Компьютерные вирусы

Компьютерный вирус  – вид вредоносного программного Обеспечения , способного создавать копии самого себя и внедряться в код других программ , системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

Основная цель вируса – его распространение, а нарушение работы программно-аппаратных комплексов – удаление файлов, приведение в негодность структур размещения данных, блокирование работы пользователей и т. п. – часто является его сопутствующей функцией. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, тонкостей ВЗАИМОДЕЙСТВИЯ неучтённых с операционной системой и другими программами. Кроме того, вирусы, как правило, занимает место на накопителях информации и потребляет ресурсы системы .

В обиходе «вирусы» называют всё вредоносное ПО ^[1] , хотя на самом деле это лишь один его вид .

Почемучка. Информатика. “07 Вирусы”

История

Самовоспроизводящихся Кафедра : Теории основы механизмов заложил американец венгерского происхождения Джон фон Нейман , который в 1951 году предложил метод СОЗДАНИЯ : таких механизмов. С 1961 года известен рабочими Примеры : такие ПРОГРАММЫ ^[2] .

Первый известных вирусы являются Вирус 1,2,3 и Elk Cloner для ПК Apple II , появившийся в 1981 года . Зимой 1984 года Появились первые антивирусные утилиты – CHK4BOMB и BOMBSQAD авторства Энди Хопкинса ( . Англ  Энди Хопкинс ). В начале 1985 года Ги Вонг ( англ.  Gee Wong написал программу DPROTECT) – первый резидентный антивирус.

Первые вирусные эпидемии относятся к 1986 – +1989 годам : Мозг (распространялся в загрузочных секторах дискет, вызвал крупнейшую эпидемию), Иерусалим ^{[ан] *} (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске ^[3] ), червь Морриса ( 6200 свыше компьютеров, большинство сетей вышли из строя на срок до пяти суток ), DATACRIME (около 100 тысяч зараженных в ПЭВМ только Нидерландов).

Тогда же оформились основные классы двоичных вирусов: сетевые черви ( червь Морриса , 1987), « троянские кони » (СПИД, 1989 ^[4] ), полиморфные вирусы (Хамелеон, 1990), стелс-вирусы (Фродо, Кит, 2-я половина 1990).

Параллельно оформляются организованные движения как про-, так и антивирусной направленности: в 1990 году появляются специализированная BBS Вирус Обмен, «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига, первый коммерческий антивирус Symantec Нортон AntiVirus .

В 1992 году Появились первый конструктор Проектирование для ПК вирусов нет – VCL (для Amiga конструкторы существовали и ранее), а также готовые полиморфные модули (АТП, ДАМ и TPE) и модули шифрования для встраивания в новые вирусы.

В несколько последующих лет были окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf , 1994; Nightfall, Нострадамус, Щелкунчик, 1995), а также испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II – 1991, PMBS, Shadowgard, Cruncher – 1993). Кроме того, появились вирусы, заражающие объектные файлы (Перестановка, 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Office Получили распространение макровирусы (Concept, 1995).

В 1996 году появился первый вирус для Windows 95  – Win95.Boza, а в декабре того же года – первый резидентный вирус для неё – Win95.Punch.

Распространение сетей С и Интернетом Файловых вирусами всё больше ориентируется на них как на работы раздела Основного канал (ShareFun, 1997 – макровирус MS Word, MS-использующий Мейл для распространения; Win32.HLLP.DeTroie, 1998 – семейство вирусов нет -шпионы , Melissa, 1999 – макровирус и сетевой червь, побивший все рекорды по скорости распространения). Эра расцвет «троянские кони» открывает утилита скрытых удаленного администрирования BackOrifice (1998) и последовавшие за ней аналоги ( NetBus , Phase ).

Вирус Win95. CIH достиг апогея в применении необычных методов, перезаписывая FlashBIOS зараженных машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).

В конце 1990-х – начало 2000-х года с усложнением ПО и системное окружение, массовый переход на сравнительно защищенном Windows семейства NT , закрепление сетей как основной канал обмен данные, а также успехи антивирусных технологий в обнаружении вирусов, построенный по сложным алгоритмам, Последние стал всё больше заменять внедрение в файлах на внедрении в операционной системе (необычный автозапуск , руткиты ) и подменять полиморфизм огромного количества видов (известные вирусы нет Числа растет экспоненциально ).

Вместе с тем, обнаружением в ОС Windows и ПО другим распространенных многочисленные уязвимости открыла дорогу червей-эксплоиты . В 2004 году беспрецедентные по масштабам эпидемии вызывают MSBlast (по данным Microsoft  – более 16 млн систем ^[5] ), Сассер и Mydoom (оценочные ущербы 500. 4 млн и млрд долл соответственно. ^[6] ).

Кроме того, монолитные вирусы в значительной мере уступает место комплексов вредоносных ПО с разделением ролей и вспомогательными средствами (троянские программы, загрузчики / дропперы, фишинговые сайты, спам-боты и пауки). Расцветают Также социальные технологии  – спам и фишинг  – как средство заражения в обход механизмов защиты ПО.

В начале на основе троянских программ, а с развитием технологий p2p-сетей  – и самостоятельно – набирает обороты самый современный вид вирусов – черви- ботнеты (Rustock, 2006, ок 150 тыс ботов,.. Conficker , 2008-2009, более 7 млн ботов ; Kraken, 2009, ок 500 тыс ботов)… В числе вирусов прочего вредоносное ПО окончательно оформляется как средство киберпреступности .

Этимология названия

Компьютерный вирус был назван по с аналогии биологическими вирусами за сходный механизм распространения. По-видимому, впервые слово «вирус» по программе к отношению было употреблен Грегори Бенфордом (Грегори Бенфорд) в фантастическом рассказе « Человек в шрамах » ^[7] , опубликованный в журнале Venture в мае 1970 года .

Термин «компьютерный вирус» впоследствии не раз «открывался» и переоткрывался. Так, переменная в подпрограмме пронизывают ( 1975 ), от значения которой зависело, будет ли программа ЖИВОТНЫХ распространяться по диску, ВИРУСА называлась. Также, назвали свой вирус программы Джо Деллинджер и, вероятно, это и был то, что впервые был правильно обозначена как вирус.

Формальное определение

Нет общепринятого определения вируса. Академическая среда В термине был употреблён Фред Коэн в ЕГО работе «Эксперименты с компьютерными вирусами» ^{[8] [9]} , он сам где приписывают авторство Термин Лену Эдлмэны ^{[10] [11]} .

Вирус определён Формально Фред Коэн со ссылкой на машину Тьюринг следующим образом ^[12] :

М: (S _М , я _М , О _М  : С _М х Я _М > Я _М , Н _М  : С _М х Я _М > S _М , Д _М  : С _М х Я _М > д)

с заданным множеством состояний S _М , множеством входных символов я _М и отображений (О _М , Н _М , Д _М ) , которая на основе своего текущего состояния s ∈ S , _М и входного символа я ∈ I , _М , считанного с полубесконечной ленты, определяет: выходной символ O ∈ I , _М для записи на ленту, следующее состояние машины s’∈ S , _М и движения по ленте d ∈ {-1,0,1} .

Для данной машины M , последовательность символов v: v _я ∈ I _M может быть сочтена вирусом тогда и только тогда, когда обработка последовательности v в момент времени т , влечёт за собой то, что в один из следующих моментов времени т , последовательность v ‘ ( не пересекающаяся с v ) существует на ленте, и эта последовательность v ‘ была записана M в точке т’ , лежащей между т и т “ :

∀ С М ∀ т ∀ J:
S М (т) = S М 0 ∧
Р М (т) = J ∧
{С М (т, J) ... С М (т, J + | V | - 1)} = v ⇒
∃ v '∃ у' ∃ т»∃ т":
т <т»<т» ∧
{У '... у' + | v '|} ∩ {J ... J + | v |} = ∅ ∧
{C M (т 'у ') ... С М (т', у' + | v '| - 1)} = v' ∧
P M (т ") ∈ {у '... у' + | v '| - 1}

Классификация

Ныне существует немало разновидностей вирусов, различающиеся по основному способу распространения и функциональность. Если изначально вирусы распространялись на дискетах и ​​других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече Каро в 1991 году). Принято разделять вирусы:

• по поражаемым объектам ( файловые вирусы , загрузочные вирусы , сценарные вирусы, макровирусы , вирусы, поражающие исходный код);
• файловые вирусы делит по механизму заражение: паразитирующий добавляет себя в исполняемом файле, перезаписывающий невосстановимо портит заражённый файл, «спутники» идет отдельный файл.
• по поражаемым операционным системам и платформам ( DOS , Windows , , Unix , Linux , Android );
• по технологиям, используемым вирусом ( полиморфные вирусы , стелс-вирусы , руткиты );
• по языку, на котором написан вирус ( ассемблер , высокоуровневый язык программирования , сценарный язык и др.);
• по дополнительной вредоносной функциональности ( бэкдоры , кейлоггеры , шпионы , ботнеты и др.).

Каналы

• Дискеты . Самый распространённый канал заражения в 1980-1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи -дисководов на многих современных компьютерах.
• Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют : их судьбу – большое количество вирусов распространяется через съёмные накопители, Включая цифровые фотоаппараты , цифровые видеокамеры, портативные цифровые плееры , а с 2000-х годов всё Большую роль играют мобильные телефоны , особенно смартфоны (Появились мобильные вирусы ). Использование этот канал ранее был преимущественно обусловлена возможность создания на накопителе специального файла autorun.inf , в котором можно указать программу, запускаемый проводник Windows , при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.
• Электронная почта . Обычно вирусы в письмах электронной почты маскируются под безобидные вложения : картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода , но если открыть такую ссылку, можно попасть то на специально созданный веб-сайт , содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Перспективы для рассылки самого себя дальше.
• Системы обмена мгновенными сообщениями . Также распространена здесь рассылка ссылок на фото Якобы, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного ОБМЕНА сообщениями .
• Веб-страница . Также заражение возможно через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов , ActiveX -компонент. В ЭТОМ случае используются Уязвимости программного Обеспечения , установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей ), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер ,
• Интернет и Локальные сети ( черви ). Черви – вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» ( уязвимости ) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости – это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадет в операционной системе и, как правило, начинают действия по заражению других компьютеров через локальную сеть или интернет. Заражённые Используют Злоумышленники компьютеры для Пользователей рассылки спама или для DDoS-атак .

Противодействие обнаружению

Во времена MS-DOS БЫЛ распространен стелс-вирусы , перехватывающие прерывания для Обращения к операционной системе . ТАКИМ образом вирус Мог скрывать свои файлы из дерева каталогов или подставлять ВМЕСТО зараженный файл исходная копии.

Широкое распространение С антивирусных сканерами , перед запуском проверяющий любой код на наличие сигнатур или выполнение подозрительные действия , эта технология стали недостаточно. Из вируса Скрытия списка процессов или дерево каталогов для Того, НЕ привлекать : Чтобы лишняя информацию Внимание пользователя , является базовым прием, однако для борьбы с антивирусами требуется более изощренные методы . Сканированию противодействия для на наличие сигнатур применяется шифрование Кода и Полиморфизм . Эти техники часто применяется вместе, поскольку для расшифрования зашифрованной части вируса необходимо оставлять расшифровщик незашифрованных , что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяет полиморфизм – модификация последовательности команд, не изменяющий выполняемые действия. Возможно благодаря это Весьма разнообразной и гибкой системе КОМАНД процессоров Intel , в которой одно и то же элементарное действие, например, сложение двух чисел, может быть выполнено несколькими последовательностями команд.

Применяется Также перемешивание Код , отдельные команды когда случайный образ разупорядочивается и соединяется безусловные переходы . Передовой фронт вирусных технологий считается метаморфизм, который часто путаю с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция – расшифровать основное тело вируса после внедрения, то есть после того, как его код будет проверен антивирусом и запущен. НЕ Содержит он сам полиморфный движок , который находится в зашифрованной части вируса и генерирует расшифровщик . В отличие от этого, метаморфный вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код . ^[14]

Профилактика и лечение

В настоящий момент существует множество антивирусных программ, используемых для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:

1. Не работать под привилегированными учётными записями без крайней необходимости. (Учётная запись администратора в Windows)
2. Не запускать незнакомые программы из сомнительных источников.
3. Стараться блокировать возможность несанкционированного изменения системных файлов.
4. Отключать потенциально опасная функциональность системы (например, автозапуск-носителей в MS Windows, сокрытие файлов, их расширения и пр.).
5. Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.
6. Пользоваться только доверенные дистрибутивы.
7. Постоянно делать резервные копии важных данных, желательно на носители, которые не стираются (например, BD-R) и иметь образ системы со всеми настройками для быстрого развёртывания.
8. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

Экономика

Производители Некоторые антивирусов утверждает, что сейчас создание вирусов превратились из одиночного хулиганского занятия в серьёзном бизнесе , связи тесном имеющий с бизнесом На спаме и другие виды противозаконной деятельность. ^[15]

Также называются миллионные и даже миллиардные суммы ущерба от действий вирусов и червей . ^[16] К подобным утверждениям и оценкам следует относиться осторожно: суммы ущерба по оценкам различных аналитиков различаются (иногда на три-четыре порядка), а методики подсчёта не приводятся.

Криминализация

Создателю вируса результаты , нанесшего в 1988 ущерб пользователям компьютеров Macintosh , не было предъявлено обвинений, поскольку его действия не подпадали под имеющийся на тот момент в США закон Компьютерные мошенничества и злоупотребления закон либо другие законы. Этот случай привел к разработке одного из первых законов , имеющих отношение к компьютерным вирусам: Act Компьютер Вирус Искоренение (1988) ^[17] . Сходным образом создатель самого разрушительного вируса ILOVEYOU в 2000 году избежал наказания из-за отсутствия на Филиппинах соответствующих ситуации законов ^[18] .

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в некоторых странах как отдельный вид правонарушений: Россия согласно в уголовном кодекс .РФ ( глава 28, статья 273 ), в США согласно Computer Мошенничество и Закону о нарушении , в Японии ^[19] . Во многих странах, однако, создание вирусов само по себе не является преступлением, и нанесенный ими вред подпадает под более общие законы о компьютерных правонарушениях ^[20] .

Примечания