И снова здравствуйте.
Тема сегодняшней статьи . Виды компьютерных вирусов, принципы их работы, пути заражения компьютерными вирусами.
Что вообще такое компьютерные вирусы.
Компьютерный вирус — Это специально написанная программа или сборка алгоритмов которые пишутся с целью: пошутить, навредить чьему либо компьютеру, получение доступа к вашему компьютеру, для перехвата паролей или вымогания денег. Вирусы могут само-копироваться и заражать вредоносным кодом ваши программы и файлы, а так же загрузочные сектора.
Виды вредоносных программ.
Разделить вредоносные программы можно на два основных вида.
Вирусы и черви.
Вирусы
- распространяются через вредоносный файл, который вы могли скачать в интернете, или может оказаться на пиратском диске, или часто передают их по скайпу под видом полезных программ (заметил что на последнее часто попадаются школьники, им передают якобы мод для игры или читы а на самом деле может оказаться вирусом который может навредить).
Вирус вносит свой код одну из программ, либо маскируется отдельной программой в том месте куда обычно пользователи не заходят (папки с операционной системой, скрытые системные папки).
Вирус не может запуститься сам, пока вы сами не запустите зараженную программу.
Черви
заражают уже множество файлов вашем компьютере, например все exe файлы, системные файлы, загрузочные сектора и тд.
Черви чаще всего проникают в систему уже сами, используя уязвимости вашей ОС, вашего браузера, определенной программы.
Они могут проникать через чаты, программы для общения такие как skype, icq , могут распространяться через электронную почту.
Так же они могут быть на сайтах, и используя уязвимость вашего браузера проникнуть в вашу систему.
Черви могут распространяться по локальной сети, если один из компьютеров в сети окажется заражен он может распространяться на остальные компьютеры заражая все файлы на своём пути.
Черви стараются писать под самые популярные программы. Например сейчас самый популярный браузер «Chrome», поэтому мошенники будут стараться писать под него, и делать вредоносный код на сайты под него. Потому что часто интереснее заразить тысячи пользователей которые используют популярную программу чем сотню с непопулярной программой. Хотя chrome и постоянно улучшает защиту.
Лучшая защита от сетевых черве
й это обновлять ваши программы и вашу операционную систему. Многие пренебрегают обновлениями о чем часто жалеют.
Несколько лет назад я замечал следующий червь.
Но он явно попал не через интернет а скорее всего через пиратский диск. Суть его работы была таковой — он создавал будто бы копию каждой папки в компьютере или на флешке. Но на самом деле он создавал не похожую папку а exe файл. При нажатии на такой exe файл он распространялся ещё сильнее по системе. И вот было только избавишься от него, придешь к другу с флешкой, скинуть у него музыку а возвращаешься с зараженной таким червем флешку и снова приходилось его выводить. Наносил ли этот вирус какой то ещё вред системе я не знаю, но вскоре этот вирус прекратил своё существование.
Основные разновидности вирусов.
На самом деле существует множество видов и разновидностей компьютерных угроз. И все рассмотреть просто невозможно. Поэтому мы рассмотрим самые распространенные в последнее время и самые неприятные.
Вирусы бывают:
— Файловые
— находятся в зараженном файле, активируются когда пользователь включает эту программу, сами не могут активироваться.
— Загрузочные
— могут загружаться при загрузке windows попав в автозагрузку, при вставке флешки или подобное.
-
Макро вирусы
- это различные скрипты которые могут находиться на сайте, могут прислать их вам по почте или в документах Word и Excel, выполняют определенные функции заложенные в компьютере. Используют уязвимости ваших программ.
Типы вирусов.
-Троянские программы
— Шпионы
— Вымогатели
— Вандалы
— Руткиты
— Botnet
— Кейлогеры
Это самые основные виды угроз которые могут вам встретиться. Но на самом деле их намного больше.
Некоторые вирусы могут даже комбинироваться и содержать в себе сразу несколько видов этих угроз.
— Троянские программы
. Название происходит от троянского коня. Проникает в ваш компьютер под видом безвредных программ, потом может открыть доступ к вашему компьютеру или переслать ваши пароли хозяину.
В последнее время распространены такие трояны которые называются стилеры (stealer). Они могут воровать сохраненные пароли в вашем браузере, в почтовых игровых клиентах. Сразу после запуска копирует ваши пароли и отправляет ваши пароли на email или на хостинг злоумышленнику. Ему остается собрать ваши данные, потом их либо продают либо используют в своих целях.
— Шпионы (spyware)
отслеживают действия пользователя. Какие сайты посещает или что делает пользователь на своём компьютере.
— Вымогатели
. К ним относятся Винлокеры (winlocker). Программа полностью, или полностью блокирует доступ к компьютеру и требует деньги за разблокировку, на пример положить на счет или тд. Ни в коем случае если вы попали на такое не стоит пересылать деньги. Компьютер вам не разблокируется, а деньги вы потеряете. Вам прямая дорога на сайт компании Drweb, там можно найти как разблокировать многие винлокеры, за счет ввода определенного кода или выполнения некоторых действий. Некоторые винлокеры могут пропасть например через день.
— Вандалы
могут блокировать доступы к сайтам антивирусов и доступ к антивирусам и многим другим программам.
— Руткиты
(rootkit) — вирусы гибриды. Могут содержать в себе различные вирусы. Могут получать доступ к вашему пк, и человек будет полностью иметь доступ к вашему компьютеру, причем могут слиться на уровень ядра вашей ОС. Пришли из мира Unix систем. Могут маскировать различные вирусы, собирать данные о компьютере и обо всех процессах компьютера.
— Botnet
достаточно неприятная вещь. Ботнеты это огромные сети из зараженных компьютеров «зомби», которые могут использоваться для ддоса сайтов и прочих кибер атак, используя зараженные компьютеры. Этот вид очень распространен и его тяжело обнаружить, даже антивирусные компании могут долго не знать о их существовании. Очень многие могут быть ими заражены и даже не подозревать об этом. Не исключении вы и даже может и я.
— Кейлогеры
(keylogger) — клавиатурные шпионы. Перехватывают всё что вы вводите с клавиатуры (сайты, пароли) и отправляет их хозяину.
Пути заражения компьютерными вирусами.
Основные пути заражения.
— Уязвимость операционной системы.
— Уязвимость в браузере
— Качество антивируса хромает
— Глупость пользователя
— Сменные носители.
Уязвимость ОС
— как бы не старались клепать защиту для ОС со временем находятся дыры безопасности. Большинство вирусов пишется под windows так как это самая популярная операционная система. Лучшая защита это постоянно обновлять вашу операционную систему и стараться использовать более новую версию.
Браузеры
— Здесь происходит за счёт уязвимостей браузеров, особенно если они опять же старые. Лечится так же частым обновлением. Так же могут быть проблемы если вы качаете плагины для браузера со сторонних ресурсов.
Антивирусы
— бесплатные антивирусы которые имеют меньший функционал в отличие от платных. Хотя и платные не дают 100 результата в защите и дают осечки. Но желательно иметь всё же хотя бы бесплатный антивирус. Я уже писал про бесплатные антивирусы в этой статье .
Глупость пользователя
— клики по баннерам, переходи по подозрительным ссылкам из писем и тд, установка софта из подозрительных мест.
Сменные носители
— вирусы могут устанавливаться автоматически с зараженных и специально подготовленных флешек и прочих сменных носителей. Не так давно мир услышал про уязвимость BadUSB.
https://avi1.ru/ — купить очень недорогое продвижение в социальных сетях Вы можете на этом сайте. Также Вы получите действительно выгодные предложения по приобретению ресурсов на свои страницы.
Виды заражаемых объектов.
Файлы
— Заражают ваши программы, системные и обычные файлы.
Загрузочные секторы
— резидентные вирусы. Заражают как понятно из названия загрузочные сектора компьютера, приписывают свой код в автозагрузку компьютера и запускаются при запуске операционной системе. Порою хорошо маскируются что трудно убрать из автозагрузки.
Макрокоманды
— Документы word, excel и подобные. Использую макросы и уязвимости средств Microsoft office вносит свой вредоносный код в вашу операционную систему.
Признаки заражения компьютерными вирусами.
Не факт что при появлении некоторых из этих признаков означает наличие вируса в системе. Но если они имеются рекомендуется проверить свой компьютер антивирусом или обратиться к специалисту.
Один из распространенных признаков — это сильная перегрузка компьютера
. Когда у вас медленно работает компьютер, хотя у вас ничего вроде бы не включено, программ которые могут сильно нагружать компьютер. Но если у вас антивирус заметьте антивирусы сами по себе нагружают компьютер очень хорошо. А в случае отсутствия такого софта который может грузить то скорее тут вирусы. Вообще советую по уменьшить для начала количество запускаемых программ в автозапуске.
так же может быть одним из признаков заражения.
Но не все вирусы могут сильно нагружать систему, некоторые практически трудно заметить изменения.
Системные ошибки.
Перестают работать драйвера, некоторые программы начинают работать не правильно или часто вылетают с ошибкой но раньше допустим такого не замечалось. Или начинают часто перезагружаться программы. Конечно такое бывает из за антивирусов, например антивирус удалил по ошибке посчитав системный файл вредоносным, либо удалил действительно зараженный файл но он был связан с системными файлами программы и удаление повлекло за собой такие ошибки.
Появление рекламы в браузерах
или даже на рабочем столе начинают появляться баннеры.
Появление не стандартных звуков
при работе компьютера (писк, щелчки ни с того ни с сего и подобное).
Открывается сам по себе CD/DVD привод
, или просто начинает словно читать диск хотя диска там нет.
Длительное включение или выключение компьютера.
Угон ваших паролей.
Если вы заметили что от вашего имени рассылается различный спам, с вашего почтового ящика или странички социальной сети, как вероятность что вирус проник в ваш компьютер и передал пароли хозяину, если вы заметили такое рекомендую провериться антивирусом в обязательном порядке (хотя не факт что именно так злоумышленник получил ваш пароль).
Частое обращение к жесткому диску
. У каждого компьютера есть индикатор, который мигает когда используют различные программы или когда копируете, скачиваете, перемещаете файлы. Например у вас просто включен компьютер но не используется никаких программ, но индикатор начинает часто мигать якобы используются программы. Это уже вирусы на уровне жесткого диска.
Вот собственно и рассмотрели компьютерные вирусы которые могут вам встретиться в интернете. Но на самом деле их в разы больше, и полностью защититься не возможно, разве что не пользоваться интернетом, не покупать диски и вообще не включать компьютер.
Вирусы, троянцы, черви и другие зловреды - этой живности всегда хватает в Интернете. Разберемся, что такое вирус, как он живет и чем вредит нашим компьютерам.
Компьютерные вирусы: что это такое?
Вирус - это самостоятельная программа, которая устанавливается против воли пользователя на его компьютер. Вирус устанавливает сам себя в программное обеспечение или в операционную систему, повреждает ПО, а затем продолжает распространяться по системе. То же самое делает биологический вирус человека, вызывающий болезни, отсюда и название.
Слово «вирус» часто используется как обычными пользователями, так и профессионалами в качестве обозначения любых вредоносных программ. Однако, вирус в классическом понимании - это именно вредитель, ломающий ПК, нарушающий его нормальную работу.
Кроме вирусов существуют и другие вредоносные программы. Так, к примеру, есть троянцы - программы, позволяющие злоумышленникам удаленно пользоваться вашим компьютером в своих целях без вашего ведома. Есть черви - размножающиеся вирусы, цель которых - установить себя на как можно большее количество компьютеров. Шп ионское ПО, рекламное ПО и программы-вымогатели также относятся к категории вредоносных программ.
Вирусы могут вредить по-разному
Вирусы существуют с самых ранних этапов компьютерной истории. Когда Интернет еще не существовал, вирусы попадали на другие компьютеры путем переноса зараженных файлов на дискете с компьютера на другой компьютер. Сейчас, когда данные передаются, в основном, через Интернет, заразиться вирусом намного проще.
Компьютерный вирус можно «подхватить» по-разному. К примеру, веб-страницы и почтовые вложения могут использоваться для непосредственного запуска вируса в систему. Часто вирус бывает встроен в скачанную с Интернета программу, которая «выпускает» вирус на волю после того, как вы ее установите.
Когда вирус запускается, он заражает множество файлов, то есть копирует в них свой вредоносный код, чтобы существовать на компьютере как можно дольше. Под угрозу могут попасть как простые документы Word, так и скрипты, библиотеки программ и все другие файлы на вашем компьютере.
Какие повреждения вызывает компьютерный вирус?
Вирусы могут наносить самый различный вред. В большинстве случаев они удаляют файлы или необратимо повреждают их. Если такое произойдет с важным системным файлом, вы не сможете запустить операционную систему после заражения.
Повреждение физического оборудования также возможно, но случается довольно редко. Например, помимо прочего, вирус может разгонять видеокарту, вызывая ее перегрев и приводя к выходу из строя.
Простое уничтожение файлов не приносит финансовой выгоды для преступников, поэтому вирусы стали им неинтересны. Тем более, что сегодня есть значительно более прибыльные вредоносные программы - те же вымогатели или рекламное ПО, так называемая «адварь».
Как распознать вирусы?
Настоящий вирус, написанный профессионалом, не позволяет пользователю узнать, что компьютер заражен. Или же пользователь может понять это только когда уже будет слишком поздно.
Впрочем, есть несколько советов:
- Если ваш компьютер вдруг стал заметно медленнее, это может быть признаком наличия вируса.
- Найти и удалить вирус вам поможет антивирусный сканер. Существует множество бесплатных программ для сканирования компьютера на вирусы.
- Предотвратить проникновение вируса на ПК вам поможет антивирусное программное обеспечение или .
В следующем материале расскажем о лучшем антивирусном ПО для операционной системы Windows и о том, какой антивирус является наиболее производительным.
О мобильных антивирусах для Android вы можете .
Первые исследования саморазмножающихся искусственных конструкций проводились в середине XX столетия: в работах фон Неймана, Винера и др. Дано определение и проведен математический анализ конечных автоматов, в том числе самовоспроизводящихся. Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман , который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.
Термин "компьютерный вирус " появился позднее - официально считается, что его впервые употребил сотрудник Лехайского университета (США) Фред Коэн в 1984 году на 7-й конференции по безопасности информации, проходившей в США.
Существует много разных версий относительно даты рождения первого компьютерного вируса. Однако большинство специалистов сходятся на мысли, что компьютерные вирусы, как таковые, впервые появились в 1986 году, хотя исторически возникновение вирусов тесно связано с идеей создания самовоспроизводящихся программ.
Появление первых компьютерных вирусов, способных дописывать себя к файлам, связывают с инцидентом, который произошел в первой половине 70-х годов на системе Univax 1108 . Вирус, получивший название "Pervading Animal ", дописывал себя к выполняемым файлам – делал практически то же самое, что тысячи современных компьютерных вирусов.
ПРИМЕЧАНИЕ :Каждый вирус имеет собственное имя. Обнаружив новый вирус, антивирусные компании дают ему имена в соответствии с классификациями, принятыми в каждой конкретной компании, причем классификация у каждой фирмы своя.
Например , Worm.Win32.Nuf – это то же самое, что
Net-Worm.Win32.Mytob.c.
Часто название дается по некоторым внешним признакам:
по месту обнаружения вируса (Jerusalem);
методу подачи пользователю (AnnaKournikova);
эффекту (Black Friday).
Можно отметить, что в те времена значимые события, связанные с компьютерными вирусами, происходили один раз в несколько лет. С началом 80-х компьютеры становятся все более и более популярными. Появляется все больше и больше программ, начинают развиваться глобальные сети. Результатом этого является появление большого числа разнообразных "троянских коней" – программ, которые при их запуске наносят системе какой-либо вред.
Одним из "пионеров" среди компьютерных вирусов считается вирус "Brain ", созданный в 1986г. пакистанским программистом по фамилии Алви. Только в США этот вирус поразил свыше 18 тыс. компьютеров.
Вирус, заражающий 360Kб дискеты, практически мгновенно разошелся по всему миру. Причиной такого "успеха" являлась, скорее всего, неготовность компьютерного общества к встрече с таким явлением, как компьютерный вирус.
В начале эпохи компьютерных вирусов разработка вирусоподобных программ носила чисто исследовательский характер, постепенно превращаясь на откровенно вражеское отношение к пользователям безответственных, и даже криминальных "элементов". В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за создание и распространение вирусов.
Первыми известными собственно вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II , появившиеся в 1981 году . Зимой 1984 года появились первые антивирусные утилиты - CHK4BOMB и BOMBSQAD авторства Энди Хопкинса (англ. Andy Hopkins ).
В начале 1985 года Ги Вонг (англ. Gee Wong ) написал программу DPROTE CT - первый резидентныйантивирус.
Расцвет вирусов в их классическом понимании пришелся на операционную систему MS DOS и происходил в 80-е годы и в начале 90-х. В то время вирусы заражали загрузочные области накопителей на жестких и гибких дисках и исполнимые файлы. Вирусы распространялись путем переноса с компьютера на компьютер дискет, зараженных вирусами или содержащих зараженные исполнимые файлы. В своей эволюции в тот период вирусы прошли путь от простейших вирусов до шифрованных (тело вируса было зашифровано, так что сигнатура вируса менялась от экземпляра к экземпляру).
Из вирусных технологий, разработанных в тот период, необходимо также отметить следующие :
«stealth»- технологию, обеспечивавшую «невидимость» вирусов для стандартных средств, поставляющих информацию о системе;
направленность некоторых вирусов на разрушение или блокирование работы антивирусных программ на пораженном компьютере пользователя;
разработка генераторов вирусов, позволившая малоквалифицированным пользователям автоматически создавать вирусы.
Тогда же оформились основные классы двоичных вирусов :
сетевые черви (червь Морриса , 1987),
«троянские кони » (AIDS, 1989 ),
полиморфные вирус ы (Chameleon, 1990),
стелс-вирусы (Frodo, Whale, 2-я половина 1990).
Первые вирусные эпидемии относятся к 1987-1989 годам:
Zotkin.A, (более 18 тысяч зараженных компьютеров, по данным McAfee ),
Jerusalem (проявился в пятницу 13 мая 1988 года , уничтожая программы при их запуске),
червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток),
DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).
В пятницу 13-го мая 1988-го года сразу несколько фирм и университетов нескольких стран мира "познакомились" с вирусом "Jerusalem" – в этот день вирус уничтожал файлы при их запуске. Вместе с несколькими другими вирусами, вирус "Jerusalem " распространился по тысячам компьютеров, оставаясь незамеченным – антивирусные программы еще не были распространены в то время так же широко как сегодня, а многие пользователи и даже профессионалы еще не верили в существование компьютерных вирусов.
Не прошло и полгода, как в ноябре 1988г. появился сетевой вирус Морриса (другое название – Internet Worm ) и в течение короткого промежутка времени парализовал работу многих хостов сети Internet. Повальная эпидемия этого вируса заразила более 6000 компьютерных систем в США и практически парализовала их работу. По причине ошибки в коде вируса он неограниченно рассылал свои копии по другим компьютерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.
Червь Морриса являлся самораспространяющейся программой, которая распространяла свои копии по сети Internet, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе. Одной из уязвимостей, использованных червем Моррисона , была уязвимая версия программы Sendmail (нарушение безопасности было связано с использованием нестандартной команды), а другой - программа Fingerd (в ней содержалась ошибка переполнения буфера). Для поражения систем червь использовал также уязвимость команд rexe c и rsh, а также неверно выбранные пользовательские пароли.
Данный червь является «классикой» вредоносных программ, а механизмы нападения, разработанные автором при его написании, до сих пор используются злоумышленниками.
Параллельно оформляются организованные движения как про-, так и антивирусной направленности:
в 1990 году появляются специализированная BBS Virus Exchange,
«Маленькая чёрная книжка о компьютерных вирусах » Марка Людвига,
первый коммерческий антивирус Symantec Norton AntiVirus .
Начиная с 90-х годов проблема, приобретает глобальный характер. В 1991 году появился первый генератор вирусов- VCS v.1.0 . Теперь любой желающий за 10-15 минут мог сконструировать свой вирус.
В 1992 годупоявились :
первый конструктор вирусов для PC - VCL (для Amiga конструкторы существовали и ранее),
готовые полиморфные модули (MtE, DAME и TPE);
модули шифрования для встраивания в новые вирусы.
В 1992 году появились первые конструкторы вирусов VCL и PS-MPC , которые увеличили и без того немаленький поток новых вирусов. В конце этого года первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу компьютерных вирусов.
В 1992 операционная система Windows 95 была практически готова, и её beta- версию разослали 160 тестерам. Все диски были заражены загрузочным вирусом Form , и только один тестер не поленился проверить диск антивирусом. 1993 год. Вирус Satan bug поражает сотни компьютеров в Вашингтоне.
С появлением семейства операционных системы Windows в 90-х годах ситуация изменилась. Казалось, что ситуация должна улучшиться, т.к. Windows является системой более сложной структуры, в ней присутствуют некоторые механизмы защиты, а, следовательно, создавать вирусы для данной операционной системы будет труднее, чем под MS DOS. И действительно, на некоторое время количество создаваемых вирусов уменьшилось (выросло число вирусов, поражающих загрузочную запись, т.к. данный тип MS DOS вирусов был совместим с операционной системой Windows 3.1 , но уменьшилось количество файловых вирусов).
В несколько последующих лет были :
окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf , 1994; NightFall, Nostradamus, Nutcracker, 1995),
испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993) ,
появились вирусы, заражающиеобъектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994).
В этот период появился новый фактор, вызвавший бурный рост вредоносных программ. Получили широкое распространение сложные программные пакеты (самый яркий представитель – Microsoft Office), содержащие встроенные интерпретируемые языки.
Август 1995 г. один из поворотных моментов в истории вирусов и антивирусов - обнаружен первый вирус для Microsoft Word ("Concept").
Вирус Concept, первый макро-вирус (вирус, использующий интерпретатор, встроенный в прикладное программное обеспечение). Так начиналось время макровирусов. С распространением пакета Microsoft Office получили распространение макровирусы (Concept, 1995 ). С этого момента вирусы, заражающие документы Microsoft Office стали самыми популярными в мире.
В 1996 годупоявились первые вирусы для:
Windows 95 - Win95.Boza,
резидентный вирус для Win95.Boza - Win95.Punch.
После появления в 1997 году очередной версии продукта Microsoft Office, вирусы перестали быть специфичными для какого-то отдельного офисного приложения, а стали "общими" для всех продуктов семейства, вследствие внедрения в пакет встроенного интерпретируемого языка Visual Basic . Теоретически любое приложение, поддерживающее Visual Basic, может быть использовано для распространения вирусов в документах.
Таким образом, для широкого распространения макро-вирусов в настоящее имеются следующие предпосылки:
широкое распространение пакета Microsoft Office;
отсутствие механизмов защиты в макросах;
распространенность обмена информацией в файлах, созданных офисными приложениями, в почтовых вложениях между пользователями;
удобный язык для написания вирусов.
Современные макро-вирусы пытаются использовать технологии аналогичные технологиям, которые использовали вирусы для операционной системы MS DOS:
сокрытие своего тела путем перехвата обращений к пунктам меню, позволяющим просмотреть макросы в документе;
шифрование текста макроса;
борьба с антивирусным программным обеспечением.
Описанные вирусные проблемы, существовали где-то до 1998 года. А далее произошла очередная «вирусная» революция, связанная с использованием возможностей сети Internet для распространения вирусов .
На данном этапе вирусные программы начинают обладать функциями, характерными для червей, так что часто трудно четко определить, вирусом или червем является вредоносная программа.
С распространением сетей и Интернетафайловые вирусывсё больше ориентируются на Win95.Boza и Win95.Punch как на основной канал работы:
ShareFun, 1997 - макровирус MS Word , использующий MS-Mail для распространения;
Win32.HLLP.DeTroie, 1998 - семейство вирусов-шпионов ;
Melissa, 1999 - макровирус и сетевой червь, побивший все рекорды по скорости распространения
Вирус Melissa появился в мае 1999 года и поразил около 100000 хостов, подключенных к сети Internet, в том числе и в сетях, защищенных межсетевыми экранами. Вирус распространялся с помощью программы, присоединенной к почтовому сообщению. Даже если в атакуемой сети присутствовала проверка наличия вирусов в почтовых сообщениях, антивирусные средства не могли распознать сигнатуру вируса Melissa.
Кратко рассмотрим принципы работы данного вируса. Вирус Melissa нельзя классифицировать как чистый червь, т.к. для его распространения требуются действия пользователя. Для того чтобы вирус заразил атакуемый хост сети, пользователь должен был открыть присоединенный к почтовому сообщению документ с помощью программы Microsoft Word. После того, как зараженный документ открывался, вирус рассылал свою копию первым пятидесяти адресатам в книге адресов Microsoft Outlook, хранимой на хосте. Этот способ распространения являлся основным (несмотря на то, что вирус мог распространяться и в результате того, что пользователи сами передавали друг другу зараженный документ). Использование адресной книги хоста для распространения вируса увеличивало способность его распространения вследствие того, что атакуемые пользователи были склонны доверять почтовым сообщениям, поступившим к ним от известных пользователей, и открывали вложенные документы.
В январе 1999 года появился вирус Caligula, который распространялся с помощью документов Microsoft Word / 97 . Данный вирус пытался обнаружить в зараженной системе файл, содержащий информацию, используемую программой PGP. При этом для связи с нарушителем использовался сеанс ftp , инициируемый с зараженной машины, что часто позволяло обойти межсетевой экран.
Вирус Marker появился в апреле 1999 года и использовал технику аналогичную вирусу Caligula для получения информации о пользователях, работающих на зараженном хосте. Marker проверял, была ли уже заражена система, на основании проверки ключа реестра, который он устанавливал при заражении
Эру расцвета «троянских коней» открывает утилита скрытого удаленного администрирования BackOrifice (1998) и последовавшие за ней аналоги (NetBus , Phase).
Вирус Win95. CIH достиг апогея в применении необычных методов, перезаписывая FlashBIOS зараженных машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).
В 1998 году появились первые полиморфные Windows32-вирусы-"Win95. HPS " и "Win95. Marburg". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.
Наиболее заметной в 1998 г. была эпидемия вируса "Win95. CIH", ставшая сначала массовой, затем глобальной, а затем повальной – сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный заслал зараженные файлы в местные Интернет-конференции.
С середины 90-х годов основным источником вирусов становится глобальная сеть Интернет.
Конец 1990-x - начало 2000-x годов ознаменовались:
усложнением ПО и системного окружения,
массовым переходом на сравнительно защищенные Windows семейства NT ,
закреплением сетей как основного канала обмена данными,
а также успехами антивирусных технологий в обнаружении вирусов, построенных по сложным алгоритмам.
В этот период вирусы стали:
1) заменять внедрение в файлы на внедрение в операционную систему (необычный автозапуск , руткиты );
2) подменять полиморфизм огромным количеством видов (число известных вирусов растет экспоненциально).
Вместе с тем, обнаружение в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам .
С 1999 года макровирусы начинают постепенно терять свое господство. Это связано со многими факторами. Во-первых, пользователи осознали опасность, таящуюся в простых doc - и xls-файлах. Люди стали более внимательными, научились пользоваться стандартными механизмами защиты от макровирусов, встроенными в MS Office.
В 2000 году происходят очень важные изменения на мировой "вирусной арене". На свет появляется новый тип вредных кодов – сетевые черви. В это же время появляется супервирус – "Чернобыль".
"Чернобыль" исполняемый вирус под Windows, имеющий следующие особенности:
1. Во-первых , зараженный файл не меняет своего размера по сравнению с первоначальным вариантом. Такой эффект достигается благодаря структуре исполняемых файлов Windows : каждый exe-файл разбит на секции, выровненные по строго определенным границам. В результате между секциями почти всегда образуется небольшой зазор. Хотя такая структура приводит к увеличению места, занимаемого файлом на диске, она же позволяет существенно повысить скорость работы операционной системы с таким файлом. "Чернобыль" либо записывает свое тело в один такой зазор, либо дробит свой код на кусочки и копирует каждый из них в пустое место между границами. В результате антивирусу сложнее определить, заражен ли файл или нет, и еще сложнее вылечить инфицированный объект.
2. Во-вторых , "Чернобыль " стал первопроходцем среди программ, умеющих портить аппаратные средства. Некоторые микросхемы позволяют перезаписывать данные, хранящиеся в их мини ПЗУ. Этим и занимается этот вирус.
Первые компьютерные вирусы были совсем непохожи на современных вредителей – это были обыкновенные безвредные программы, правда, весьма своевольные. Они работали в системе, занимались одними им известными делами и совершенно не подчинялись администраторам компьютерных систем. Впрочем, до поры до времени безобидность этих «вирусов» позволяла им не привлекать к себе особого внимания.
Все изменилось 19 апреля 1972 года, когда в США была остановлена работа компьютеров, которые входили в сеть «Эйрпанет». Это остановило многие компьютеризированные процессы и нарушило работу светофоров, вызвав огромное количество автомобильных аварий, что принесло убытки, исчисляющиеся миллионами долларов.
Задумывалось же все это как обыкновенная шутка – вредоносную программу написал один из студентов американского вуза, чье имя неизвестно. Он лишь пытался удивить коллег, создав программу, которая будет размножаться и путешествовать по компьютерным сетям. Розыгрыш явно «удался», но вряд ли создатель этого вируса мог себе представить масштаб разрушений, которые вызовет его детище.
Фред Коэн – официальный создатель первого вируса
Официально же создателем первого вируса считается студент из Калифорнии Фред Коэн, который написал его в 1983 году в рамках защиты своей диссертации по компьютерной безопасности. Он предоставил эту программу для ознакомления своему преподавателю, Леонарду Эдлману, который, по некоторым данным, стал первым, кто употребил термин « ».
Несмотря на то что вирус Коэна не принес никакого вреда, у специалистов не оставалось никаких сомнений, к каким последствиям может привести массовое создание таких программ. Понимал это и Фред Коэн, предложив в 1984 году создать первую антивирусную программу, а через несколько лет, в 1987 году, доказал, что невозможно создать алгоритм, который будет защищать от абсолютно .
Именно в это время компьютерный мир поразила первая вирусная эпидемия. За три года заражению подверглись более ста тысяч машин, по всему миру компьютерные сети выходили из строя на несколько дней и даже более, ставя под угрозу надежность компьютеров и подрывая веру людей в безопасность их использования.
Правда, создатели антивирусов так же не дремали, постепенно набирая мощь и отражая атаки хакеров все успешнее. Эта битва продолжается до сих пор, а Фред Коэн и в наши дни остается одним из лучших специалистов в области компьютерных вирусов.
Dr.Web - один из первых антивирусов в истории
Dr.Web вряд ли был бы создан, если бы до этого не возникли первые вирусы, которые, в свою очередь, не появились бы, не будь для них среды существования - то есть, компьютеров и компьютерных сетей.
По случаю дня рождения антивируса Dr.Web, который мы отмечаем в апреле, предлагаем вам совершить небольшой экскурс в историю и вспомнить вирусных и антивирусных «пионеров», оставивших яркий след в скоротечной и насыщенной событиями компьютеризации нашего общества. Они были первыми - в самых разных ипостасях, с самыми разными намерениями и зачастую намного опережали свое время!
Идеи витали в воздухе...
Идею самовоспроизводящихся программ изложил «отец» компьютера Джон фон Нейман. Материалы лекций на эту тему, которые он читал начиная с 1949 года, Нейман обобщил в научном труде «Теория самовоспроизводящихся автоматических устройств» более 60 лет назад - в 1951 году.
Появление термина «вирус» по отношению к компьютерной программе было неизбежно. Кто употребил его первым - сказать сложно. Есть мнение, что впервые он применен в фантастическом рассказе писателя и ученого Грегори Бенфорда «Человек в шрамах», опубликованном в 1970 году. Кстати, в этом же рассказе упоминается и программа борьбы с вирусом - «Вакцина»!
Первые вирусы
В 1961 году была создана игра Darwin, в которой несколько программ, названных «организмами», загружались в память компьютера. Организмы одного вида, созданные одним игроком, должны были уничтожать представителей другого вида и захватывать жизненное пространство.
В 1971 году появилась первая программа, которую можно считать вирусом в современном понимании - The Creeper. Она не причиняла вреда, а лишь выводила сообщение на экран:
I`M THE CREEPER: CATCH ME IF YOU CAN
Но она уже умела самостоятельно распространяться по сети, став первым сетевым вирусом в истории.
Она же породила и первый антивирус - программу Reaper, являющуюся по сути таким же сетевым вирусом. Reaper распространялась по сетям, никак себя не проявляя, а если ей удавалось найти на компьютере The Creeper - она его стирала.
Вирусы распространяются
А это уже серьезно
Первыми известными настоящими вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II - того самого будущего «мака», вирусов для которых, якобы, не существует. Оба вируса появились в 1981 году.
Первая эпидемия
К середине 80-х годов широкое распространение получили компьютеры IBM PC, что стало одной из причин возникновения вирусных эпидемий.
Первой эпидемией компьютерных вирусов можно считать произошедшую в 1987 году эпидемию достаточно безвредного вируса Brain, который за год своего существования поразил множество компьютеров по всему миру, хотя изначально создавался для определения уровня компьютерного пиратства в Пакистане.
Исследования начинаются
В дипломной работе по теме «Самовоспроизводящиеся программы», подготовленной студентом Дортмундского университета Юргеном Краусом в 1980 году, наряду с теоретическими выкладками перечислялись и реально существовавшие на тот момент самовоспроизводящиеся программы для компьютера Siemens. Именно в этой работе впервые была проведена параллель между живой клеткой и самовоспроизводящейся компьютерной программой.
Ясное определение термина «компьютерный вирус» было дано в 1983 году Фредом Коэном, на тот момент - аспирантом Университета Южной Калифорнии:
«Мы определяем компьютерный вирус как программу, которая может “инфицировать” другую, внедряя в нее свою копию. Инфекция может распространяться через ЭВМ или сеть... Каждая инфицированная программа может вести себя как вирус, благодаря чему инфекция распространяется».
Фред Коэн, «Компьютерные вирусы, теория и эксперименты»
Незадолго до Dr.Web
В 1988 году была разработана первая версия отечественного антивируса Aidstest. Автор этой легендарной программы - Д.Н. Лозинский. Она использовалась практически на всех персональных компьютерах в СССР, а затем в странах СНГ, оставаясь вне конкуренции долгие годы. Разработка Лозинского помогла многим пользователям, в частности в государственном и коммерческом секторах, справиться с вирусной проблемой на начальном этапе ее появления. Сегодня Д.Н. Лозинский является заместителем генерального директора «Доктор Веб».
Дмитрий Николаевич Лозинский - один из тех, кто определил развитие отечественного программирования и стоял у истоков первых российских антивирусных решений.
В СССР у истоков компьютерной вирусологии (с 1989 года) стоял Н.Н. Безруков. Его семинар «Системное программирование» и электронный бюллетень «Софтпанорама» в значительной степени были посвящены вопросам компьютерной вирусологии. В нем были представлены разработчики тогдашних отечественных антивирусов, включая Д.Н. Лозинского.
Позже Н.Н. Безруков написал фундаментальный труд «Компьютерная вирусология», который вышел в 1991 году и оказал большое влияние на Игоря Данилова.
Первая версия Spider’s Web
В 1992 году была разработана первая версия антивирусной системы Spider’s Web, включавшая в себя резидентный сторож Spider и доктор (сканер по современной терминологии) Web.