Компьютерные вирусы представляют собой разновидность компьютерных программ, отличительной особенностью которых является способность к саморазмножению. Таково типичное определение этого класса вредоносного программного обеспечения. Несмотря на наносимый ими вред, без них невозможно представить себе современную компьютерную индустрию. Кстати, в их создании косвенно повинны ученые, заложившие в 50-х годах прошлого века основы теории самовоспроизводящихся механизмов. >>>
В 1961 году В. Высотский, Х.Макилрой и Р. Моррис из фирмы “Bell Telephone Laboratories” (США) изобрели оригинальную игру “Дарвин”. Несколько ассемблерных программ (“организмов”), созданных разными игроками, загружались в память компьютера. Эти “организмы” должны были уничтожить всех “чужаков”, перемещаясь по ячейкам памяти, захватывая жизненное пространство и активно размножаясь. Побеждал вид, оставшийся в живых или набравший наибольшее количество очков.
Но это был все-таки не первый вирус. Их время пришло двадцатью годами позже. Тем временем в мае 1970 года слово “вирус” применительно к вредоносной компьютерной программе, впервые прозвучало в фантастическом рассказе “Человек в шрамах” (The Scarred Man).
В феврале 1980 года студент Дортмундского университета защитил диплом по теме “Самовоспроизводящиеся программы”. В работе были приведены листинги подобных программ для компьютеров Siemens. Но и они вирусами не являлись.
Первопроходцами считаются программы Virus 1, 2, 3 (автор Джо Деллинджер) и Elk Cloner (Ричард Скрент), созданных в 1981 году для операционных систем MS-DOS 3.3 персональных компьютеров Apple II. Однако фактически никакого вреда они не приносили. Но начало вирусописательству было положено.
Через три года появились первые антивирусные утилиты: Анди Хопкинс создал CHK4BOMB и BOMBSQAD. Первая программа могла анализировать текст загрузочного модуля, выявляя текстовые сообщения и “подозрительный” код, а вторая перехватывала операции записи и форматирования, выполняемые через БИОС. В следующем году Ги Вонг написал резидентную утилиту DPROTECT, работающую по сходному с BOMBSQAD алгоритму.
* * *
К 1984 году распространение вредоносного ПО стало принимать массовый характер. Том Нефф начал вести в сети BBS рассылку “Грязная дюжина”, в которую включал наиболее известные на тот момент опасные программы.
1987 год считается годом появления первых вирусных эпидемий, которые бушевали уже на платформе IBM PC. Поначалу ареал распространения вирусов не выходил за пределы отдельно взятой страны или учреждения, но с созданием и развитием сетей BBS, ARPRANET, FIDO, а позднее и Интернета, под удар стали подпадать компьютеры по всему миру.
По одной из версий (достоверность которой под большим вопросом), вирус Brain был создан пакистанскими программистами и изначально предназначался для борьбы с местными пиратами. Он записывался в загрузочные области, менял метку диска и периодически выдал текстовое сообщение о заражении компьютера вирусом и предлагал связаться с создателями. Вдобавок использовал стелс-технологию: при попытке чтения зараженного сектора, “подставлял” незараженные секторы. В США Brain заразил свыше 18 тыс. компьютеров.
Вирус Lehigh, появившийся в Лехайском университете (США) заразил в четыре раза меньше ПК, но успел уничтожить содержимое нескольких сот дискет вычислительного центра вуза и личных дискет студентов и преподавателей.
Вирус Jerusalim (был найден в Иерусалимском университете) сумел принести немалый вред, активизируясь каждую пятницу 13-го и удаляя исполняемые файлы при запуске. Его появление было зафиксировано в нескольких частях света: Европе, Америке и Ближнем Востоке.
В следующем году Роберт Морисс-младший создал первый массовый червь. Создавался он, по замыслу автора без злого умысла. Морисс хотел проверить, сможет ли создать вирус, который, замаскировавшись в системе, займется размножением и рассылкой своих копий через сеть APRANET. Но в силу некоторых допущенных при разработке ошибок, вирус, заразив около 6 тыс. компьютеров, вывел на несколько дней из строя большинство сетей. 4 мая суд присяжных приговорил Морисса к двум годам условно, общественным работам и штрафу.
Первый “троянский конь” под названием AIDS (“СПИД”) блокировал работу операционной системы и выводил на экран надпись. Предлагалось убрать ее, прислав чек на некий адрес. Автор программы был вскоре арестован в момент обналичивания и осужден за вымогательство.
В 1991 году появился вирус Микеланджело, заразивший множество компьютеров. После поднятой в СМИ волны публикаций, все с опасением ожидали наступления 6 марта 1992 года. В день рождения великого художника инфицированные компьютеры должны были выйти из строя. Однако ничего не случилось.
* * *
Но это были цветочки. Вирусы постепенно стали приобретать глобальный характер: заражались сотни и тысячи компьютеров по всему миру. На рынок антивирусов вышел первый крупный игрок: вышла первая версия Symantec Norton Antivirus. Параллельно были созданы первые конструкторы вирусов для PC, готовые полиморфные модули и модули шифрования. Вирусы стало легче писать и модифицировать.
В 1995 году вышла новая версия операционной системы Microsoft Windows 95. На тот момент ни один DOS-вирус не мог нанести ей вреда, поэтому глава корпорации Билл Гейтс заявил, что с вирусной угрозой покончено. Безмятежное состояние продлилось всего год. В 1996 году вышел вирус Win95.Boza. Чуть позже появился первый резидентный вирус: Win95.Punch загружался в систему как драйвер, перехватывал обращения к файлам и заражал их. В том же году появились первые вирусы для ОС OS/2 и GNU\Linux (Bliss).
1997 год ознаменовался созданием первых макровирусов для Office97, первого mail-червь, который рассылал свои копии через программу MS-Mail. В том же году появились самошифрующийся вирус, сетевые черви, распространяющиеся через протокол FTP и mIRC.
26 апреля 1998 года тайваньский студент Чень Инхао выпустил первую версию своего вируса Win95.CIH, поражавший исполняемые файлы в компьютерах с установленной ОС Windows 95/98. В июне он заразил компьютеры университетской сети. Потом вирус выбрался за пределы Тайваня. И даже появился на некоторых американских веб-серверах, распространявших игровые программы. В итоге заразилось около полумиллиона компьютеров по всему миру. Гром грянул 26 апреля 1999 года, когда на многих компьютерах были стерты данные с жесткого диска. Некоторые пострадали серьезнее — была испорчена микросхема БИОС. Так как 26 апреля — годовщина аварии на Чернобыльской АЭС, вирус стали называть “Чернобыль”. Автор его арестован так и не был в силу несовершенства законодательства. Сейчас вирус безвреден, однако по сей день чуть что поминают пресловутый Win95.CIH.
* * *
В 1999 году появилась “Мелисса”. Пользователю приходило электронное письмо, где было написано следующее: “это тот документ, который ты просил, не показывай его никому”. В письме был вложен файл MS Word. Пользователь открывал его и сразу же заражался. “Мелисса” выбирала первые 50 адресов из списка контактов и рассылала от имени пользователя письма с подобным содержанием. Получив письмо от знакомого, многие открывали вложения и становились очередным звеном в цепи распространения вируса. Сами пользователи от “Мелиссы” не пострадали. Досталось только почтовым серверам из-за возросшего трафика.
В 2000 году появился вирус со схожей манерой распространения. Только приманка была более интересной: признание в любви. Соответственно, вирус назвали “ILOVEYOU”. Любопытный пользователь открывал файл LOVE-LETTER-FOR-YOU-TXT.vbs и запускал скрипт. Вирус начинал сразу же рассылать себя по всем контактам, найденным на машине жертвы. При этом отмечались случаи уничтожения файлов. По некоторым данным, только в первые дни было заражено около 3 миллионов компьютеров. Специалисты отмечают, что в то время ходило около тридцати вариаций вируса, отличавшихся темой и названием вложенного файла. Автор вируса — житель Филиппин наказан не был, так как его действия классифицировались как компьютерное хулиганство, что не являлось на тот момент преступлением. Полиции потребовался целый день, чтобы получить ордер на обыск. Поэтому когда стражи порядка вошли в дом предполагаемого преступника, у него не было даже компьютера.
В 2001 году мир познакомился с новым типом вируса, для распространения которого не требовалось участие пользователя. Кроме того, червь Code Red не существовал в виде файла. Он передавался на другой компьютер в виде TCP-пакета через Интернет, используя дыру в пакете Microsoft Internet Information Server. На компьютере жертвы вирус загружался в оперативную память, поэтому его не обнаруживали антивирусные программы, работа которых основывалась на сканировании жестких дисков и сменных носителей. Code Red работал следующий образом. Создавал 100 процессов, из которых 99 занимались дальнейшим распространением, пытаясь атаковать компьютеры, генерируя IP-адреса. Один процесс на десять часов подменял головную страницу локального веб-сервера на надпись “HELLO! Welcome to www.worm.com. Hacked By Chinese!”. Эту фразу могли увидеть только обладатели англоязычный версии Windows. В других языковых сборках сотый процесс тоже занимался размножением. Кстати, поражались только ПК на базе Windows NT/2000, имевшим непропатченную Microsoft IIS 4.0 или 5.0. Заплатка была выпущена месяцом ранее, но она была установлена на мизерном количестве машин.
* * *
В октябре 2001 года был обнаружен червь Klez, который сумел в течение целого года остаться в списке самых популярных. Быстрота размножения обуславливалась механизмом заражения: файл, содержащий вирус автоматически запускался при просмотре письма в Outlook Express, используя дыру в браузере Internet Explorer.
Август 2003 года выдался поистине “жарким”. Сначала пошла эпидемия червя Blaster (известного также как Lovescan и MSBlast). Потом для его удаления некие умельцы запустили “белый” червь Welchia, который создал дополнительные проблемы, генерируя паразитный трафик. А несколькими днями позже появился червь Sobig.
Следующий, 2004 год, выдался не менее легким. Netsky, Bagle, MyDoom, Sasser — вот имена самых известных червей. В том же году появился первый вирус для мобильных телефонов: Cabir. Он заражал смартфоны под управлением ОС Symbian.
Следующие несколько лет были относительно спокойными. В январе 2007 года спустя несколько дней после пронесшегося по Европе урагана, появился червь Storm. К сентябрю оказались заражены несколько миллионов компьютеров. “Шторм” распространялся в виде вложенного в электронное письмо файла. Заманивали пользователей тем, что обещали показать смертельные последствия разгулявшейся стихии. Доверчивые люди запускали файл вида “Full Video.exe” и инфицировали свой ПК.
В начале этого года много шума наделал сетевой червь Conficker (Kido), инфицировавший около 15 млн. ПК с ОС Windows. Как обычно, заплатка, преграждавшая вирусу путь, была выпущена еще в октябре прошлого года, но большинство пользователей или администраторов не озаботились своевременным обновлением Windows.
За более чем тридцатилетнюю историю, цель вирусописателей постепенно менялась. Теперь вредоносное ПО служит не только для самоудовлетворения создателей, а активно крадет пароли, конфиденциальную информацию, узнает список самых посещаемых сайтов и т.п. Все то, что может принести в конечном счете принести деньги. К примеру, в этом году появился вирус, блокирующий работу Windows и требующий для возвращения системы в исходное состояние некоторую сумму денег.
Ходят слухи, что вирусы пишут разработчики антивирусных программ. Однако никаких доказательств в пользу этой теории нет. Конечно, не будь вирусов, не было бы и антивирусников. Но подобное справедливо и для пар “преступники-милиция”, “больные-врачи”. У создателей антивирусного ПО без этого работы хватает.
Классификация вирусов
Вирусы различают:
— по типу поражаемых объектов (файловые, загрузочные, скриптовые, макро-вирусы, сетевые черви);
— по поражаемым операционным системам и платформам (DOS, Windows, MacOS, Linux и другие);
— по используемым технологиям (полиморфные вирусы, стелс-вирусы);
— по языку, на котором написан вирус (ассемблеры, высокоуровневый язык, скрипты).
По способу заражения вирусы, внедряющие свой код в исполняемые файлы, разделяют на перезаписывающие, паразитические, вирусы, звенья, вирусы-черви, компаньон-вирусы, а также вирусы, изменяющие исходные тексты программ и компоненты ПО.
Перезаписывающие, например, записывают свое тело в код программы. В результате исполняемый файл отказывается запускаться или предварительно запускает вирус. Файлы-компаньоны подменяют собой оригинальный файл, который перемещают или переименовывают. Распространенные в последнее время файловые черви размножаются с помощью схема автозапуска (файл autorun.inf).
Способы распространения
Съемные накопители. Раньше роль распространителя вредоносного ПО выполняли дискеты. Теперь их судьбу повторяют накопители на основе флеш-памяти: USB-флешки, карты памяти для мобильных телефонов, фотоаппаратов, видеокамер, MP3-плейеров и т.п.
Стандартная схема заражения такова. Стоит только в “чистый” компьютер без должной антивирусной защиты вставить зараженный флеш-накопитель, как он его инфицирует. Так как вирус и файл активации (autorun.inf) имеют атрибуты “скрытый”, то большинство пользователей о наличии вирусов даже не догадываются. Заражение происходит потому, что в ОС Windows XP по умолчанию включен автозапуск съемных носителей. Несмотря на удобство, опцию эту необходимо отключить. Как это сделать, чуть ниже.
Инфицированный компьютер сам становится источником распространения заразы. Ядро вируса прячется где-то в папке Windows/system32/, записывая во все доступные места (логические разделы жесткого диска, сетевые папки, съемные накопители) вирус и файл autorun.inf. Если пользователь найдет эти файлы и удалит, они через некоторое время восстановятся. Поэтому в первую очередь удалять надо ядро вируса, а не его продукты деятельности. Различными модификациями этого вируса заражено множество компьютеров и флеш-накопителей.
Компакт-диски. Вирусы на оптические диски записаться не могут. Это могут сделать только пользователи. Вредоносное ПО часто попадается в различных “кряках” и “кейгенах” к софту и играм.
Электронная почта. Представьте, вам приходит письмо от знакомого с новогодним поздравлением, которое находится во вложенном файле. Вы его открываете и... ваш компьютер заражается. Причем моментально по всем вашим контактам отправляются “вирусные” поздравления от вашего имени. Вместо праздничной открытки может быть что угодно. Вспомните, к примеру, “фотографии” обнаженной Анны Курниковой. Вирус оказался безвредным, но показал, как много людей попадаются в ловко расставленные лапы социального инжиниринга. Вирус может содержаться не только в исполняемом файле, но и в текстовых документах (макровирусы) или картинках. Для отвода глаз может использоваться двойное расширение. Вместо вложения может находиться ссылка на некий сайт, содержащий в своем коде вирус.
Современные антивирусы проверяют входящую почту, тем не менее будьте осторожны с подозрительными объектами.
Другие средства связи. В качестве альтернативы электронной почте, вирусописатели используют системы обмена мгновенными сообщениями. Метод защиты тот же — будьте бдительны.
Веб-страницы. На сайтах может содержаться вредоносный код (скрипты, Active-X-компоненты, Java-апплеты). К сожалению, взломаны могут быть и известные сайты.
Интернет и локальные сети. Сетевые черви заражают компьютеры без участия пользователей, используя дыры в защите операционной системы и программного обеспечения.
Я за безопасный от вирусов компьютер!
Но не все так страшно. Соблюдая некоторые меры предосторожности можно долгие годы избегать вирусного заражения. Посмотрим, что может сделать обычный пользователь на базе ОС Windows XP, используя минимум программ.
Итак, первым делом ставим антивирус. Если хотите поменять антивирус, сначала удалите старый. Я уже больше трех лет использую Avast! Home Edition, бесплатный для домашнего пользования. Лицензионный ключ для получения регулярных обновлений вам вышлют на электронный ящик после регистрации. После установки Avast! предложит вам провести сканирование при следующей загрузки компьютера. Соглашайтесь, но перед этим желательно обновить антивирусную базу.
Сканирование будет проведено в DOS-режиме до загрузки Windows, что позволит эффективнее провести “санобработку”. Впрочем, вы можете установить любой другой антивирус, которому доверяете. Единственное, базы необходимо постоянно обновлять. Чем чаще, тем лучше.
Теперь включаем встроенный брандмауэр. Конечно, лучше использовать сторонние разработки, так как они обеспечивают более высокий уровень безопасности, но можно пользоваться и стандартным.
Браузером Internet Explorer я бы пользоваться не рекомендовал: обратите внимание на Mozilla Firefox, Opera или Google Chrome. Уже эта связка программ защитит избавит вас от многих проблем в будущем. Впрочем, специалисты могут посоветовать и другие программные средства.
Затем включим автоматическое обновление Windows. Заплатки, выпускаемые регулярно, нужно сразу же устанавливать, не дожидаясь пока злоумышленники воспользуются незакрытыми дырами в вашей системе. Также нужно регулярно обновлять весь используемый вами софт. Обновления не только латают бреши в защите программ, но улучшают функциональность и исправляют ошибки (за редким исключением, когда патчи становятся источник новых дыр). Немало вирусных эпидемий стали возможны потому, что пользователи не позаботились о своевременном обновлении своего ПО. Хотя, конечно, вирусописатели могут эксплуатировать дыры, еще не закрытые производителем.
Считается, что производители коммерческого софта быстрее реагируют на возможные угрозы и выпускают патчи. Это не так. Порой именно бесплатные утилиты обновляются чаще.
Теперь отключим автозапуск съемных дисков. Для этого выполните действие “Пуск > Выполнить > gpedit.msc > Конфигурация компьютера > Административные шаблоны > Система > Отключить автозапуск”. Выберите “Включен” и установите “Отключить автозапуск на всех дисках”. Для ОС Windows XP Home Edition придется проделать другую процедуру. Зайти в реестр, далее открыть новый раздел Explorer в HKLM\SOFTWARE\Micrоsoft\Windows\CurrentVersion\Policies. В нем создать ключ NoDriveTypeAutoRun и установить значение 0xFF.
Для большей безопасности можете работать под логином с ограниченными правами, а под логином администратора входить только для установки программного обеспечения и изменения настроек.
На всякий случай сохраните на флешку антивирус, не требующий установку. Например, DrWeb CureIt!. Еще лучше иметь под рукой LiveCD с антивирусом. Только не забывайте, что антивирусные базы в подобных сборках постепенно устаревают.
Несколько советов напоследок
Если антивирус имеет модуль сканирования электронной почты, время получения почты может замедлиться в несколько раз. Если вы срочно ждете письмо, можете отключить этот модуль. Однако не забудьте потом его снова активировать. Никогда не забывайте, что вирус может прийти и от знакомого вам контакта. Точно также не пересылайте деньги на просьбы своих друзей, если они присылаются вам через аську, личную почту веб-сервисов “Одноклассники”, “Вконтакте”.
Несмотря на то, что разработчики антивирусов постоянно совершенствуют технологии антивирусной защиты, они все-таки находятся в роли догоняющих. За то время, пока появится “вакцина” от новейшего вируса, вирус может успеть заразить тысячи и тысячи компьютеров.
Не стоит уповать на собственную благоразумность, пренебрегая правилами безопасности. Да, можно длительное время обходиться без антивируса, но стоит ли рисковать? Потерянное время или информация может обойтись вам очень дорого.
(Опубликовано в газете "Мой друг компьютер", № 16, август 2009 года. Здесь дана авторская редакция.)
31928 просмотров
Ваш комментарий будет первым | | |