Все программное обеспечение можно условно подразделить на полезное и вредоносное. Во втором случае речь, конечно же, идет о компьютерных вирусах, первые из которых появились еще в 70-80-х годах прошлого века. С тех пор эти программы-вредители очень сильно эволюционировали, но даже сейчас они имеют много общих черт со своими прародителями.
Как вы, возможно, догадались, эта статья посвящена истории компьютерных вирусов. Так, вы узнаете, кто придумал эти злосчастные программы и какой путь они прошли с момента своего становления по сегодняшний день.
Начать стоит с того, почему вообще вирусы были названы именно так, а не как-либо иначе. Ведь можно же было придумать название, больше связанное с компьютерной тематикой. А все дело в том, что эти программы очень схожи по способу своего распространения с биологическими вирусами. Как одни, так и другие постоянно репродуцируют себя, постепенно захватывая все новые и новые участки организма. Более того, и компьютерные, и не ограничиваются одним носителем, а постоянно заражают все большее количество жертв.
К сожалению, точно неизвестно, кто является автором этого устоявшегося термина. Правда, многие эксперты утверждают, что словосочетание "компьютерный вирус" первым употребил писатель-фантаст Грегори Бенфорд. В его произведении «Человек в шрамах», написанном в 1970 году, именно вирусом называется программа, наносящая вред компьютерам.
Если говорить о появлении различных новых технологий, то, как это часто бывает, сначала зарождается теория, и лишь потом дело доходит до практики. Вирусы не стали исключением из этого правила.
Еще в 1949 году американский математик Джон фон Нейман читал курс о сложных автоматических устройствах. Затем, уже в 1951 году, он издал научный труд, названный «Теория самовоспроизводящихся устройств», где подробно была описана возможность создания компьютерной программы, обладающей способностью к самокопированию.
Много позже, в 1972 году, Вейт Ризак развил теорию американца. Он подробно описал механизм работы полноценного приложения, по сути являвшегося вирусом, для системы Siemens 4004/35. Ну и, наконец, в 1980 году Юрген Краус, будучи выпускником Дортмундского университета, впервые сравнил такую программу с биологической инфекцией.
Конечно же, все описанное выше оказало огромное влияние на историю компьютерных вирусов. Но, как вы могли заметить, все труды ученых были посвящены исключительно безвредным программам, способным к самовоспроизведению.
Вдохновившись трудами Джона сотрудники Bell Laboratories решили испытать его теории на практике. Они создали игру для 7090. Проект получил название Darwin.
Суть этой игрушки заключалась в том, что некоторое количество ассемблерных программ (они были названы организмами) помещалось в память компьютера. При этом организмы были примерно поровну разделены между двумя игроками. Затем программы начинали процесс самокопирования, поглощая как дисковое пространство, так и вражеские организмы. Соответственно, победителем считался тот игрок, чьи «подопечные» полностью поглощали всю отведенную память, уничтожая при этом организмы оппонента.
Как видите, механизм работы Darwin весьма схож с современными вредоносными программами. Даже несмотря на то что игра фактически не влияла на какие-либо функции компьютера, именно она считается прототипом всех вирусов.
На волне успеха Darwin разработчики начали создавать все больше приложений с похожим функционалом, но отдельно среди них стоит выделить Creeper. Это экспериментальный вирус, появление которого датировано 1970 годом. Программа заражала компьютеры DEC PDP-10, находящиеся под управлением операционной системы Tenex, и выводила на их экраны сообщение: I`m the creeper! Catch me if you can («Я Creeper! Поймай меня, если сможешь!»). Несмотря на такое поведение, приложение так и не вышло за пределы тестового стенда, поэтому оно и не считается первым компьютерным вирусом.
Что более интересно, так это программа Reaper, сделанная все той же группой разработчиков. Как ни странно, это была единственная задача которой заключалась в том, чтобы найти и уничтожить Creeper. И надо сказать, что она успешно с этим справлялась. С тех пор, конечно, утекло много времени, но именно Creeper и Reaper положили начало извечной борьбе вирусов и антивирусов. Что же было дальше?
С наступлением 1980-х годов началась эра развития персональных компьютеров, а также дискет в качестве носителей информации. Это то самое время, когда появился первый компьютерный вирус. Так, 15-летний школьник Ричард Скрента разработал в 1981 году программу для Apple II, способную поражать операционную систему DOS, загружающуюся с дискеты. Вирус получил название Elk Cloner и, что очень важно, он мог копировать себя на «здоровые» носители, путешествуя таким образом с одного компьютера на другой.
В принципе, программа не сильно вредила ПК. Вирус для Apple II лишь выводил на экран компьютера сообщение. Написано оно было в стихотворной форме. Однако Elk Cloner был для пользователей неприятной неожиданностью. Ведь ни с чем подобным они до этого не сталкивались. Кроме того, программе удалось заразить немало компьютеров, что по меркам того времени вполне сошло за первую вирусную эпидемию.
Следующее важное событие случилось в 1986 году. Программисты Амджад и Базит Алви создали первый компьютерный вирус для систем IBM, который был назван Brain. По словам самих разработчиков, они хотели при помощи своего детища наказать местных пиратов, но ситуация вышла у них из-под контроля. Верить им или нет - это уже личное дело каждого.
Компьютерный вирус Brain вырвался далеко за пределы Пакистана, а именно там жили его создатели, и успел навредить десяткам тысяч пользователей. Только в США от него пострадали 20 тысяч компьютеров. Конечно же, сейчас это звучит не слишком угрожающе, но тогда приравнивалось к эпидемии мирового масштаба.
Время шло, технологии развивались, и эра дискет постепенно стала клониться к своему закату. Вместе с этим широкую популярность обрел Интернет, благодаря которому пользователи начали обмениваться информацией друг с другом. Несомненно, все это очень положительные моменты, но именно из-за них компьютерные вирусы стали гораздо опаснее.
На сегодняшний день развились настолько, что могут распространяться с ужасающей скоростью. Всего за несколько часов тот или иной вирус способен поразить миллионы компьютеров, нарушив работу даже государственных учреждений и крупных компаний. Что уж говорить о простых пользователях. Более того, сформировалось несколько различных типов вирусов, каждый из которых имеет свои особенности. О них и пойдет речь ниже.
Эти вредоносные программы отличаются возможностью самостоятельного распространения. Для этого они используют уязвимость приложений, поражая их как через локальные, так и через глобальные сети (Интернет). Теоретически "червь" может заразить все существующие в мире компьютеры за 15 минут, но, к счастью, в реальности это невозможно.
Первым и одним из самых известных представителей данного типа вирусов является так называемый Morris worm. Он был создан в 1988 году и в кратчайшие сроки успел заразить около 6200 компьютеров, что тогда соответствовало примерно 10% всех ПК, подключенных к Интернету.
Что касается троянов, то они, в отличие от тех же "червей", не могут распространяться самостоятельно. Эти вирусы попадают на компьютер вследствие определенных действий самих пользователей. К примеру, вы можете установить легальную и безвредную на первый взгляд программу, но под ее видом будет скрываться вредоносное ПО.
Заразив компьютер, троян начинает выполнять всяческие несанкционированные действия. Так, он может собирать информацию, в том числе и пароли, или же просто использовать ресурсы системы для каких-либо неблаговидных целей.
Первым представителем данного типа вирусов считается AIDS, бушевавший в 1989 году. Тогда он распространялся на дискетах, подменял собой файл AUTOEXEC.BAT и начинал подсчитывать количество загрузок системы. Как только это число достигало 90, троян шифровал имена всех файлов на диске C, что делало невозможным использование ОС. Человеку, соответственно, предлагалось заплатить за то, чтобы вновь получить доступ к своей информации.
Они выделяются тем, что имеют повышенный уровень защиты от обнаружения антивирусными утилитами. Проще говоря, эти вирусы, благодаря особой технике программирования, используемой при их создании, могут долго оставаться незамеченными, нанося вред системе. Первый из известных полиморфов сравнительно «молодой». Он появился в 1990 году и получил название Chameleon, а его создателем является Марк Вашбурн.
Стелс-вирусы, на первый взгляд, очень похожи на полиморфы. Они точно так же скрывают свое присутствие на компьютере, однако используют для этого несколько другие методы. Стелс-вирусы перехватывают обращения антивирусных программ к операционный системе, исключая тем самым возможность своего обнаружения. Первым представителем этого семейства считается программа Frodo, разработанная в Израиле в конце 1989 года, однако дебютное использование состоялось уже в 1990 году.
Пока развивались вирусы, антивирусы, являющиеся лучшим средством борьбы с ними, тоже не стояли на месте. Так, помимо уже упомянутого Reaper, периодически появлялись утилиты, сделанные для защиты от нежелательного ПО. Правда, вплоть до 1981 года вирусы не представляли серьезной угрозы, поэтому и необходимости как-то противостоять им не было.
Если говорить об антивирусах в современном понимании этого термина, то первый из них начал применяться в 1985 году. Программа называлась DRProtect и предотвращала все сторонние действия, связанные с BIOS, перезапуская компьютер в случае их обнаружения.
Тем не менее разработчики вредоносного ПО постепенно научились обходить защиту, предоставляемую примитивными антивирусами того времени. Спасти ситуацию удалось лишь в 1992 году благодаря программе Евгения Касперского. В нее был встроен эмулятор системного кода, который с некоторыми изменениями используется в антивирусах и по сей день.
Логично, что разработчики вирусов, создавая их, преследуют какие-то конкретные цели. Только вот намерения у них могут быть самыми разными, начиная от порчи оборудования конкурентов и заканчивая желанием похитить чужие денежные средства. Нередко во время атак на крупные компании жертвами вирусных эпидемий становятся самые обычные пользователи, ведь они в меньшей мере могут от них защититься.
Как бы там ни было, вы должны быть готовы к таким ситуациям. Всегда обновляйте антивирус до актуальной версии, и вы сведете вероятность заражения вашего компьютера к минимуму.
Для комфортной и безопасной работы за компьютером необходимо иметь минимум знаний по обеспечению защиты персональных данных. Для этого, в первую очередь, нужно знать о том, что такое компьютерный вирус. Также нужно помнить, что лучшим средством борьбы с ним является антивирусное программное обеспечение.
Определение компьютерного вируса звучит следующим образом: "Компьютерный вирус - это программное обеспечение с возможностями самокопирования, внедрения в системный код и другие программные продукты, а также нанесения непоправимого ущерба аппаратной части компьютера и информации, хранящейся на его носителях.
Основная цель любого вируса - нанесение вреда, хищение информации или наблюдение за компьютером. Также прослеживаются и другие действия компьютерных вирусов. Склонность к размножению позволяет нанести максимальный урон. Тот факт, что вирусы способны размножаться не только в рамках локальной машины, но еще и путешествовать по сетям, в том числе глобальным, говорит о том, что возможны вспышки эпидемий компьютерных вирусов.
Официально история компьютерных вирусов начинается с 1981 года. Вычислительная техника находилась в стадии становления. Тогда никто еще не знал, что такое компьютерный вирус. Ричард Скрента написал первый загрузочный вирус для компьютера Apple II. Он был сравнительно безобидным и выводил на экран стихотворение. Позже начали появляться вирусы и для MS-DOS. В 1987 году были зафиксированы сразу три эпидемии вирусов. Этому поспособствовал выход на рынок сравнительно недорогого компьютера IBM и рост компьютеризации в целом по земному шару.
Первая эпидемия была спровоцирована вредоносной программой Brain, или "Пакистанским вирусом". Разработали его братья Алви, чтобы наказать пользователей, использующих взломанные версии их программного обеспечения. Братья не ожидали, что вирус выйдет за пределы Пакистана, однако это произошло, и вирусом Brain были заражены компьютеры по всему миру.
Вторая эпидемия возникла в Лехайском университете в Соединенных Штатах Америки, и несколько сотен дискет в библиотеке вычислительного центра университета были уничтожены. Эпидемия имела средние по тем временам масштабы, и вирус поразил всего 4 тысячи компьютеров.
Третий вирус - Jerusalem возник сразу в нескольких странах мира. Вирус уничтожал все файлы сразу при их запуске. Среди эпидемий 1987-1988 года эта была самой масштабной.
1990 год стал отправной точкой активной борьбы с вирусами. К этому времени было написано уже много программ, наносящих вред компьютерам, но до 90-х годов это не было большой проблемой.
В 1995 году начали появляться сложные вирусы, и произошел инцидент, при котором все диски с бета-версией Windows 95 оказались заражены вирусами.
Сегодня выражение "компьютерный вирус" стало привычным для всех, и индустрия программ для нанесения вреда стремительно растет и развивается. Ежедневно возникают новые вирусы: компьютерные, телефонные, а теперь и вирусы для часов. В пику им различные компании производят защитные комплексы, однако компьютеры по-прежнему заражаются во всех уголках света.
Сегодня очень актуален компьютерный вирус "Эбола". Хакеры рассылают его по электронной почте, прикрываясь названиями известных компаний. Вирус поражает программное обеспечение, установленное на компьютерах, и способен очень быстро удалить все, что установлено на машине. Кроме того, он может размножаться, в том числе и по локальной сети. Таким образом, "Эбола" считается одним из самых опасных объектов на сегодняшний день.
Компьютерные вирусы классифицируются по различным признакам. В зависимости от поведения их условно разделили на 6 категорий: по среде обитания, по особенностям строения кода, по способу заражения компьютера, по целостности, по возможностям, и дополнительно есть категория неклассифицируемых вирусов.
По среде обитания бывают следующие виды компьютерных вирусов:
По особенностям строения кода вирусы делят на:
По способу заражения кода вирусы делят на две группы:
По целостности они делятся на:
По возможностям предусмотрено деление вирусов на четыре следующие категории:
Разные вирусы, не попавшие под общую классификацию:
Вирусы способны быть незаметными, но в то же время выполнять нежелательные действия с компьютером. В одном случае присутствие вируса практически невозможно обнаружить, а в другом пользователь наблюдает ряд признаков заражения компьютера.
Для тех, кто не знает, что такое компьютерный вирус, подозрение на наличие опасности должны вызывать следующие действия компьютера:
Все эти признаки говорят о том, что компьютер, скорее всего, заражен, и необходимо срочно проверить его на наличие файлов с вредоносным кодом. Способ проверить компьютер на наличие вирусов только один - антивирусное программное обеспечение.
Антивирусные программы, или антивирусы, - это программные комплексы, имеющие обширные базы компьютерных вирусов, и выполняющие тщательную проверку жесткого диска на предмет наличия знакомых файлов или кода. Антивирусное ПО может вылечить, удалить или изолировать файл в специально отведенную область.
Защита от компьютерных вирусов базируется на технических и организационных методах. Технические методы направлены на использование средств предотвращения вирусных угроз: антивирусы, брендмауэры, антиспамы и, конечно же, своевременное обновление операционной системы. Организационные - методы, которые описывают правильное поведение пользователя за компьютером с точки зрения информационной безопасности.
Технические методы предотвращают возможность проникновения вирусов на компьютер посредством программного обеспечения.
Антивирусы
- контролируют файловую систему, неустанно проверяют и выискивают следы вредоносного кода. Брендмауэр предназначен для контроля за поступающей через сетевые каналы информацией и блокировки нежелательных пакетов.
Брендмауэр позволяет запретить определенный вид соединений по различным критериям: портам, протоколам, адресам и действиям.
Антиспамы - контролируют поступление нежелательной почты, и при поступлении в почтовый клиент подозрительного сообщения блокируют возможность исполнения вложенных файлов, пока пользователь не выполнит их принудительно. Бытует мнение, что антиспамы - самый неэффективный способ борьбы, однако ежедневно ими блокируются десятки миллионов писем с вложенными вирусами.
Обновление операционной системы - процесс, при котором разработчики исправляют ошибки и недочеты в работе ОС, использующиеся программистами для написания вирусов.
Организационные методы описывают правила работы за персональным компьютером, обработки информации, запуска и использования программного обеспечения, базирующиеся на четырех основных принципах:
С появлением вирусов стали появляться программы, позволяющие их находить и обезвреживать. Ежедневно в мире появляются новые вирусы. Компьютерные продукты по их устранению обновляются по несколько раз в день, чтобы оставаться актуальными. Так, не затихая, идет постоянная борьба с компьютерными вирусами.
На сегодняшний день выбор антивирусных программ очень велик. На рынке то и дело появляются новые предложения, причем самые разнообразные: от полноценных программных комплексов до небольших подпрограмм, ориентированных только на один тип вирусов. Можно найти бесплатные или распространяющиеся по платной срочной лицензии решения безопасности.
Антивирусы хранят в своих базах сигнатур выдержки из кода огромного количества опасных для компьютерных систем объектов и во время проверки сравнивают коды документов и исполняемых файлов со своей базой. Если соответствие будет найдено, антивирус сообщит об этом пользователю и предложит один из вариантов обеспечения безопасности.
Компьютерные вирусы и антивирусные программы - неотъемлемые части друг друга. Бытует мнение, что ради коммерческой выгоды антивирусные программы самостоятельно разрабатывают опасные объекты.
Антивирусные программные утилиты делятся на несколько типов:
Крупнейшие антивирусные комплексы содержат в себе все утилиты, которые объединены в один крупный защитный механизм. Яркими представителями антивирусного программного обеспечения на сегодняшний день являются: антивирус Касперского, Eset NOD32, Dr.Web, Norton Anti-Virus, Avira Antivir и Avast.
Эти программы обладают всеми основными возможностями, чтобы иметь право называться защитными программными комплексами. Некоторые из них имеют крайне ограниченные бесплатные версии, а некоторые предоставляются только за денежное вознаграждение.
Антивирусы бывают для домашних компьютеров, офисных сетей, файловых серверов и сетевых шлюзов. Каждый из них может находить и удалять вирусы, но основной упор в разных версиях таких программ делается на прямое предназначение. Самым полным функционалом, конечно, же обладает антивирусное ПО для дома, которому приходится выполнять задачи по защите всех возможных уязвимых мест.
Если пользователю кажется, что компьютер заражен вирусом, в первую очередь нужно не паниковать, а строго выполнить следующую последовательность действий:
Если же антивирус во время проверки не нашел ни одной угрозы, значит, нестандартная работа компьютера вызвана неполадками в аппаратной части ПК либо внутренними ошибками операционной системы, что тоже случается довольно часто, особенно если операционная система редко подвергается обновлению.
13.03.2011
Временем появления первых вирусов обычно считают начало 1970-х. Именно тогда появилась программа Creeper, написанная сотрудником компании BBN (Bolt Beranek and Newman) Бобом Томасом (Bob Thomas). Creeper обладала возможностью самоперемещения между серверами. Попадав на компьютер, она выводила на экран сообщение «I’M THE CREEPER… CATCH ME IF YOU CAN» («Я Крипер… Поймай меня, если сможешь»).
Временем появления первых вирусов обычно считают начало 1970-х. Именно тогда появилась программа Creeper, написанная сотрудником компании BBN (Bolt Beranek and Newman) Бобом Томасом (Bob Thomas). Creeper обладала возможностью самоперемещения между серверами. Попадав на компьютер, она выводила на экран сообщение «I"M THE CREEPER... CATCH ME IF YOU CAN» («Я Крипер... Поймай меня, если сможешь»). По своей сути, эта программа еще не являлась полноценным компьютерным вирусом. Никаких деструктивный действий, или действий шпионского характера, Creeper не выполнял. Позже другим сотрудником BBN Рэем Томлинсоном была написана программа Reaper, которая также самостоятельно перемещалась по сети и, при обнаружении Creeper, прекращала его действие.
Более похожей на современный вирус была программа Elk Cloner, выявленная в 1982 году. Она распространялась, заражая операционную систему DOS для Apple II, записанную на гибких дисках. При обнаружении незараженной дискеты вирус копировал себя туда. При каждой 50-й загрузке вирус показывал на экране маленькое шуточное стихотворение. Хоть этот вирус и не был предназначен для нанесения вреда, он мог испортить код загрузки на дискетах с другими системами. Автором этого вируса считается 15-летний школьник из Питсбурга Рич Скрента (Rich Skrenta). Изначально жертвами этого компьютерного вируса стали друзья и знакомые автора, а также его учитель математики.
Первая вирусная эпидемия была зарегистрирована в 1987 году. Причиной ее стал вирус Brain. Он является первым компьютерным вирусом, созданным для IBM PC-совместимых ПК. В основе его разработки лежали исключительно благие намерения. Выпустили его два брата, владеющие фирмой по разработке программного обеспечения. Таким образом они хотели наказать местных пиратов, ворующих их ПО. Однако вирус создал целую эпидемию, заразив только в США более 18 тысяч компьютеров. Стоит отметить, что вирус Brain был первым вирусом, использующим стелс-технологии для сокрытия своего пребывания в системе. При попытке чтения зараженного сектора, он «подставлял» и его незараженный оригинал.
Следующим знаковым событием в истории развития вирусов было появление вируса Jerusalem. Этот вирус был создан в 1988 году в Израиле - отсюда и его основное имя. Второе название вируса «Пятница 13-е». Он действительно активировался только в пятницу 13-го числа и удалял абсолютно все данные с жесткого диска. В те времена мало кто был знаком с компьютерными вирусами. Естественно, что антивирусных программ не существовало вовсе и компьютеры пользователей были абсолютно беззащитны перед вредоносными программами. Поэтому такая разрушительная активность этого компьютерного вируса вызвала грандиозную панику.
Также в 1988 году отметим появление вируса под именем «червь Морриса». Он был самым страшным из известных на тот момент компьютерных вирусов. Этот сетевой червь был одной из первых известных программ, эксплуатирующих переполнение буфера. Ему удалось сделать невозможное - вывести из строя всю глобальную сеть. Правда стоит отметить, что сеть тогда еще не была такой уж и глобальной. Сбой хоть и длился совсем не долгое время, но убытки от него были оценены в 96 миллионов долларов. Его создателем был аспирант факультета Вычислительной техники Корнелльского университета Роберт Т. Моррис. Дело дошло до суда, где Роберту Моррису грозило до пяти лет лишения свободы и штраф в размере 250 тысяч долларов, однако, принимая во внимание смягчающие обстоятельства, суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.
Был выявлен в 1992 году. Породил волну публикаций в западных СМИ. Ожидалось, что этот вирус повредит информацию на миллионах компьютерах. Хоть его и сильно переоценили, но он все-таки заслуженно считается одним из самых безжалостных компьютерных вирусов. Посредством дискет он проникал на загрузочный сектор диска, тихо сидел там, не напоминая о своем существовании до 6 марта. А 6 марта благополучно стирал все данные с жесткого диска. На этом вирусе сильно обогатились компании, выпускающие антивирусное ПО. Им удалось развить массовую истерию и спровоцировать покупки антивирусного ПО, в то время как от этого компьютерного вируса пострадало всего около 10000 машин.
Один из самых известных вирусов, ставший самым разрушительным за все предшествующие годы. Создан в 1998 году тайваньским студентом. Инициалы этого студента стоят в названии вируса. Вирус попадал на компьютер пользователя и бездействовал там до 26 апреля. Этот компьютерный вирус уничтожал информацию на жестком диске и перезаписывал Flash BIOS. В некоторых случаях это приводило к замене микросхемы, или даже к замене материнской платы. Эпидемия вируса «Чернобыль» пришлась на 1999 год. Тогда из строя было выведено боле 300 тысяч компьютеров. Также вирус еще носил вред компьютерам по всему миру в последующие годы.
26 марта 1999 года был выпущен первый всемирно известный почтовый червь. Червь заражал файлы MS Word и рассылал свои копии в сообщениях MS Outlook. Вирус распространялся с огромной скоростью. Сумма нанесенного ущерба оценивается более чем в $100 млн.
Появился в 2000 году. На почту приходило письмо с темой «I LOVE YOU» к которому был прикреплен файл. Скачав вложение, пользователь заражал свой компьютер. Вирус отсылал невероятное количество писем с компьютера незадачливого пользователя. Также он удалял важные файлы на компьютере. По некоторым оценкам, он обошёлся пользователям ПК по всему миру больше чем в 10 млрд $. Вирусом ILOVEYOU было заражено 10% всех существовавших на тот момент компьютеров. Согласитесь, довольно шокирующие цифры.
Название этого компьютерного вируса представляет собой слово «admin», написанное в обратном порядке. Появился этот вирус в 2001 году. Попадая на компьютер, вирус сразу назначал себе права администратора и начинал свою деструктивную деятельность. Он изменял и нарушал конструкцию сайтов, блокировал доступ на хосты, IP-адреса и т.п. Для распространения вирус использовал сразу несколько различных способов. Делал он это настолько эффективно, что уже через 22 минуты после своего запуска в сеть стал самым распространенным компьютерным вирусом в сети Интернет.
В 2004 году этот червь наделал много шуму. Больше всего от вируса пострадали домашние компьютеры и небольшие фирмы, хотя серьезные проблемы испытали и некоторые крупные компании. Только в почтовой службе Германии зараженными оказались до 300 тыс. терминалов, из-за чего сотрудники не могли выдавать наличные деньги клиентам. Жертвами червя стали также компьютеры инвестиционного банка Goldman Sachs, Еврокомиссии, 19 региональных офисов управления береговой охраны Британии. В одном из терминалов лондонского аэропорта Hithrow у авиакомпании British Airways отказала половина всех компьютеров на стойках регистрации пассажиров, а в американском городе Новый Орлеан до 500 больниц были закрыты в течение нескольких часов. Пострадали также социальные и здравоохранительные учреждения в Вашингтоне.
Чтобы заразиться этим червем, достаточно было просто подключить свой компьютер к Интернету и подождать несколько минут. Червь проникал на компьютер, сканировал Интернет для поиска других компьютеров с незакрытой дырой и рассылал им вирус. Особого вреда вирус не причинял - он просто перезагружал компьютер. К поиску червя подключилось специальное кибберагенство ФБР. Главная жертва корпорация Microsoft назначила цену 250.000$ за злоумышленника.И им оказался... ученик средней школы Свен Яшан из немецкого города Роттенбурга. Как полагают некоторые обозреватели, подросток создал Sasser не только для того, чтобы прославиться, но и из сыновней любви - чтобы поправить дела небольшой компании PC-Help по обслуживанию ПК, принадлежащей его матери.
Этот червь был запущен в январе 2004 года. На тот момент он становится самым быстрым червем, который распространяется по электронной почте. Каждый последующий зараженный компьютер отправлял спама больше чем предыдущий. Кроме этого, он изменял операционную систему, блокируя доступ к сайтам антивирусных компаний, сайту Microsoft, новостным лентам. Этим вирусом была даже предпринята попытка DDOS-атаки на сайт Microsoft. Одновременно все множество зараженных компьютеров обрушило огромное количество запросов с разных концов света на сайт Microsoft. Сервер направляет все свои ресурсы на обработку этих запросов и становится практически недоступным для обычных пользователей. Пользователи компьютеров, с которых идет атака, могут даже и не подозревать о том, что их машина используется хакерами.
Впервые появился в сети в 2008 году. Один из опаснейших на сегодняшний день компьютерных червей. Этот вирус атакует операционные системы семейства Microsoft Windows. Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. На январь 2009 года вирус поразил 12 миллионов компьютеров во всем мире. Вирус нанес такой вред, что компания Microsoft обещала 250 000 долларов за информацию о создателях вируса.
Этот список, как вы сами понимаете, не закончен. Каждый день выходят новые вирусы, и нет гарантии что следующий из них не вызовет очередную эпидемию. Установка лицензионного антивируса от авторитетной компании-производителя антивирусного ПО на лицензионную операционную систему с последними обновлениями поможет максимально обезопасить ваш компьютер. Кроме того, существуют определенные меры предосторожности при работе на компьютере от заражения компьютерными вирусами, о которых мы расскажем в наших следующих статьях.
Самый лучший выбор антивирусов в Украине в интернет-магазине лицензионных программ OnlySoft:
Ретро-вирусы – обычные файловые вирусы, которые пытаются заразить антивирусные программы, уничтожая их, или делая неработоспособными.
Вирусы-мутанты – это один из видов вирусов, способных к самовоспроизведению. Однако их копия явно отличается от оригинала.
Вирусы-невидимки - это файловые вирусы, которых антивирусные программы не находят, потому что во время проверки они фальсифицируют ответ.
Квазивирусные, или «троянские» программы
– это вирусы, не способные к «размножению».
Троянская
программа маскируется под полезную или
интересную программу, выполняя во время своего
функционирования ещё и разрушительную работу (например,
стирает FAT-таблицу) или собирает на компьютере не
подлежащую разглашению информацию
. В
отличие от вирусов троянские программы не обладают свойством
самовоспроизводства.
Троянская программа маскируется, как правило, под
коммерческий продукт. Её другое название «троянский конь».
Вирусы-репликаторы («черви») – это самые распространенные в виртуальной сети вирусы. Они очень быстро «размножаются». Иногда дают своим копиям отдельные имена. Например, «install.exe».
Логические бомбы – программы, которые запускаются при определённых временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных).
Очень опасные вирусы самостоятельно форматируют жесткий диск и этим уничтожают всю имеющуюся информацию.
Компаньон-вирусы (companion) – это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ – файлов новые файлы спутники (дубликаты), имеющие тоже самое имя, но с расширением COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записываем в СОМ – файл и никак не изменяет одноименный ЕХЕ – файл. При запуске такого файла DOS первым обнаружит и выполнит COM – файл, т.е. вирус, который затем запустит и ЕХЕ – файл.
Вирусы – черви (worm) – распространяются в компьютерной сети и, так же как и компаньон – вирусы, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов.
Репликаторы могут размножаться без внедрения в другие программы и иметь «начинку» из компьютерных вирусов.
Вирусы – невидимки
(стелс – Stealth)
используют некоторый набор средств для маскировки своего
присутствия в ЭВМ. Название вируса аналогично названию
американского самолета – невидимки. Стелс – вирусы трудно
обнаружить, так как они перехватывают обращения операционной
системы к пораженным файлам или секторам дисков и
«подставляют» незараженные участки файлов.
Вирусы, которые шифруют собственное тело различными
способами, называются полиморфными
.
Полиморфные вирусы (или вирусы – призраки, вирусы – мутанты,
полиморфики) достаточно трудно обнаружить, так как их копии
практически не содержат полностью совпадающих участков кода.
Это достигается тем, что в программы вирусов добавляются
пустые команды (мусор), которые не изменяют алгоритм работы
вируса, но затрудняют их выявление.
Макро-вирусы используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы и электронные таблицы). В настоящее время широко распространяются макро – вирусы, заражающие документ Word и Excel.
Программа монолитного вируса представляет собой единый блок, который можно обнаружить после инфицирования.
Программа распределенного вируса разделена на части. Эти части содержать инструкции, которые указывают компьютеру, как собрать их воедино, чтобы воссоздать вирус. Таким образом, вирус почти все время находится в распределенном состоянии, и лишь на короткое время собирается в единое целое.
По степени воздействия вирусы можно классифицировать, как:
По способу заражения среды обитания вирусы делятся на:
Как несложно догадаться, наибольшую опасность представляют резидентные вирусы, так как время их активной работы ограничивается только выключением или перезагрузкой всей системы, а не отдельного приложения.
По среде обитания вирусы разделяются на: сетевые, файловые, загрузочные, системные, файлово-загрузочные .
Сетевые вирусы в качестве среды обитания используют глобальную или локальные компьютерные сети. Они не сохраняют свой код на жестком диске компьютера, а проникают напрямую в оперативную память ПК. Вирусы этого типа за способность вычислять сетевые адреса других машин, находясь в памяти компьютера, и самостоятельно рассылать по этим адресам свои копии называют сетевыми червями. Такой вирус может находиться одновременно в памяти нескольких компьютеров. Сетевые вирусы обнаружить сложнее, чем файловые. Сетевые вирусы распространяются с большой скоростью и могут сильно замедлить работу аппаратного обеспечения компьютерной сети.
Файловые вирусы – это программы, которые поражают исполняемые файлы операционной системы и пользовательских приложений. Чаще всего они внедряются в файлы с расширениями com, exe, bat, sys, dll. Такие вирусы обнаружить и обезвредить проще всего. Радует также, что проявить свою вредоносную активность они могут только после запуска зараженной программы.
Среда обитания загрузочных вирусов – специальные области жестких и гибких дисков, которые служат для загрузки операционной системы. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot – сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record – MBR). Некоторые вирусы записывают свое тело в свободные сектора диска, помечая их в FAT – таблице как «плохие» (Bad cluster). Загрузочный вирус подменяет оригинальную запись и перехватывает управление системой. Такие вирусы обнаружить и удалить сложнее всего, поскольку они начинают свою работу еще до загрузки антивирусных приложений. Они же представляют наибольшую опасность.
Файлово-загрузочные вирусы поражают загрузочные сектора дисков и файлы прикладных программ.
Системные вирусы проникают в системные модули и драйверы периферийных устройств, поражают программы-интерпретаторы.
Сетевой червь
- тип вредоносных программ, распространяющихся по сетевым каналам, способных к
автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий,
не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.
Так же как для вирусов, жизненный цикл червей можно разделить на определенные стадии:
Стадии 1 и 5, вообще говоря, симметричны и характеризуются в первую очередь используемыми протоколами и приложениями.
Стадия 4 - подготовка копий - практически ничем не отличается от аналогичной стадии в процессе размножения вирусов. Сказанное о подготовке копий вирусов без изменений применимо и к червям.
На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:
Троян (троянский конь) - тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты КС, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя, или же активных действий злоумышленника.
В силу отсутствия у троянов функций размножения и распространения, их жизненный цикл крайне короток - всего три стадии:
Это, само собой, не означает малого времени жизни троянов. Напротив, троян может длительное время незаметно находиться в памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными средствами.
Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов.
Черви и вирусы могут осуществлять все те же действия, что и трояны. На уровне реализации это могут быть как отдельные троянские компоненты, так и встроенные функции. Кроме этого, за счет массовости, для вирусов и червей характерны также другие формы вредоносных действий:
Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб.
Copyright МБОУ "Гимназия ¹ 75" г. Казань 2014
«Мне кажется, компьютерные вирусы стоит рассматривать, как форму жизни. Это многое говорит о природе человека: единственная форма жизни, которую мы создали к настоящему моменту, несёт только разрушения. Мы создаём жизнь по образу и подобию своему.»
Стивен Хокинг
Цели исследования:
выявить уровень знаний учащихся преподавателей гимназии о биологических и компьютерных вирусах, о способах профилактики и борьбы с компьютерными и биологическими вирусами.
ФактыОдним из классов вредоносных компьютерных программ являются так называемые зип-бомбы. Это архивные файлы формата.zip, которые при распаковке многократно увеличиваются в размере. Например, одна из самых известных зип-бомб под названием 42.zip имеет размер всего 42 КБ, при этом внутри архива содержится 5 слоёв вложенных архивов по 16 файлов на уровень. Размер каждого файла на последнем уровне - 4,3 ГБ, а весь архив в распакованном виде занимает 4,5 Петабайта. Вредоносное действие таких архивов заключается в переполнении системных ресурсов, когда их пытаются просканировать антивирусы или другие системные программы, хотя в настоящее время все приличные антивирусы распознают бомбы заранее и не пытаются вскрывать их до конца.
Вирус «I Love You» (именно так он назывался) был занесен в Книгу Рекордов Гиннесса как самый разрушительный компьютерный вирус в мире. Он поразил более 3 миллионов компьютеров на планете, став ещё и самым дорогим за всю историю.
По статистике, компьютер каждого третьего пользователя Интернета в развитых странах хотя бы раз в течение года подвергается атакам компьютерных вирусов.
В Израиле действует забавный компьютерный вирус, который создан якобы для справедливости. Он находит в компьютере фильмы, музыку и фотографии, незаконно скачанные из Интернета, и уничтожает их. Что интересно, когда пользователь хочет удалить этот вирус из компьютера, его просят заплатить за эту услугу деньги.
Война между троянцами и данайцами началась
потому, что троянский царевич Парис украл красавицу гречанку Елену из города Спарта. Её муж, царь Спарты Менелай со своим братом Агамемноном
собрал войско греков и пошел на Трою. Спартанцы пошли на троянцев.
После десяти лет изнурительной войны и осады в одно прекрасное утро троянцы, не веря своим глазам, увидели, что лагерь греков пуст, а на берегу стоит огромный деревянный конь с посвятительной надписью: "В благодарность за будущее благополучное возвращение домой ахейцы посвящают этот дар Афине".
Жрец Лаокоонт, увидев этого коня и зная хитрости данайцев, воскликнул: «Что бы это ни было, а бойтесь данайцев, даже дары приносящих!» и метнул копьё в коня. Однако в этот момент из моря выползли 2 огромных змея, убили Лакоонта и двух его сыновей, поскольку сам бог Посейдон хотел гибели Трои.
Древние люди относились к священным дарам с большим пиететом, и, по решению царя Приама, конь был внесен в город и водворен в посвященной Афине цитадели. С приходом ночи сидевшие в коне вооруженные ахейцы выбрались наружу и напали на спящих жителей города. Так, благодаря коню, была захвачена Троя, так закончилась Троянская война.
По данным института компьютерной безопасности, авторы вирусов, как правило, мужчины и женщины в возрасте 19-35 лет, отличившиеся неординарными способностями и, как правило, избравшие компьютер сферой своей профессиональной деятельности. Впрочем, зафиксировано довольно много случаев, когда вирусы создавали подростки в возрасте 12-15 лет.
Авторы вирусов действуют из совершенно различных побуждений.
Определение компьютерного вируса - исторически проблемный вопрос, поскольку достаточно сложно дать четкое определение вируса, очертив при этом свойства, присущие только вирусам и не касающиеся других программных систем. Наоборот, давая жесткое определение вируса как программы, обладающей определенными свойствами практически сразу же можно найти пример вируса, таковыми свойствами не обладающего.
Другая проблема, связанная с определением компьютерного вируса кроется в том, что сегодня под вирусом чаще всего понимается не «традиционный» вирус, а практически любая вредоносная программа . Это приводит к путанице в терминологии, осложненной еще и тем, что практически все современные антивирусы способны выявлять указанные типы вредоносных программ, таким образом ассоциация «вредоносная программа -вирус» становится все более устойчивой.
В настоящее время не существует единой системы классификации и именования вирусов, однако, в различных источниках можно встретить разные классификации, приведем некоторые из них:
Такие вирусы, получив управление, так или иначе остается в памяти и производят поиск жертв непрерывно, до завершения работы среды, в которой он выполняется. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений Microsoft Office, являются резидентными вирусами. Соответственно, атрибут резидентный применим только к файловым DOS вирусам. Существование нерезидентных Windows вирусов возможно, но на практике они являются редким исключением.
Получив управление, такой вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту). К такому типу вирусов можно отнести скрипт-вирусы.
Вирусы никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
Вирусы не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
Вирусы, которые могут привести к различным нарушениям в работе компьютера;
Вирусы, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
При создании копий для маскировки могут применяться следующие технологии:
Шифрование - вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.
Метаморфизм - создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода «мусорных» команд, которые практически ничего не делают.
Это вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.
В большинстве случаев вирус-шифровальщик приходит по электронной почте в виде вложения от незнакомого пользователю человека, а возможно, и от имени известного банка или действующей крупной организации. Письма приходят с заголовком вида: «Акт сверки…», «Ваша задолженность перед банком…», «Проверка регистрационных данных», «Резюме», «Блокировка расчетного счета» и прочее. В письме содержится вложение с документами, якобы подтверждающими факт, указанный в заголовке или теле письма. При открытии этого вложения происходит моментальный запуск вируса-шифровальщика, который незаметно и мгновенно зашифрует все документы. Пользователь обнаружит заражение, увидев, что все файлы, имевшие до этого знакомые значки, станут отображаться иконками неизвестного типа. За расшифровку преступником будут затребованы деньги. Но, зачастую, даже заплатив злоумышленнику, шансы восстановить данные ничтожно малы.
Вложения вредоносных писем чаще всего бывают в архивах.zip, .rar, .7z. И если в настройках системы компьютера отключена функция отображения расширения файлов, то пользователь (получатель письма) увидит лишь файлы вида «Документ.doc», «Акт.xls» и тому подобные. Другими словами, файлы будут казаться совершенно безобидными. Но если включить отображение расширения файлов, то сразу станет видно, что это не документы, а исполняемые программы или скрипты, имена файлов приобретут иной вид, например, «Документ.doc.exe» или «Акт.xls.js». При открытии таких файлов происходит не открытие документа, а запуск вируса-шифровальщика. Вот лишь краткий список самых популярных «опасных» расширений файлов: .exe, .com, .js, .wbs, .hta, .bat, .cmd. Поэтому, если пользователю не известно, что ему прислали во вложении, или отправитель не знаком, то, вероятнее всего, в письме – вирус-шифровальщик.
На практике встречаются случаи получения по электронной почте обычного `вордовского` (с расширением.doc) файла, внутри которого, помимо текста, есть изображение, гиперссылка (на неизвестный сайт в Интернете) или встроенный OLE-объект. При нажатии на такой объект происходит незамедлительное заражение.
Вирусы-шифровальщики стали набирать большую популярность начиная с 2013 года. В июне 2013 известная компания McAfee обнародовала данные , показывающие что они собрали 250 000 уникальных примеров вирусов шифровальщиков в первом квартале 2013 года, что более чем вдвое превосходит количество обнаруженных вирусов в первом квартале 2012 года.
В 2016 году данные вирусы вышли на новый уровень, изменив принцип работы. В апреле 2016 г. в сети появилась информация о новом виде вируса-шифровальщика , который вместо шифрования отдельных файлов, шифрует таблицу MFT файловой системы, что приводит к тому что операционная система не может обнаружить файлы на диске и весь диск по факту оказывается зашифрован.
Вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.
Под «средой обитания» понимаются системные области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса. По среде обитания вирусы можно разделить на:
В эпоху вирусов для DOS часто встречались гибридные файлово-загрузочные вирусы. После массового перехода на операционные системы семейства Windows практически исчезли как сами загрузочные вирусы, так и упомянутые гибриды. Отдельно стоит отметить тот факт, что вирусы, рассчитанные для работы в среде определенной ОС или приложения, оказываются неработоспособными в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он способен выполняться. Для файловых вирусов это DOS , Windows , Linux , MacOS , OS/2 . Для макровирусов - Word, Excel, PowerPoint, Office. Иногда вирусу требуется для корректной работы какая-то определенная версия ОС или приложения, тогда атрибут указывается более узко: Win9x, Excel97.
Файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Они:
Все, что подключено к Интернету – нуждается в антивирусной защите: 82% обнаруженных вирусов «прятались» в файлах с расширением PHP, HTML и EXE.
Число вредоносных программ неуклонно растет и уже в скором будущем может достичь масштабов эпидемии. Распространение вирусов в цифровом мире не имеет границ, и даже при всех имеющихся возможностях нейтрализовать деятельность преступного киберсообщества сегодня уже невозможно. Бороться с хакерами и вирусописателями, которые неустанно совершенствуют свое мастерство, становится все сложнее. Так, злоумышленники научились успешно скрывать цифровые каналы распространения угроз, что значительно затрудняет отслеживание и анализ их онлайн-движения. Меняются и пути распространения, если раньше киберпреступники предпочитали электронную почту для распространения вирусов, то сегодня лидерские позиции занимают атаки в режиме реального времени. Также наблюдается рост вредоносных веб-приложений, которые оказались более чем пригодны для атак злоумышленников. Как заявил Говинд Раммурти, генеральный и управляющий директор компании eScan MicroWorld, сегодня хакеры научились успешно уклоняться от детектирования традиционными антивирусными сигнатурами, которые по ряду причин обречены на неудачу, когда дело доходит до обнаружения веб-угроз. Судя по образцам, исследованным в eScan, веб-угрозы превалируют среди вредоносных программ. 82% выявленных вредоносных программ - файлы с расширением PHP, HTML и EXE, а MP3, CSS и PNG - менее чем 1%.
Это явно говорит о том, что выбор хакеров – это Интернет, а не атаки с использованием уязвимостей программного обеспечения. Угрозы имеют полиморфный характер, это означает, что вредоносные программы могут быть эффективно перекодированы удаленно, что делает их трудно обнаружимыми. Поэтому высокая вероятность заражения связана, в том числе, и с посещениями сайтов. Согласно данным eScan MicroWorld, количество перенаправляющих ссылок и скрытых загрузок (drive-by-download) на взломанных ресурсах увеличилось более чем на 20% за последние два месяца. Социальные сети также серьезно расширяют возможности доставки угроз.
Возьмем, к примеру, циркулировавший в Facebook баннер, предлагавший пользователю изменить цвет страницы на красный, синий, желтый и т.д. Заманчивый баннер содержал ссылку, направлявшую пользователя на мошеннический сайт. Там в руки злоумышленникам попадала конфиденциальная информация, которая использовалась или продавалась для получения незаконной прибыли различным интернет-организациям. Таким образом, антивирусы, основанные на традиционных сигнатурах, сегодня малоэффективны, так как они не могут надежно защитить от веб-угроз в режиме реального времени. Антивирус, который основан на облачных технологиях и получает информацию об угрозах из «облака», эти задачи под силу.
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Данный тип вирусов был достаточно распространён в 1990-х, но практически исчез с переходом на 32-битные операционные системы и отказом от использования дискет как основного способа обмена информацией. Теоретически возможно появление загрузочных вирусов, заражающих CD-диски и USB-флешек, но на текущий момент такие вирусы не обнаружены.
Многие табличные и графические редакторы, системы проектирования, текстовые процессоры имеют свои макро-языки для автоматизации выполнения повторяющихся действий. Эти макро-языки часто имеют сложную структуру и развитый набор команд. Макро-вирусы являются программами на макро-языках, встроенных в такие системы обработки данных. Для своего размножения вирусы этого класса используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.
Скрипт-вирусы, также как и макро-вирусы, являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.
Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
Таким образом, при запуске зараженного файла первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).
Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса. Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит необходимые изменения в заголовке файла.
Существует несколько методов внедрения вируса в середину файла. В наиболее простом из них вирус переносит часть файла в его конец или «раздвигает» файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом компрессируют переносимый блок файла так, что длина файла при заражении не изменяется.
Вторым является метод «cavity», при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области заголовок EXE-файла, в «дыры» между секциями EXE-файлов или в область текстовых сообщений популярных компиляторов. Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.
Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.
Отдельно следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы - Entry Point Obscuring viruses). К ним относятся вирусы, не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых ограниченных условиях.
Перед тем, как записать в середину файла команду перехода на свой код, вирусу необходимо выбрать «правильный» адрес в файле - иначе зараженный файл может оказаться испорченным. Известны несколько способов, с помощью которых вирусы определяют такие адреса внутри файлов, например, поиск в файле последовательности стандартного кода заголовков процедур языков программирования (C/Pascal), дизассемблирование кода файла или замена адресов импортируемых функций.
К категории вирусов-компаньонов относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.
К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл NOTEPAD.EXE переименовывается в NOTEPAD.EXD, а вирус записывается под именем NOTEPAD.EXE. При запуске управление получает код вируса, который затем запускает оригинальный NOTEPAD.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном катагоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Вирусы-ссылки или link-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
Файловые черви никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT.
Некоторые файловые черви могут записывать свои копии в архивы (ARJ, ZIP, RAR). Другие записывают команду запуска зараженного файла в BAT-файлы.
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.
Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к исходным текстам свой исходный код (в этом случае вирус должен содержать его в своем теле) или свой шестнадцатеричный дамп (что технически легче). Зараженный файл способен на дальнейшее распространение вируса только после компиляции и линковки.
В отличие от червей (сетевых червей), вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
Специалисты «Лаборатории Касперского » подготовили летом 2012 года список из 15 наиболее заметных вредоносных программ, оставивших свой след в истории:
Итак, если вы хотите узнать, как сказать «Смотри фотку» на другом языке, этот список сэкономит вам время:
