Компьютерные вирусы
Компьютерные вирусы — одна из наиболее широко известных опасностей для сетей. Подобно живым микроорганизмам, они распространяются, заражая здоровые программы. Компьютерные вирусы могут даже приспосабливаться к среде обитания и двигаться.
Заразив систему, они проникают в каждый исполняемый или объектный файл, размещенный на машине. Более того, некоторые вирусы заражают загрузочные сектора дисков, а это значит, что вирус проникнет и в машины, загружающиеся с зараженного диска. Любой вирус внедряет свой код в тело программы. Благодаря этому он будет выполняться при каждом ее запуске.
Окунемся в историю компьютерных вирусов.
В 1945 году Вице-адмирал ВМФ США Грейс Мюррей Хоппер, руководивший информационным отделом военно-морского штаба, столкнулся с тем, что электронно-счетные машины начали давать сбои. Причиной стал мотылек, залетевший внутрь одного из реле. Адмирал назвал эту проблему «жуком» и также впервые использовал термин «избавление от жука», который ныне применяется для описания действий, ставящих своей целью устранение неполадок в компьютере.
В 1949 году Американский ученый Джон фон Науманн разработал математическую теорию создания самовоспроизводящихся программ. Это была первая теория создания компьютерных вирусов.
Примерно 1950 году математики, работающие в исследовательском подразделении корпорации Bell, придумали игру: они создают программы, отбирающие друг у друга компьютерное пространство. Это были предтечи вирусов.
Компьютерные вирусы на сегодняшний день – это самая распространенная причина потери информации в мире.
Уже в начале 80-х ученый Фред Коэн проводил эксперименты по созданию программ, которые обладали способностями к размножению и распространению. 1983 году Фред Коэн вводит термин «компьютерный вирус».
Вирусы можно назвать удачным экспериментом по созданию синтетической жизни. Самый первый вирус был создан в конце 60-х. В ряде случаев это были ошибки в программах, приводивших к тому, что программы копировали сами себя, засоряя жесткий диск компьютеров, что снижало их продуктивность, однако считается, что в большинстве случаев вирусы сознательно создавались для разрушения. Вероятно, первой жертвой настоящего вируса, написанного программистом для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер - на котором и был создан. Но этот единичный эксперимент мог бы так и остаться в истории навсегда, если бы не изобретение Интернета!
Вирусы получили своё распространение после другого события, произошедшего в Пакистане в 1986 году. Братья Амджад решают написать программу «The Brain», которая активировалась при попытке копирования, и вирус должен был наказать «пиратов» ворующих ПО у их фирмы. В программе значились имена, адреса и телефоны братьев. Однако неожиданно для всех «The Brain» вышел за пределы Пакистана и заразил тысячи компьютеров по всему миру. Также интересным фактом является и то, что вирус «The Brain» был первым в мире невидимым вирусом – он при попытке чтения зараженного сектора подставлял незараженный оригинал.
1988 год. 23-летний американский программист создал "червя", поразившего ARPANET (в наше время Internet). Впервые заражение было массовым - пострадали 6 тыс. компьютеров. Впервые суд осудил автора компьютерного вируса: он был приговорен к $10 тыс. штрафа и трем годам испытательного срока. После этого инцидента о проблеме компьютерных вирусов стали писать серьезные некомпьютерные издания
В 1989 году создано антивирусное программное обеспечение для IBM PC. В этом же году появился первый вирус типа «троянский конь» — AIDS и стала более популярна услуга ремонт компьютеров на дому. Вирус делал недоступной всю информацию на жестком диске компьютера и высвечивал на экране лишь одну надпись: «Пришлите чек на 189 долл. на ??? адрес :))». Затем был создан вирус для противодействия антивирусному ПО (The Dark Avenger — Темный Мститель). Он заражал новые файлы, пока антивирус проверяла жесткий диск компьютера.
В 1991 году появился полиморфный вирус, умеющий видоизменять свое тело.
1998 год — вирус Win95.CIH. Этот вирус уничтожал всю информацию на жестком диске, записывая на него мусор. Кроме того, он перезаписывал Flash BIOS, и выводил из строя материнскую плату. Эпидемия вируса Win95.CIH, более известного как «Чернобыль» и поразившего компьютеры 26 апреля 1999 года, была на тот момент самой разрушительной. Этот вирус стал поворотной точкой в восприятии компьютерных угроз пользователями. Это был первый вирус, который нанес урон не только данным, находящимся на заразившейся машине, но и вывел из строя некоторые компьютеры целиком. Свое название CIH вирус получил от имени своего создателя - студента тайваньского университета Чен Ин-Хау (Chen Ing-Hau). Его второе название – «Чернобыль» появилось из-за того, что вирус активировался 26 апреля - день катастрофы Чернобыльской АЭС.
1999 год. Вирус Melissa поразил десятки тысяч компьютеров и нанес ущерб в $80 млн. После этого инцидента в мире начался обвальный спрос на антивирусные программы.
2000 год. Рекорд вируса Melissa побил вирус «I Love You», поразивший миллионы компьютеров в течение нескольких часов. Червь «I love you», выпущенный на Филиппинах, нанес владельцам компьютеров ущерб, по приблизительным оценкам, превышающий $10 млрд. Несколько десятков популярных сайтов на некоторое время были выведены из строя в результате DDOS-атаки.
Червь, вошедший в историю как Code Red, за 14 часов сумел заразить более 300 тыс. компьютеров в Интернете.
В 2004 году 17 летний немецкий школьник Свен Яшан создал вирус «Saccer». Эта чудесная программка, выпущенная парнем в собственный день рождения, привела к блокированию спутниковой связи во Франции, отмене авиарейсов в Великобритании, и заражению миллионов машин по всему миру. Особенно крепко досталось итальянским юзерам, компьютеры которых сами по себе зависали, или просто отключались на продолжительное время.
В 2007 году Вирус Storm устроил самый настоящий шторм Интернета. Червь распространяется по почте. После запуска вложенных файлов устанавливается вирус, который дает возможность хакерам перебирать управление компьютером в свои руки. Penetrator – ещё одна мало известная вредоносная программа, попавшая в тысячи компьютеров осенью-зимой 2007 года. У пользователей исчезали графические, звуковые и текстовые документы. Все документы Word заменялись нецензурными.
2009 год Вирус «Win32.Conficker.B» известный как Net-Worm.Win32.Kido.dv, W32/Downadup.B, W32/Downadup.AL, W32/Confick-D, WORM_DOWNAD.AD. Он отключает в Windows функцию «восстановление системы», может заблокировать доступ к различным сайтам, которые посвящены информационной безопасности, может скачивать на пораженную машину дополнительные вредоносные программы, может отключать системные службы, создаёт бот сеть.
Существуют общие принципы функционирования компьютерных вирусов.
Формально компьютерным вирусом называется программа, которая может «заражать» другие программы. То есть в зараженной программе код ее изменен таким образом, чтобы вирус получил управление первым, до начала работы программы – вирусоносителя. При передаче управления вирусу, он находит новую программу и выполняет вставку собственной копии в начало или добавление ее в конец этой, обычно еще не зараженной, программы. Если вирус дописывается в конец программы, то он корректирует код программы, чтобы получить управление первым. После этого управление передается программе – вирусоносителю, и та нормально выполняет свои функции. Возможны случаи, когда вирус включает себя куда-то в середину программы.
Подобно биологическим вирусам, для большинства компьютерных вирусов характерен определенный инкубационный период, в течение которого выполняемые вирусом несанкционированные действия ограничиваются заражением других программ. Следует различать два основные фазы, выполняемые компьютерные вирусом: размножение и проявление.
Фаза размножения обычно является первой и обязательной фазой, на которой вирус заражает все новые и новые программы.
Фаза проявления обязательно связана с визуальным или звуковым эффектами. Последние, в основном, характерны для так называемых вирусов - иллюзионистов, которые обычно внезапно демонстрируют свое присутствие с помощью изощренного визуального или звукового эффекта.
Наряду с указанными действиями, вирус может обладать определенной латентной фазой, в течение которой никаких действий по своему размножению не предпринимается. Латентная фаза может быть обусловлена определенным временем периодом (например, определенным месяцем или годом), конфигурацией (например, вирус может активизироваться только при попадании на винчестер) или аппаратным особенностями (например, только на IBM PC).
Инфицируя программу, вирусы могут распространяться от одной программы к другой что делает их наиболее опасными по сравнению с другими методами компьютерного вандализма.
Компьютерные вирусы «бессмертны» и могут неограниченное время хранится в архивах. Из этого следует важный вывод, что после первого обнаружения и уничтожения вируса следует ожидать повторных заражений. Таким образом, после появления определенного вируса борьба с ним становиться постоянной проблемой.
ОСНОВНЫЕ СИМТОМЫ ЗАРАЖЕНИЯ ВИРУСОМ
- Программы стали загружаться медленнее.
- Файлы появляются или исчезают.
- Искажается информация в некоторых файлах или каталогах.
- Появляются файлы или каталоги со странными именами
- Размер программы или объекта изменяются по непонятным причинам.
- На экране появляется необычный текст или изображения.
- Элементы экрана выглядят нечеткими, размытыми.
- Сам по себе уменьшается объем свободного места на жестком диске.
- Имена файлов изменяются без видимых причин.
- Нажатия клавиш сопровождаются странными звуками.
- Доступ к жесткому диску запрещен.
- На ваш почтовый ящик приходит много писем без обратного адреса или заголовка.
- Операционная система загружается долго или вообще не грузится.
- Интернет браузер часто зависает, самостоятельно изменяется стартовая страница, спонтанно открываются несанкционированные страницы (окна с рекламой, порнографические сайты), предлагает загрузить файл из Интернета.
- Блокировка компьютера окном с требованием выслать SMS на указанный номер.
Существует несколько различных классов вирусов. К наиболее известным классам относятся:
Трояны (trojan) Троянскими конями называются вирусы, прячущиеся в файлах данных. То есть программы, содержащие скрытый модуль, осуществляющий, несанкционированные действия. В данном случае скрытым модулем является тело вируса, а одним из несанкционированных действий – заражение других программ. Помимо заражения, вирус может включать уничтожение данных на зараженном диске. Выполняемые вирусом несанкционированные действия могут быть связаны с наступлением определенной даты или определенного количества размножений. Большинство новых антивирусных программ обнаруживает практически всех троянских коней.
Полиморфные вирусы - это вирусы, которые зашифровывают свое тело и благодаря этому могут избежать обнаружения путем проверки сигнатуры вируса. Прежде чем приступить к работе, такой вирус расшифровывает себя с помощью специальной процедуры расшифровки. Полиморфные вирусы обнаружить очень трудно. Дело в том, что они генерируют абсолютно новые процедуры расшифровки при каждом новом заражении. Благодаря этому сигнатура вируса изменяется от файла к файлу. Для изменения процедуры шифрования используется достаточно простой генератор машинного кода, называющийся генератором мутаций. Он использует генератор случайных чисел и достаточно простой алгоритм изменения сигнатуры вируса. Несмотря на то, что полиморфные вирусы нельзя обнаружить с помощью обычных методов проверки (вроде сравнения строк кода), они все же детектируются специальными антивирусными программами.
Стелс-вирусы - вирусы, которые прячут изменения, созданные в зараженном файле. Для этого они отслеживают системные функции чтения файлов или секторов на носителях информации. Если происходит вызов такой функции, то вирус старается изменить полученные ею результаты: вместо настоящей информации вирус передает функции данные незараженного файла. Как правило, стелс-вирусы либо обладают невидимым размером, либо они невидимы для чтения. Вирусы с невидимым размером принадлежат к подвиду вирусов, заражающих файлы. Такие вирусы помешают свое тело внутрь файла, вызывая тем самым увеличение его размера. Однако вирус изменяет информацию о размере файла так, чтобы пользователь не мог обнаружить его присутствия. Другими словами, система указывает на то, что длина зараженного файла равняется длине обычного (незараженного) файла. Вирусы, невидимые для чтения (вроде Stoned.Monkey), перехватывают запросы на чтение зараженной загрузочной записи или файла и предоставляют в ответ первоначальную, не измененную вирусом информацию. Большинство стандартных антивирусных программ "вылавливают" стелс-вирусы.
Медленные вирусы очень трудно обнаружить, так как они заражают только те файлы, которые изменяются или копируются операционной системой. Другими словами, медленный вирус заражает любой исполняемый файл, причем делает это в тот момент, когда пользователь выполняет некоторые операции с этим файлом. Медленный вирус может заразить копию файла, не заразив при этом файл-источник. Одним из наиболее известных медленных вирусов является Darth_Vader, который заражает только СОМ-файлы и только во время их записи.
Обнаружение медленных вирусов - это достаточно сложный процесс. Хранитель целостности должен обнаружить новый файл и сообщить пользователю о том, что у этого файла нет значения контрольной суммы. Хранитель целостности - это антивирусная программа, наблюдающая за содержанием жестких дисков, а также за размером и контрольной суммой каждого из расположенных на них файлов. Если хранитель обнаружит изменения в содержании или размере, то он немедленно сообщит об этом пользователю.
Ретро-вирус - эти вирусы атакуют антивирусное программное обеспечение. Компьютерные профессионалы называют ретро-вирусы анти-антивирусами. Большинство ретро-вирусов занимается поисками и удалением файлов с данными о сигнатурах вирусов. Более сложные ретро-вирусы занимаются поиском и удалением баз данных, содержащих информацию о целостности файлов. Многие ретро-вирусы обнаруживают активизацию антивирусных программ, а затем прячутся от программы либо останавливают ее выполнение. Кроме того, они могут запустить процедуру разрушения до того, как антивирусная программа обнаружит их присутствие. Некоторые ретро-вирусы изменяют оболочку вычислений антивируса и таким образом влияют на выполнение антивирусных программ. Кроме того, существуют ретро-вирусы, использующие недостатки антивирусного программного обеспечения, чтобы замедлить его работу или свести на нет эффективность программы.
Вооруженные вирусы защищают себя с помощью специального кода, благодаря которому сильно усложняется отслеживание и дизассемблирование вируса. Вооруженные вирусы могут воспользоваться для защиты "пустышкой". Это - код, позволяющий увести разработчика антивирусных программ от настоящего кода вируса. Кроме того, вирус может включать в себя специальный фрагмент, указывающий на то, что вирус расположен в одном месте, хотя на самом деле его там не будет. Одним из наиболее известных вооруженных вирусов является Whale.
Свое название вирусы-компаньоны получили потому, что параллельно с заражаемым файлом они создают файл с таким же именем, но с другим расширением.
Классическим типом вирусов являются вирусы-фаги. Вирус-фаг - это программа, которая изменяет другие программы или базы данных. Обычно фаги замещают текст программы своим собственным кодом. Чаще всего они являются генераторами вирусов компаньонов. Фаги - это наиболее опасный вид вирусов. Дело в том, что они не только размножаются и заражают другие программы, но и стремятся уничтожить все зараженные программы.
Компьютерный червь
Червь Internet (известный также как червь Морриса) был самым первым вирусом, поразившим Internet. Этот вирус делал невозможной работу компьютера, создавая огромное количество своих копий в памяти компьютера. Для нормальной работы червям необходимы операционные системы, обеспечивающие возможность удаленного выполнения и позволяющие приходящим программам выполняться на компьютере. Одним из самых распространенных вирусов в Internet является WINSTART. Свое название он получил от имени файла - winstart.bat, - в котором обычно и располагается тело вируса. Этот червь, как и многие остальные, копирует себя в памяти машины до тех пор, пока не будет выведена из строя операционная система. После этого компьютер автоматически зависает.
Файловым вирусом может быть троянский конь, вооруженный вирус, стелс-вирус и некоторые другие. Файловые вирусы опасны для данных, хранящихся на сервере. Если же вирус сумеет проникнуть в какой-либо файл, расположенный на сервере, то он сможет заразить и все машины в сети.
Макровирусы - это один из наиболее опасных типов компьютерных вирусов. В настоящее время они представляют собой наиболее быстро развивающуюся разновидность "компьютерных инфекций", способных перемещаться посредством Internet. Макровирусы представляют опасность не только для сетей, но и для автономных компьютеров, т. к. они не зависят от компьютерной платформы и от конкретной операционной системы. Более того, эти вирусы заражают не исполняемые файлы, а файлы с данными, которых гораздо больше.
Количество макровирусов растет с каждым днем. Обычно макровирусы распространяются путем создания копий в каждом новом документе. Таким образом, макровирус может попадать на другие машины вместе с зараженными документами. Наиболее часто макровирусы удаляют файлы так, чтобы впоследствии их нельзя было восстановить.
Макровирус может заражать и таблицы Excel, и базы данных Access, и презентации PowerPoint. С ростом возможностей внутренних языков программирования возрастет и количество новых макровирусов.
В Internet существует огромное количество предупреждений о вирусах. Большая часть этих предупреждений относится к настоящим компьютерным вирусам. Однако есть и такие люди, которые любят поразвлечься, хотя и довольно своеобразно. Эти шутники занимаются тем, что распространяют в Internet сообщения о «мнимых» вирусах, т. е. вирусах, которых на самом деле не существует в природе.
Список ссылок: