой программы). Одной из таких программ является AVP Касперского. Все в ней отличается удобным и понятным интерфейсом. Программа выполнена для операционной системы Windows’95/’98/NT, что позволяет ей работать параллельно с другими приложениями. «Лаборатория Касперского» является российским лидером в области разработки систем антивирусной безопасности. Компания предлагает широкий спектр программных продуктов для обеспечения информационной безопасности: антивирусные программы, системы контроля целостности данных, комплексы защиты карманных компьютеров и электронной почты.
В конце 2002 года вышла новая версия 4.29 программ семейства Dr.Web. В сканере Dr. Web для Windows усовершенствован режим проверки стартовых файлов для платформы Windows 2000/XP, оптимизировано использование памяти для проверки архивов в режиме по формату.
Большинство программ — детекторов имеют также и функцию «доктора», т.е. они пытаются вернуть зараженные файлы и области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.
6. Профилактика против заражения вирусом
Рассмотрим некоторые меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму ущерб от заражения вирусом, если оно все-таки произойдет.
- Неплохо бы иметь и при необходимости обновлять архивные и эталонные копии используемых пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.
- Целесообразно так же скопировать на дискеты служебную информацию вашего диска (FAT, загрузочные сектора) и CMOS (энергонезависимая память компьютера). Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса Norton Utilities.
- Следует устанавливать защиту от записи на архивных дискетах.
- Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров. На них может быть вирус.
- Все данные, поступающие извне, стоит проверять на вирусы, особенно файлы, «скачанные» из Интернета.
- Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.
- На время обычной работы, не связанной с восстановлением компьютера, стоит отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.
- Используйте программы — фильтры для раннего обнаружения вирусов.
- Периодически проверяйте диск программами -детекторами или докторами — детекторами или ревизорами для обнаружения возможных провалов в обороне.
- Обновляйте базу антивирусных программ.
- Не допускайте к компьютеру сомнительных пользователей.
Заключение
В заключение хотелось бы предостеречь от слишком рьяной борьбы с компьютерными вирусами. Ежедневный запуск полного сканирования жесткого диска на наличие вирусов так же не блестящий шаг в профилактике заражений. Единственный цивилизованный способ защиты от вирусов я вижу в соблюдении профилактических мер предосторожности при работе на компьютере. А так же нужно прибегать к помощи специалистов для борьбы с компьютерным вирусом. Кроме того, даже если вирус все-таки проник на компьютер, это не повод для паники.
Нередко главной бедой Интернета являются не вирусы и хакеры, а такое распространенное явление, как компьютерная безграмотность. Пользуясь аналогией Касперского, незнание правил дорожного движения. Люди, недавно научившиеся принимать и отправлять почту, демонизируют компьютерные вирусы, чуть ли не представляя их себе в виде невидимых черных червячков, лобзающих по проводам. Вот несколько простых правил, соблюдая которые можно постараться избежать заражение вирусами. Первое: не боятся компьютерных вирусов, все они лечатся. Второе: перевести Microsoft Outlook в режим функционирования в зоне ограниченных узлов, что запретит ей автоматическое выполнение некоторых программ – основной принцип размножения компьютерных вирусов. Третье: не открывайте письма от подозрительных адресатов. Четвертое: использовать свежий антивирус.
Список использованных источников
1. Атака из Internet/И. Д. Медведовский, П. В. Семьянов, Д.Г. Леонов,
2. А.В. Лукацкий – M.: Солон-Р, 2002. — 368 с.
3. Бояринов Д., Интернет скоро умрет? // Новое время, 2003, №5, с.39
4. Козлов Д. А., Парандовский А. А., Парандовский А. К. Энциклопедия компьютерных вирусов.- М: Солон-Р, 2002.- 458 с.
- Энциклопедия
- Разное
- Компьютерные вирусы
Компьютерный вирус — это программа, которая может повредить компьютер, изменив системные файлы, уничтожив данные или заблокировав работу его отдельных устройств. Компьютерные вирусы являются лишь одним из видов вредоносных программ. Вирусы уникальны тем, что они могут размножаться, копируя себя в файлы на разных компьютерах без согласия пользователя.
Существуют разные способы заражения компьютеров вирусами:
- Через электронную почту. Электронная почта является одним из любимых способов передачи компьютерных вирусов во всем мире.
- Через социальные сети. Распространяются с помощью зараженных ссылок, например, отправляемых через чат.
- Через обмен файлами. Для распространения используют общие файлы.
- При загрузке программного обеспечения. Поддельные антивирусные инфекции являются одним из наиболее распространенных типов вирусов. Мошенники и киберпреступники используют агрессивные всплывающие окна и рекламу, чтобы напугать пользователей, заставляя их поверить в то, что на их ПК обнаружен несуществующий вирус, и вынуждают их загружать свое программное обеспечение для устранения угрозы. Вместо того, чтобы избавить компьютер от вирусов, этот поддельный антивирус продолжает заражать компьютер вредоносным ПО, часто с разрушительными последствиями для файлов жертвы, жесткого диска и личной информации.
Виды компьютерных вирусов:
- Вирус, поражающий загрузочный сектор диска. При попадании в загрузочный сектор, он загружается вместе с операционной системой в оперативную память компьютера во время запуска.
- Вирус прямого действия. Проникает внутрь и распространяется с помощью файлов с расширением COM или EXE. Когда файлы закрываются, вирусы удаляются сами.
- Резидентный Вирус. Располагается в основной памяти компьютера и действует постоянно. Его трудно обнаружить.
- Многосторонний вирус. Удваивает скорость размножения, ориентируясь как на файлы, так и на пространство загрузки. Даже после того, как будут удалены все зараженные файлы, вирус все еще будет оставаться скрытым в загрузочном секторе.
- Полиморфный Вирус. Может изменять форму, чтобы избежать обнаружения, сохраняя при этом свои базовые возможности угроз. После заражения файлов их очень трудно обнаружить и удалить.
- Макро Вирус. Пишется на макроязыке какого-либо приложения и нарушает его работу.
- Вирус руткитов. Тайно устанавливает нелегальный руткит в зараженную систему. Это открывает дверь злоумышленникам и дает им полный контроль над системой. Злоумышленник может кардинально изменить или отключить функции и программы.
Для защиты ПК обычно устанавливают антивирусное программное обеспечение. Антивирус — это первая линия защиты от вирусов и целого ряда других вредоносных программ. Существуют платные и бесплатные антивирусы.
Даже при наличии антивирусной программы желательно придерживаться определенных правил. Нельзя нажимать на любую ссылку, даже от друзей, если сообщение является просто ссылкой без контекста. Лучше не открывать вложения электронной почты, если не понятно, что это такое. Следует критически подходить к всплывающим окнам с сообщением, что компьютер заражен. Лучше не включать макросы при работе в Microsoft Office.
Доклад №2
Программа, которая самопроизвольно присоединяется к другим программам называется компьютерный вирус. Его вредоносность заключается в нанесении файлу порчи, стирание памяти, захламленность, тем самым наносит помеху в работе компьютера. Появляются следующие причины ПО:
- Сбой программы обеспечивает замедленный режим
- Выведения на экран посторонних сообщений
- Портится структура файла
Вирусы распределяются по типу программирования, среде обитания, способности заражения, языку. По методу заражения бывает резидентный, когда компьютерная техника сохраняет свою память, а вирус перехватывает и заражает файл. Вирус резидентного происхождения активен до выключения или перезагрузки аппарата. Нерезидентный вирус существует в зараженной памяти лимитное время.
У вирусов есть достижение быть неопасным для работы программ, если это не касается свободной памяти.
Вредоносной программой считается важный сбой работы компьютерной техники.
3. Разрушает работу головки винчестера
Какими методами можно пользоваться при выявлении вируса?
1. Сканирование. Пользуются уже тогда, когда вирус известен и программа ведет поиск комбинаций для характерного вируса.
2. Выявить изменения. Существуют разработки программ по вылавливанию вирусов. Простым компьютерным языком называется разработка антивирусных программ.
3. Анализ. Выявление действия подозрительной программы.
4. Верификация. Прохождение всех методов по выявлению вирусных программ
5. Обезвреживание, процесс работы по удалению зараженного файла и восстановлению памяти.
Для каждого вируса существует отдельная программа по его уничтожению.
Мера профилактики
1. использование дисков с записью по уничтожению вирусной программы. Возможно подключить в работу резидентную программу эта установка поможет проверить всю систему работ файлообменник
Самые опасные вирусы
1. Червь Моррисон наносит вред по подбору пароля
2.ILOVEYOU. Нанесение ущерба зарегистрированному на почте личному пользователю. То есть открыв письмо с сообщением вирус проникает и заражать компьютер и самостоятельно рассылает всем пользователям.
3. Storm Worm. Который проникал в компьютер похищал личные данный с ID адреса
4. Conficker. Это компьютерный червь который поражает всю компьютерную систему.
5. MyDoom. Вирус проникал в компьютер через сеть и блокировал запуск драйверов.
7 класс
Компьютерные вирусы
Популярные темы сообщений
- Третьяковская галерея
Нет наверно не одного человека, которому бы не нравились очень красивые вещи сделанные руками мастеров. Даже люди, которые жили в далекие времена, до наших дней не были исключениям. Им также очень нравились различные изделия ручной работы.
- Открытие Австралии
Австралия – материк, который по праву считается самым маленьким и удаленным, стал известен миру 1 января 1901 года как Австралийский союз, фактически независимое государство в составе Британской империи.
- Использование энергия солнца на земле
Древние язычник в далекие времена воспринимали наше Солнце словно божество. Ему поклонялись и отдавали дань уважения. Конечно, прошло время, цивилизация продвинулась вперед и вот уже в XIX-XX веках ученые начали изучать солнечную энергию, и применять
- Дятел
Дятлы встречаются во всех местах, где есть лес. У них ярко выражены приспособления к древесному образу жизни. Часто встречаются в городских садах и парках. Некоторые формы привычного нам большого пёстрого дятла живут даже в зарослях саксаула
- История фартука
В современном мире кухонные фартуки используются всё меньше и меньше. Оно и понятно: у нас у всех в квартирах полно бытовой техники, которая делает уборку, готовку, стирку необременительным занятием. Техника теперь у нас на службе,