Wszystkie wiodące firmy antywirusowe mają własne strony poświęcone oszustwom. A informacje można znaleźć na stronie internetowej. Encyklopedia wirusów(http://www.viruslist.com/), Symantec ( http://www.symantec.com/avcenter/index.html) i McAfee ( http://vil.mcafee.com/hoax.asp).

I oczywiście nie zapomnij o Google - dlatego jest to wyszukiwarka, która wszystko wie!

Prawie żadna rozmowa na temat wirusów komputerowych nie jest kompletna bez określenia „trojan” lub „trojan”. Czym różni się ta aplikacja od wirusa, jaki jest jej cel i dlaczego jest niebezpieczny? Ta kategoria obejmuje programy, które wykonują nieautoryzowane działania bez wiedzy użytkownika. Z natury działania trojan przypomina wirusa: może wykraść dane osobowe (przede wszystkim pliki haseł i bazy danych poczty), przechwycić dane wprowadzane z klawiatury, a rzadziej niszczyć ważne informacje lub zakłócać działanie komputera . Trojan może być wykorzystany do wykorzystywania zasobów komputera, na którym działa, do niestosownych lub przestępczych celów: wysyłania wirusów i spamu, przeprowadzania ataków DDOS (Distributed Denial of Service - rozproszone ataki mające na celu zakłócanie usług sieciowych).

Wirusy też to potrafią. Różnica polega na tym, że trojan często wygląda jak zupełnie normalny program, który wykonuje przydatne funkcje. Ma jednak również „drugie życie”, o którym użytkownik nie wie, ponieważ niektóre funkcje aplikacji są ukryte. Program trojański różni się od wirusa tym, że nie może sam się rozprzestrzeniać: nie może kopiować się na inne komputery, nie niszczy ani nie zmienia niczego na komputerze użytkownika (z wyjątkiem funkcji potrzebnych do jego uruchomienia). Trojan może podkraść się do niczego niepodejrzewającego użytkownika pod postacią akceleratora internetowego, narzędzia do czyszczenia przestrzeni dyskowej, kodeka wideo, wtyczki Winampa lub pliku wykonywalnego z podwójnym rozszerzeniem.

Notatka

Chociaż, w przeciwieństwie do wirusa, trojan nie jest zdolny do samoreplikacji, nie czyni go to mniej niebezpiecznym.

W tym drugim przypadku możesz otrzymać list z prośbą o obejrzenie zdjęcia i załączonego pliku, np. superfoto.bmp.exe(ewentualnie po BMP może być duża ilość spacji, aby użytkownik niczego nie podejrzewał). W rezultacie odbiorca sam instaluje złośliwe oprogramowanie. Stąd nazwa takich aplikacji: pamiętaj, jak Achajowie zdobyli Troję. Miasto było dobrze ufortyfikowane, Achajowie długo nie mogli go zdobyć i oszukali obrońców. Dla mieszkańców Troi koń był symbolem pokoju, a Achajowie, rzekomo dla pojednania, zbudowali drewniany posąg konia, wewnątrz którego posadzili swoich najlepszych wojowników. Niczego nie podejrzewający Trojanie wciągnęli prezent do miasta, a nocą Achajowie wyszli z posągu, zneutralizowali strażników i otworzyli bramy, wpuszczając główne siły.

Trojan może być rozprzestrzeniany przez samego użytkownika, kopiując go do swoich przyjaciół i współpracowników. Wariant jest możliwy, gdy program dostanie się do komputera użytkownika jako robak, a następnie działa jako trojan, dając twórcy możliwość zdalnego kontrolowania zainfekowanego komputera. Najczęściej takie programy są nadal nazywane robakami.

Po uruchomieniu trojan rezyduje w pamięci komputera i monitoruje zaprogramowane działania: kradnie hasła dostępu do Internetu, uzyskuje dostęp do stron internetowych, zwiększa czyjeś liczniki (za co użytkownik płaci dodatkowym ruchem), połączenia płatne, często drogie, numery telefonów, monitoruje działania i przyzwyczajenia właściciela komputera oraz odczytuje jego pocztę e-mail.

Współczesne trojany z reguły nie przenoszą już wszystkiego. Celowo zbierają określone informacje. Na przykład szpiedzy „banku” kradną numery kart kredytowych i inne dane bankowe. Wraz z rosnącą popularnością gier online pojawiło się zainteresowanie kradzieżą przedmiotów lub postaci z gier, o wartości czasami kilku tysięcy dolarów, więc kradzież kont dla oszustów jest nie mniej atrakcyjna niż kradzież atrybutów bankowych.

Oddzielnie należy wspomnieć o trojanach downloader i trojanie dropper, które są wykorzystywane do instalowania na komputerach trojanów, oprogramowania reklamowego lub programów pornograficznych (pornware). Ponadto trojany są często wykorzystywane do tworzenia trojanów serwerów proxy lub nawet całych sieci zombie w celu wysyłania spamu lub wirusów.

Jak ustalić, że trojan zadomowił się w systemie? Po pierwsze, musisz przyznać, że to dziwne, kiedy po prostu zainstalowana wtyczka do Winampa nie ma na liście. Po drugie, podczas instalacji trojana może zostać wyświetlony komunikat, co więcej, jakby instalacja zakończyła się sukcesem (np. Internet Explorer już załatany) i odwrotnie, wskazując, że narzędzie nie jest zainstalowane, ponieważ biblioteka systemowa jest niezgodna z wersją programu lub archiwum jest uszkodzone. Możesz również otrzymać zalecenia dotyczące naprawy błędu. Po wielu udrękach użytkownik prawdopodobnie nie uzyska oczekiwanego rezultatu, najprawdopodobniej zrezygnuje ze wszystkich prób i będzie przekonany, że jest to przydatny program, który po prostu nie uruchomił się z nieznanych powodów. W międzyczasie trojan zarejestruje się w autouruchamianiu. Na przykład w systemie Windows musisz zwracać uwagę na następujące gałęzie rejestru:

HKEY_LOCAL_MACHINE OPROGRAMOWANIE Microsoft Windows Aktualna wersja Uruchom

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce

Możliwe jest umieszczenie skrótu trojana w folderze (jest to bardzo rzadkie, ponieważ obecność złośliwego oprogramowania w tym folderze jest łatwa do wykrycia) lub zapisanie do plików autoexec.bat, win.ini, system.ini. Często programiści podejmują kroki, aby zapobiec wykryciu trojana w oknie. Menadżer zadań wyświetlane po naciśnięciu skrótu klawiaturowego Ctrl+Alt+Usuń. Najbardziej wyrafinowane trojany potrafią aktualizować się przez Internet, ukrywać się przed programami antywirusowymi i odszyfrowywać pliki haseł. Istnieje kilka sposobów kontrolowania trojana, od łączenia się bezpośrednio z komputerem po sprawdzanie określonego zasobu sieciowego, do którego host wysyła polecenia e-mail, ICQ i IRC.

Trojan często składa się z dwóch części: strony klienta zainstalowanej na hoście oraz strony serwera działającej na komputerze ofiary. Takie programy są również nazywane backdoorem (tajnym przejściem). Uruchamiając program klienta, atakujący sprawdza, czy serwer jest w sieci: jeśli otrzyma odpowiedź, to zdalny komputer może być kontrolowany tak, jakby był jego własnym.

Biorąc pod uwagę niezdolność trojanów do samodzielnego rozprzestrzeniania się, prostą i skuteczną zasadą unikania infekcji jest pobieranie plików tylko z zaufanych źródeł. Pomimo faktu, że w przeciwieństwie do epidemii wirusów, nikt jeszcze nie słyszał o epidemiach trojanów i jest mało prawdopodobne, że będą one, biorąc pod uwagę niezdolność tych programów do samodzielnego rozmnażania się, są nie mniej (a może nawet bardziej) niebezpieczne niż wirusy. Rzeczywiście, takie programy są często tworzone do użytku osobistego i dlatego dzisiejsze programy antywirusowe nie mogą wiedzieć o nich wszystkich. Oznacza to, że użytkownik może pracować na zainfekowanej maszynie przez długi czas, nie będąc tego świadomym. Aby znaleźć aplikację trojańską, potrzebujesz specjalnych narzędzi i monitorowania aktywności sieciowej komputera przy użyciu standardowych narzędzi systemu operacyjnego oraz zainstalowanej zapory ogniowej, co zostanie omówione bardziej szczegółowo w rozdziale 4.

Jeśli wyżej wymienione trojany można wykryć za pomocą narzędzi systemowych, przedstawicieli tej klasy można wykryć tylko za pomocą specjalnych narzędzi.

rootkity są bardziej zaawansowaną wersją koni trojańskich. Niektóre firmy antywirusowe nie rozdzielają rootkitów i trojanów, umieszczając je w tej samej kategorii złośliwego oprogramowania. Jednak trojan ukrywa się na komputerze, zwykle podszywając się pod znany program (na przykład Spymaster podszywa się pod aplikację MSN Messenger), a rootkity wykorzystują bardziej zaawansowane metody ukrywania się, wnikając głęboko w system.

Początkowo słowo „rootkit” oznaczało zestaw narzędzi, które umożliwiają atakującemu powrót do zhakowanego systemu w taki sposób, że administrator systemu nie mógł go zobaczyć, a system nie mógł się zarejestrować. Przez długi czas rootkity były przywilejem systemów uniksowych, ale jak wiadomo dobre pomysły nie znikają tak po prostu, a pod koniec XX wieku rootkity przeznaczone dla Microsoft Windows zaczęły się masowo pojawiać. Zaczęli mówić o rootkitach dopiero wtedy, gdy Sony przyłapano na używaniu ich w swoich produktach. Dziś eksperci przewidują boom w tej technologii, aw ciągu najbliższych dwóch lub trzech lat spodziewany jest ogromny wzrost liczby rootkitów - do 700% rocznie. Najsmutniejsze jest to, że będą wykorzystywane nie tylko przez atakujących: rootkity będą szeroko stosowane w produkty komercyjne przede wszystkim w celu ochrony przed piractwem. Na przykład niedawno ogłoszono, że Microsoft stworzył rootkita, którego nie można wykryć. Możliwe, że ten wynalazek znajdzie się w nowych wersjach systemu Windows.

Nie ułatwia to przeciętnemu użytkownikowi. Technologia rootkit mogłaby potencjalnie zostać wykorzystana do stworzenia nowej generacji oprogramowania szpiegującego i robaków, które byłyby prawie niemożliwe do wykrycia po przeniknięciu do komputera.

Prawie wszystkie nowoczesne wersje rootkitów mogą ukrywać przed użytkownikiem pliki, foldery i ustawienia rejestru, ukrywać uruchomione programy, usługi systemowe, sterowniki i połączenia sieciowe. Działanie rootkitów opiera się na modyfikacji danych i kodu programu w pamięci systemu operacyjnego. W zależności od obszaru pamięci, z jakim pracują rootkity, można je podzielić na następujące typy:

Systemy działające na poziomie jądra (Kernel Level lub KLT);

Systemy działające na poziomie użytkownika (User Level).

Pierwszy znany rootkit dla systemu Windows, NT Rootkit, został napisany w 1999 roku przez eksperta ds. bezpieczeństwa Grega Hoglunda jako sterownik na poziomie jądra. Ukrył wszystkie pliki i procesy, które zawierały kombinację _źródło, przechwytywał informacje wpisywane na klawiaturze i używał innych metod maskowania.

Najsłynniejszym obecnie rootkitem jest Hacker Defender. Ten program działa w trybie użytkownika i jest maskowany przez przechwytywanie niektórych interfejsów API. Hacker Defender może przetwarzać ruch sieciowy przed przekazaniem go do aplikacji, co oznacza, że ​​każdy program działający w sieci może zostać użyty do interakcji z atakującym. Rootkit może ukrywać pliki i procesy, wpisy w rejestrze i otwarte porty i może niepoprawnie pokazywać ilość wolnego miejsca na dysku. Rejestruje się w trybie automatycznego ładowania, pozostawiając dla siebie tylne drzwi i nasłuchuje na wszystkich portach, które są otwarte i dozwolone przez zaporę sieciową, szukając 256-bitowego klucza, który wskaże, którego portu użyć do zarządzania. Hacker Defender przechwytuje funkcje uruchamiania nowych procesów, co pozwala mu infekować wszystkie programy uruchamiane przez użytkownika. Jest polimorficzny: narzędzie Morphine jest zwykle używane do szyfrowania plików wykonywalnych rootkita.

Notatka

Wszystkie nowoczesne wersje rootkitów mogą ukrywać przed użytkownikiem pliki, foldery i ustawienia rejestru, ukrywać programy, usługi systemowe, sterowniki i połączenia sieciowe.

Jednym z najniebezpieczniejszych rootkitów jest FU, zaimplementowany częściowo jako aplikacja, a częściowo jako sterownik. Nie angażuje się w przechwytywanie, ale manipuluje obiektami jądra systemu, więc bardzo trudno jest znaleźć takiego szkodnika.

To, że znalazłeś rootkita, nie oznacza, że ​​możesz się go pozbyć. Aby chronić się przed zniszczeniem przez użytkownika lub program antywirusowy, rootkity wykorzystują kilka technologii, które są już obecne w innych typach złośliwego oprogramowania. Na przykład uruchamiane są dwa procesy, które wzajemnie się kontrolują. Jeśli jeden z nich przestanie działać, drugi go przywraca. Istnieje również podobna metoda wykorzystująca strumienie: plik zdalny, ustawienie rejestru lub zabity proces zostanie przywrócony po pewnym czasie.

Popularny sposób blokowania dostępu do pliku: plik jest otwierany w trybie wyłącznego dostępu lub blokowany za pomocą specjalnej funkcji; nie można usunąć takiego pliku standardowymi metodami. Jeśli spróbujesz użyć opóźnionego usunięcia (podczas następnego rozruchu), na przykład za pomocą programu takiego jak MoveOnBoot, najprawdopodobniej zapis tej operacji zostanie po chwili usunięty lub plik zostanie zmieniony.

Ciekawą metodą ochrony jest robak Feebs. Aby walczyć z antywirusami, programami antyrootkitowymi i innymi narzędziami, które próbują je zniszczyć, ujawnia wabik - zamaskowany proces, który nie jest widoczny na karcie Procesy w oknie Menadżer zadań. Każda aplikacja, która próbuje uzyskać dostęp do tego procesu, zostaje zabita. Program można zainstalować jako dodatkowy moduł do przeglądarka internetowa Explorer zmieniający swoją funkcjonalność. Standardowe elementy sterujące typu automatycznego uruchamiania msconfig nie widzę tych parametrów, a użycie dodatkowych narzędzi do badania systemu wymaga od użytkownika pewnych umiejętności, więc jedynym naprawdę niezawodnym sposobem na zniszczenie takiego programu jest sformatowanie dysk twardy i ponownie zainstaluj system operacyjny.

Niestety, dzisiejsze specjalistyczne programy przeznaczone do wykrywania rootkitów i tradycyjnych programów antywirusowych nie zapewniają 100% gwarancji bezpieczeństwa. Za pomocą kodu źródłowego tych programów można tworzyć dowolne modyfikacje rootkitów lub dołączyć część kodu do dowolnego oprogramowania szpiegującego. Główną umiejętnością rootkitów nie jest mocne zdobywanie przyczółka w systemie, ale jego penetracja, więc główną zasadą dla Ciebie powinna być maksymalna ochrona i ostrożność.

Jeśli po tym wszystkim, co zostało powiedziane w poprzednich rozdziałach, nadal nie straciłeś ochoty na pracę z komputerem, będziesz zainteresowany tym, jak różne złośliwe programy mogą dostać się do systemu. Ta informacja może uchronić Cię przed najprostszymi błędami i pozwolić na trzeźwą ocenę sytuacji.

Istnieją trzy powody penetracji wirusów:

Błędy w tworzeniu oprogramowania;

Błędy w ustawieniach;

Wpływ na użytkownika (inżynieria społeczna).

Nie da się opisać wszystkich opcji: technologia nie stoi w miejscu, a atakujący ciągle wymyślają nowe metody. Zastanówmy się nad głównymi punktami. Jeżeli w dwóch ostatnich przypadkach coś zależy od działań użytkownika, to w pierwszym przypadku może to tylko częściowo wpłynąć na przebieg zdarzeń. Błędy oprogramowania często mogą zniweczyć wysiłki użytkownika mające na celu ochronę systemu przed złośliwymi aplikacjami.

Niektóre wirusy i ataki docierają do celu bez interwencji użytkownika. Mimo wysiłków intensywność zdalnych ataków nie maleje i coraz trudniej jest je odeprzeć. Jak to działa? Wszakże aby program, nawet jeśli jest złośliwy, mógł coś zrobić, musi zostać przez kogoś lub coś uruchomiony. Z analizy wynika, że ​​zdecydowana większość ataków wykorzystuje błędy przepełnienia bufora, a problem ten jest najważniejszy.

Ta luka została po raz pierwszy wykorzystana w 1988 roku jako podstawa ataków robaka Morris. Od tego czasu liczba takich ataków rośnie z roku na rok. Obecnie można argumentować, że luki związane z przepełnieniem bufora dominują w zdalnych atakach, w których zwykły użytkownik sieci przejmuje częściową lub całkowitą kontrolę nad zaatakowanym. Około połowa szkodliwego oprogramowania wykorzystuje ten rodzaj luki.

W artykule „Wikipedia” ( http://en.wikipedia.org) definiuje lukę w następujący sposób: „Przepełnienie bufora to zjawisko, które występuje, gdy program komputerowy zapisuje dane poza granicami bufora przydzielonego w pamięci”.

The New Hacker's Dictionary Erica S. Raymonda stwierdza, że ​​„przepełnienia bufora są tym, co nieuchronnie się zdarza, gdy próbujesz umieścić w buforze więcej, niż jest w stanie obsłużyć”.

Wyobraź sobie następującą sytuację. Funkcja zmiany hasła może przyjąć hasło o długości do 256 znaków. Najczęściej nikt nie używa haseł dłuższych niż 8–10 znaków, więc twórcy nie przewidzieli sprawdzania ciągu wprowadzania danych. Jeśli spróbujesz wprowadzić więcej niż 256 znaków, jeśli za danymi znajdował się adres zwrotny funkcji, zostanie on nadpisany iw najlepszym wypadku program zakończy działanie z błędem. Haker, który odkrył tak wrażliwy obszar, musi zastąpić prawidłowy adres jako adres zwrotny, który przeniesie kontrolę do dowolnego miejsca w wybranym przez siebie programie. W rezultacie dowolny kod, który haker umieścił w określonym obszarze pamięci, może zostać wykonany z uprawnieniami, z jakimi działa bieżący program.

Takie błędy w oprogramowaniu znajdują się niemal codziennie, ale nie zawsze i nie są od razu eliminowane. Na przykład możesz przeglądać statystyki dotyczące wyspecjalizowanych witryn. Według Secuni ( http://secuna.com) w systemie Microsoft Windows XP Professional, 30 z 201 luk w zabezpieczeniach wykrytych w latach 2003-2008, mimo że mają status wysoce krytycznych (wyjątkowo niebezpiecznych), które umożliwiają zdalne wykonanie kodu (czyli faktyczne uzyskanie dostępu do systemu), nie naprawiono, ta lista już nie. Średnio miesięcznie wykrywane są trzy do czterech luk w zabezpieczeniach.

W przeglądarce Internet Explorer 7 7 z 21 znalezionych luk nie zostało naprawionych, a niektóre z nich mają bardzo krytyczny stan. Średnio miesięcznie wykrywana jest jedna lub dwie luki w zabezpieczeniach. Biorąc pod uwagę wszystkie luki, w których można zdalnie wykonać kod w systemie, możemy stwierdzić, że dostęp do Internetu za pomocą tej przeglądarki jest ogólnie niebezpieczny. Internet Explorer umożliwia wykonanie kodu podczas przetwarzania Pomocy HTML, plików ActiveX, HTA, SWF, ZIP, BMP i JPEG, archiwów FTP, plików cookie, tagów IFRAME i wyskakujących okienek, tj. aby wejść do systemu trojańskiego wystarczy wejść na stronę i przeglądać/zapisywać zdjęcia lub archiwum ZIP.

Uwaga!

Znalezione podatności nie zawsze są usuwane od razu, często są obecne od lat.

W systemie operacyjnym kod systemu Windows Wiele innych aplikacji również korzysta z Internet Explorera (Outlook Express, Windows Media Player itp.), co zwiększa prawdopodobieństwo obrażeń. Na przykład istnieje exploit JPEG, który wykorzystuje błąd w bibliotece systemowej, który występuje podczas przetwarzania plików obrazów JPEG. Ten błąd pozwala zainfekować komputer za pomocą dowolnego programu - Outlook Express lub dowolnego innego klienta poczty e-mail, który wyświetla obrazy JPEG.

Należy również zwrócić uwagę na możliwość: pasek adresu adres Internet Explorera, który nie pasuje do adresu pobranej strony (ten typ ataku nazywa się fałszowaniem adresów URL) i wyświetlanie wyskakujących okienek, które zdaniem użytkownika należą do strony przeglądanej w przeglądarce, a także modyfikowanie tytułu okno lub informacje na pasku stanu.

Według różnych źródeł to właśnie Internet Explorer jest obecnie najpopularniejszą przeglądarką internetową, ponieważ jest zintegrowany z systemem Windows. Dlatego ten program przyciągnie uwagę atakujących, którzy chcą zrealizować swoje plany, ponieważ prawdopodobieństwo, że użytkownik trafi na specjalnie stworzony zasób z Internet Explorerem pozostaje najwyższe.

Zobaczmy, co możemy powiedzieć o najsłynniejszym z darmowe przeglądarki – Mozilla Firefox 2. Znaleziono w nim 19 luk, z których cztery nie zostały naprawione. Najgroźniejszy z nich ma status mniej krytyczny (poniżej krytycznego). Wykorzystując te luki nie da się przejąć pełnej kontroli nad komputerem, atakujący może jedynie ujawnić niektóre informacje systemowe, dlatego należy uznać, że pozycja tej przeglądarki jest lepsza niż Internet Explorer.

Zatem optymalnym rozwiązaniem byłoby wykorzystanie alternatywnych aplikacji. Zamiast Internet Explorera do surfowania możesz użyć na przykład Mozilla Firefox, zamiast Outlook Express - The Bat! itp. Programy te mają lepszą sytuację bezpieczeństwa.

Należy również okresowo instalować aktualizacje i korzystać z nowych wersji programów, które naprawiają stare błędy (możliwe nowe błędy to inna sprawa). To prawda, że ​​rozmiar aktualizacji czasami sięga kilkudziesięciu megabajtów, a oprócz Internet Explorera i Windowsa inne produkty wymagają aktualizacji, dlatego ruch może być kosztowny dla budżetu. W takim przypadku powinieneś ograniczyć się przynajmniej do aktualizacji, które eliminują krytyczne błędy.

Na pewno zastanawiasz się: naprawdę, przez tyle lat nikt nie próbował sobie radzić z przepełnieniem bufora? Oczywiście, że próbowali. W końcu rozwój programów atakujących na przestrzeni kilkudziesięciu lat przerósł czysty entuzjazm i przybrał formę komercyjną, co wskazuje na rosnące niebezpieczeństwo.

Narzędzia, takie jak na przykład Stack-Guard, mają na celu zwalczanie tej luki. Został pierwotnie opracowany dla systemów Unix, ale jego odpowiednik jest obecnie używany przez Microsoft Visual Studio.NET i IBM ProPolice. Produkty Microsoft, Windows XP SP2 i Server 2003 SP1 wykorzystują DEP (Data Execution Protection), co sprawia, że ​​sekcja danych i stos są niewykonywalne, co powinno zapobiec tego typu atakom.

Niektóre procesory Intel i AMD mają specjalny bit: w Intel - XD (eXecute Disable - zakaz wykonywania), w AMD - NX (No eXecute - brak wykonania), który umożliwia sprzętową implementację obsługi DEP.

Jeśli komputer nie obsługuje stron niewykonywalnych na poziomie sprzętowym, używana jest funkcja Software-enforced DEP (wymuszona programowa DEP). Ochrona oprogramowania DEP jest wbudowana w czasie kompilacji i dlatego działa tylko w przypadku bibliotek systemowych i aplikacji obsługujących funkcję DEP.

Narzędzia te mają również wady. Podczas korzystania z technologii DEP pojawił się problem kompatybilności. Niektóre aplikacje wymagają stosu wykonywalnego (a jest ich wiele: emulatory, kompilatory, mechanizmy ochrony itp.), więc ochrona jest domyślnie włączona tylko dla procesy systemowe. Wygląd Nowa technologia zachęcił hakerów i niemal w tym samym czasie zaprezentowano metody obejścia ochrony. Atakowanie stało się trudniejsze, ale nadal możliwe.

Pozostałe opisane mechanizmy pozwalają na ochronę przed tylko jednym rodzajem przepełnienia bufora, a jest ich kilka, więc nie można tego uznać za pełnoprawną ochronę.

Chciałbym trochę uspokoić: obecność błędu nie zawsze pozwala na przeprowadzenie ataku w całości: bufor może być mały na wstrzyknięcie kodu (nie można użyć bajtów null), adresy funkcje systemowe różne wersje mogą się nie zgadzać, a osoba próbująca wykorzystać lukę musi mieć naprawdę głęboką wiedzę.

Niestety większość użytkowników często sama stwarza problemy. Na przykład przeglądarka jest często dozwolona uruchamianie javascript, ActiveX i inne kontrolki ułatwiające instalowanie oprogramowania szpiegującego. Niektórzy klienci poczty e-mail są w stanie przetwarzać i wyświetlać zawartość HTML, która umożliwia wykonanie dowolnej akcji. Z powodu nieprawidłowych ustawień programu pocztowego lub istniejących w nim błędów, podczas przeglądania treści odebranych listów, załączniki mogą otwierać się automatycznie. Czasami stosuje się następującą technikę: do wiadomości dołączany jest plik wykonywalny oraz w nagłówku MIME, który wskazuje typ przesłany plik, w terenie Typ zawartości wskazuje, że jest to rysunek. Klient poczty, próbując pobrać obraz, uruchamia plik wykonywalny.

Notatka

MIME - Multipurpose Internet Mail Extension - Internetowy standard pocztowy: kodowanie w jednej wiadomości informacji tekstowych i nietekstowych (grafika, archiwa, itp.) do przesłania przez e-mail.

Niebezpieczeństwo tkwi nie tylko w przesłanych plikach EXE. Istnieje mało znana możliwość wykonywania skryptów w plikach HLP- i CHM, a te skrypty pozwalają na uruchomienie pliki wykonywalne, więc należy uważać na niechciane wiadomości e-mail.

Jeśli wolisz korzystać z przeglądarki Internet Explorer do surfowania, ustaw poziom zabezpieczeń na wysoki. Aby to zrobić, wykonaj polecenie menu Narzędzia > Opcje internetowe, w wyświetlonym oknie przejdź do zakładki Bezpieczeństwo, Wybierz kategorię Internet, na dole okna kliknij przycisk Inne, w otwartym oknie Opcje ochrony wybierz z listy na poziom ustęp Wysoki i naciśnij przycisk ok.

Użytkownicy często pracują w Internecie z uprawnieniami administratora, odpowiednio napastnik, który uzyska dostęp do komputera poprzez np. atak na Internet Explorera, otrzyma takie same uprawnienia, dlatego do pracy w Internecie należy stworzyć osobny rachunek, nadając mu minimalne prawa.

Robak Lovesan wykorzystywał lukę w usłudze Microsoft RPC (Remote Procedure Call). I chociaż ta luka została naprawiona, jeśli nie potrzebujesz usługi DCOM (Distributed Component Object Model), lepiej ją wyłączyć wraz z innymi niepotrzebnymi usługami. Aby sprawdzić listę uruchomionych usług, wykonaj polecenie menu Start > Uruchom i w oknie Uruchomienie programu Wchodzić cmd. W wyświetlonym oknie wiersz poleceń wpisz polecenie start netto. Na ryc. 1.1 przedstawia przykładową listę uruchomionych usług.

Ryż. 1.1. Wykaz usług uruchomionych

Aby edytować listę automatycznie uruchamianych usług, uruchom polecenie Start > Panel sterowania, Wybierz kategorię Wydajność i konserwacja, następnie Administracja, a następnie kliknij etykietę Usługi. Dwukrotne kliknięcie w wybraną usługę spowoduje wyświetlenie informacji o jej przypisaniu oraz umożliwi zmianę stanu uruchomienia. Jeśli masz wątpliwości co do zapotrzebowania na usługi, możesz je stopniowo wyłączać, obserwując reakcję systemu.

W Internecie jest wystarczająca liczba przewodników, które szczegółowo opisują przeznaczenie usług systemu Windows. Jeden z nich można znaleźć na http://www.oszone.net/display.php?id=2357. Pożądane jest wyłączenie sesji zerowej, która umożliwia łączenie się z systemem Windows NT bez wprowadzania nazwy użytkownika i hasła. Dzięki włączonej sesji zerowej anonimowy użytkownik może uzyskać wiele informacji o konfiguracji systemu, które można wykorzystać w dalszych akcjach (lista zasobów udostępnionych do publicznego dostępu, lista użytkowników, grup roboczych itp.). Otwarty port 139 należy do kategorii poważnych luk w zabezpieczeniach. Aby wyłączyć sesję zerową, musisz wykonać polecenie menu Start > Uruchom i wpisz linię otwarty Komenda regedit. W kluczu rejestru HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa dla Windows 2000/XP/2003, musisz ustawić parametr restrykcyjny anonimowy oznaczający 2 (rodzaj - REG_DWORD), dla Windows NT3.5/NT4.0 – wartość 1 . Dla Windows 2000/XP/2003 w kluczu rejestru HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Usługi Lanmanserver musi być ustawiony dla parametru Ogranicz dostęp do sesji zerowej oznaczający 1 (typ parametru - REG_DWORD), a dla Windows NT3.5/NT4.0 można to zrobić w kluczu rejestru HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Usługi LanManServer Parametry. Jeśli nie ma takich parametrów, należy je utworzyć.

Po wprowadzeniu zmian musisz ponownie uruchomić komputer.

Należy również wyłączyć ukryte zasoby C$, D$, ADMIN$. Do tego jest łatwiejszy w użyciu specjalistyczne narzędzia. Na przykład program LanSafety pozwala to zrobić jednym kliknięciem (rys. 1.2).

Ryż. 1.2. Okno robocze programu LanSafety

Zaleca się użycie pliku System NTFS, co pozwoli Ci ograniczyć dostęp do zasobów Twojego komputera i skomplikować proces lokalnego włamywania się do bazy danych SAM.

Wczesne wersje Microsoft Word i Microsoft Excel, wraz z otwarciem dokumentu, automatycznie uruchamiały skrypty napisane w Język wizualny Basic for Application, co doprowadziło do zainfekowania komputera wirusami makr. Najnowsze wersje aplikacje te proszą użytkownika o potwierdzenie uruchomienia skryptów.

To nie wszystkie środki, które należy podjąć, aby poprawić poziom bezpieczeństwa pracy na komputerze. Koniecznie zainstaluj program antywirusowy, włącz zaporę sieciową i korzystaj z innych programów, które zostaną omówione w kolejnych rozdziałach.

Wśród specjalistów ds. bezpieczeństwa informacji powszechnie uważa się, że: ochrona komputera to ciągła walka z głupotą użytkowników i inteligencją hakerów. Wynika z tego, że najbardziej wrażliwym ogniwem w obronie jest osoba. Istnieją również luki w systemie, które stają się źródłem masowych epidemii (wystarczy przypomnieć sobie robaka Lovsan aka W32. Blaster, który wykorzystywał lukę w RPC DCOM). Tutaj niestety użytkownik jest bezsilny i można sobie z tym poradzić albo stale instalując wszelkiego rodzaju poprawki, albo zmieniając system operacyjny na bezpieczniejszy, a czasem nic nie uchroni przed konsekwencjami działań użytkownika.

Uwaga!

Często użytkownik staje się źródłem własnych problemów: zachowaj ostrożność podczas pracy z listami od nieznanych nadawców, korzystaj z programu antywirusowego i zapory.

Twórcy wirusów stosują te same techniki, co marketerzy, i zawsze co najmniej jedna osoba na setkę, pomimo ostrzeżeń, uzna wiadomość e-mail otrzymaną od nieznanej osoby za bezpieczną i otworzy ją, opierając się na ochronie antywirusowej. Aby osiągnąć swój cel, twórcy wirusów (a także inni oszuści, w tym ci w świecie rzeczywistym) wykorzystują ludzkie słabości:

Niewystarczające przygotowanie;

Pragnienie wyróżnienia się;

Pragnienie natychmiastowego wzbogacenia się lub zdobycia czegoś za nic;

Litość i miłosierdzie;

Pragnienie obejrzenia „ciekawych” zdjęć;

Zainteresowanie produktem, który jest potrzebny pewnej części populacji lub którego nie można uzyskać;

Zainteresowanie szybkimi metodami wzbogacania się za pomocą piramid finansowych, super pomysłów na udany biznes lub gry kasynowej typu win-win;

Zaufaj łatkom rzekomo wysyłanym użytkownikowi przez troskliwego pracownika Microsoftu.

Ostatnio zaczęły pojawiać się fałszywe raporty od pracownika firmy antywirusowej o wirusie rzekomo znalezionym w wiadomości wysłanej przez użytkownika lub o początku nowej epidemii. Aby chronić użytkownika, „życzliwy” dołącza do listu plik, za pomocą którego można usunąć tego wirusa. Po uruchomieniu tego pliku trojan zostanie zainstalowany na komputerze. Aby nie wzbudzić podejrzeń użytkownika, list często odnosi się do zupełnie innej osoby. Jednocześnie temat wiadomości może brzmieć, że „znaleziono fajną stronę, która sprzedaje tanie towary”; zdjęcia „z imprezy studenckiej” z prośbą „nie pokazywać nikomu” można dołączyć do samego listu; list może zawierać link do „bardzo potrzebnego programu” itp. Ma to na celu przekonanie odbiorcy, że list trafił do niego przypadkiem, ale informacja może go zainteresować.

Być może jedynym sposobem rozprzestrzeniania wirusów za pośrednictwem ICQ jest przesyłanie plików, więc musisz bardzo uważać na oferty pobrania pliku od osoby z zewnątrz.

System operacyjny nie zawsze jest w stanie poprawnie wyświetlić informacje o uruchamianym pliku. Domyślnie system Microsoft Windows nie wyświetla zarejestrowanych rozszerzeń nazw. W rezultacie nazwa pliku zdjęcie.jpg.exe zostanie pokazany jako zdjęcie.jpg. Aby zamaskować prawdziwą ekspansję, używa się podwójnej ekspansji, takiej jak xxx.jpg.exe(w tym przypadku może pomóc, że niektórzy serwery pocztowe odmówić pominięcia plików wykonywalnych) lub dodawana jest duża liczba spacji, co powoduje, że nazwa pliku jest niekompletna.

Rada

Włącz wyświetlanie rozszerzeń plików, uruchamiając polecenie Usługa > Opcje folderów i wyczyszczenie pola wyboru Ukryj rozszerzenie dla znanych typów plików na karcie Widok.

Osobnym zagadnieniem są ikony. Większość użytkowników nadal uważa, że ​​to ikona określa, który program uruchamiają. Kiedy klikną ikonę kalkulatora, spodziewają się, że kalkulator uruchomi się, a nie jakiś W32.Bagle-A. Jest to wykorzystywane przez atakujących: wysyłają plik z podwójnym rozszerzeniem, takim jak karta kredytowa.doc.exe oraz ikonę powszechnie używaną w dokumentach Microsoft Word. Drugie rozszerzenie jest najczęściej ukryte, a użytkownik nie ma wątpliwości, że był to dokument tekstowy przesłany pocztą.

W niedalekiej przyszłości umiejętność obsługi komputera raczej nie osiągnie poziomu, w którym będzie można zapomnieć o czynniku ludzkim, więc jedyną radą, jakiej można udzielić, jest bycie czujnym i uważnym, krytycznym wobec różnych propozycji i nieotwieraniem podejrzliwych listy.

3. Kto pisze wirusy i dlaczego?

4. Historia wirusów komputerowych - od starożytności do współczesności

4.1. Trochę archeologii

4.2. Początek drogi

4.5. Poza DOS

4.6. epidemia makrowirusów

4.7. Chronologia wydarzeń

5.Klasyfikacja wirusów komputerowych

6. Perspektywy: co wydarzy się jutro i pojutrze

6.1. Co stanie się jutro?

6.2. Co stanie się pojutrze?

Wstęp

Wirusy komputerowe. Co to jest i jak sobie z tym poradzić? Na ten temat napisano dziesiątki książek i setki artykułów, setki (lub tysiące) specjalistów w dziesiątkach (może setkach) firm zajmują się zawodowo walką z wirusami komputerowymi. Wydawać by się mogło, że ten temat nie jest tak skomplikowany i aktualny, by być obiektem tak bacznej uwagi. Jednak tak nie jest. Wirusy komputerowe były i pozostają jedną z najczęstszych przyczyn utraty informacji. Zdarzają się przypadki, gdy wirusy blokowały pracę organizacji i przedsiębiorstw. Co więcej, kilka lat temu odnotowano przypadek, gdy wirus komputerowy spowodował śmierć osoby – w jednym ze szpitali w Holandii pacjent otrzymał śmiertelną dawkę morfiny, ponieważ komputer był zainfekowany wirusem i podał niepoprawną Informacja.

Mimo ogromnych wysiłków konkurencyjnych firm antywirusowych straty spowodowane przez wirusy komputerowe nie spadają i sięgają astronomicznych wartości setek milionów dolarów rocznie. Szacunki te są wyraźnie zaniżone, ponieważ znany jest tylko ułamek takich incydentów.

Należy pamiętać, że programy i sprzęt antywirusowy nie dają pełnej gwarancji ochrony przed wirusami. Po drugiej stronie tandemu człowiek-komputer jest mniej więcej tak samo źle. Zarówno użytkownicy, jak i zawodowi programiści często nie mają nawet umiejętności „samoobrony”, a ich poglądy na temat wirusa są czasem tak powierzchowne, że lepiej byłoby, gdyby (przedstawienia) ich nie było.

Trochę lepiej jest na Zachodzie, gdzie jest więcej literatury (ukazują się aż trzy miesięczniki poświęcone wirusom i ochronie przed nimi), a wirusów mniej (bo „lewicowe” chińskie płyty niespecjalnie wchodzą na rynek), a firmy antywirusowe zachowują się bardziej aktywnie (organizując np. specjalne konferencje i seminaria dla specjalistów i użytkowników).

U nas niestety nie jest to do końca prawdą. A jedną z najmniej „rozwiniętych” pozycji jest literatura dotycząca problemów zwalczania wirusów. Do tej pory drukowane produkty antywirusowe dostępne na sklepowych półkach są albo przestarzałe, albo pisane przez laików lub autorów takich jak Khizhnyak, który jest znacznie gorszy.

Dość nieprzyjemnym momentem jest też wyprzedzająca praca rosyjskiego „podziemia komputerowego”: w ciągu zaledwie dwóch lat ukazało się kilkanaście elektronicznych numerów magazynu twórców wirusów „Infected Voice”, pojawiło się kilka stacji BBS i stron WWW, skupionych w sprawie rozprzestrzeniania się wirusów i powiązanych informacji.

Wszystko to posłużyło jako bodziec do zebrania całego materiału, który zgromadziłem przez osiem lat pracy zawodowej z wirusami komputerowymi, ich analizą oraz opracowaniem metod wykrywania i leczenia.

Jak tylko coś połknę, jak tylko

dzieje się coś ciekawego. Zobaczmy co

będzie tym razem!

Lewisa Carrolla. "Alicja w Krainie Czarów"

1. Zjawisko wirusów komputerowych

Wiek XX to niewątpliwie jeden z punktów zwrotnych w życiu ludzkości. Jak powiedział jeden z pisarzy science fiction, „ludzkość rzuciła się do przodu jak koń ostrogi”, a określiwszy siebie jako cywilizację technokratyczną, nasi dziadowie, ojcowie i my sami rzuciliśmy całą swoją siłę w rozwój technologii w jej różnych postaciach – od urządzeń medycznych po statki kosmiczne, od kombajnów rolniczych po elektrownie jądrowe, od transportu po systemy łączności – lista jest nieskończona, ponieważ niezwykle trudno jest wymienić obszar ludzkiej działalności, na który nie wpłynął rozwój technologii. // Co było przyczyną tak wielkiego i szybkiego rozwoju – militarna konfrontacja systemów politycznych, ewolucyjna „mądrość” człowieka czy jego patologiczne lenistwo (wymyślić koło, żeby nie nosić mamuta na ramionach) - jest nadal niejasne. Pozostawmy tę zagadkę historykom kolejnych stuleci.

Ludzkość jest opanowana przez technologię i raczej nie zrezygnuje z oferowanych przez nią udogodnień (niewiele osób chce zamienić nowoczesny samochód na trakcję konną). Już bardzo wielu zupełnie zapomniało o zwykłej poczcie z jej kopertami i listonoszach - zamiast niej przyszła poczta e-mail z oszałamiającą szybkością dostarczania (do kilku minut, niezależnie od odległości) i bardzo wysoką niezawodnością. Nie wyobrażam sobie istnienia nowoczesne społeczeństwo bez komputera zdolnego wielokrotnie zwiększać wydajność pracy i dostarczać wszelkich możliwych informacji (coś w rodzaju zasady „idź tam, nie wiem gdzie, znajdź to, nie wiem co”). Nie dziwi nas już telefon komórkowy na ulicy - sam się do niego przyzwyczaiłem w jeden dzień.

Wiek XX to także jeden z najbardziej kontrowersyjnych, wnoszący do historii ludzkości wiele paradoksów, z których głównym wydaje mi się związek człowieka z naturą. Przestając żyć w przyjaźni z naturą, pokonując ją i udowadniając sobie, że może ją łatwo zniszczyć, człowiek nagle zdał sobie sprawę, że sam zginie - i role w dramacie „Człowiek-Natura” zostały odwrócone. Dawniej człowiek chronił się przed naturą, ale teraz coraz bardziej chroni przyrodę przed sobą. Kolejnym fenomenem XX wieku jest stosunek człowieka do religii. Stając się technokratą, człowiek nie przestał wierzyć w Boga (lub jego analogi). Ponadto pojawiły się i umocniły inne religie.

Moim zdaniem główne zjawiska techniczne XX wieku to pojawienie się człowieka w kosmosie, wykorzystanie energii atomowej materii, ogromny postęp w systemach komunikacji i transmisji informacji oraz, oczywiście, oszałamiający rozwój mikro i komputery makr. A gdy tylko pojawia się wzmianka o fenomenie komputerów, pojawia się kolejny fenomen końca naszego stulecia - fenomen wirusów komputerowych.

Wielu może wydawać się śmieszne lub niepoważne, że fakt pojawienia się wirusów komputerowych zrównuje się z eksploracją kosmosu, jądrem atomowym i rozwojem elektroniki. Możliwe, że mylę się w swoim rozumowaniu, ale pozwól, że się wyjaśnię.

Po pierwsze, wirusy komputerowe- to poważny i dość zauważalny problem, którego wystąpienia nikt się nie spodziewał. Nawet wszechwidzący futurolodzy z przeszłości nic o tym nie mówią (o ile wiem). W ich licznych pracach z różną dokładnością przepowiadane są niemal wszystkie osiągnięcia techniczne współczesności (przypomnijmy np. Wellsa z jego pomysłem lotu z armaty na Księżyc i Marsjan uzbrojonych w rodzaj lasera). Jeśli mówimy o komputerach, to ten temat jest całkowicie dopracowany - nie ma jednak ani jednej przepowiedni poświęconej wirusom komputerowym. Temat wirusa w pracach pisarzy pojawił się po tym, jak pierwszy prawdziwy wirus trafił na swój pierwszy komputer.

Po drugie, wirusy komputerowe są pierwszą całkowicie udaną próbą stworzenia życia. Próba się udała, ale nie można powiedzieć, że jest pożyteczna - współczesne "mikroorganizmy" komputerowe przede wszystkim przypominają owadzie szkodniki, które przynoszą same kłopoty i kłopoty.

Ale martwa natura, ponieważ wirusy komputerowe mają wszystkie atrybuty życia - zdolność do reprodukcji, przystosowania do środowiska, ruchu itp. (oczywiście tylko w komputerach - tak jak wszystkie powyższe informacje dotyczą wirusów biologicznych w komórkach ciała). Ponadto istnieją wirusy „biseksualne” (patrz wirus RMNS), a przykładem „wielokomórkowości” mogą być na przykład makrowirusy składające się z kilku niezależnych makr.

I po trzecie, temat wirusów różni się nieco od wszystkich innych zadań rozwiązywanych za pomocą komputera (pomińmy tak specyficzne zadania, jak łamanie ochrony przed kopiowaniem i kryptografia). Niemal wszystkie problemy rozwiązywane za pomocą technologii komputerowej są kontynuacją celowej walki człowieka z otaczającą go przyrodą. Natura umieszcza długie nieliniowe równanie różniczkowe w trójwymiarowej przestrzeni dla osoby - człowiek napycha komputer procesorami, pamięcią, zawiesza go zakurzonymi drutami, dużo pali i w końcu rozwiązuje to równanie (lub jest pewny siebie że zdecydował). Natura daje człowiekowi kawałek drutu o ściśle określonych cechach – człowiek wymyśla algorytmy, które przekazują nim jak najwięcej informacji, dręczy go modulacjami, kompresuje bajty na bity i cierpliwie czeka na nadprzewodnictwo w temperaturze pokojowej. Natura (reprezentowana przez IBM) daje osobie kolejne ograniczenie w postaci kolejnej wersji IBM PC - a osoba nie śpi w nocy, znowu dużo pali, optymalizując kody kolejnej bazy danych, aby zmieścić ją w udostępnionych mu zasobów pamięci RAM i pamięci dyskowej. Itp.

Ale walka z wirusami komputerowymi to walka człowieka z ludzkim umysłem (w pewnym sensie to także przejaw sił natury, choć na ten temat jest więcej niż jedna opinia). Ta walka jest walką umysłów, ponieważ zadania stojące przed wirusologami są wyznaczane przez te same osoby. Wymyślają nowego wirusa - a my sobie z tym radzimy. Potem wymyślają wirusa, który jest bardzo trudny do rozszyfrowania - ale sobie z tym radzimy. A teraz gdzieś facet, który nie jest głupszy ode mnie, prawdopodobnie siedzi przy komputerze, cierpiąc na innego potwora, o którym będę musiał wymyślać przez cały tydzień, a potem debugować algorytm antywirusowy przez kolejny tydzień. Przy okazji, dlaczego nie ewolucja żywych organizmów?

Pojawienie się wirusów komputerowych jest więc jednym z najciekawszych momentów w historii postępu technologicznego XX wieku, a czas ten zakończył się niemal filozoficznym rozumowaniem i przejdź do konkretne problemy. A pytanie o zdefiniowanie terminu „wirus komputerowy” pojawi się na pierwszym miejscu.

Czym więc jest wirus komputerowy?

Na górze jest dyskietka

Ma zepsutą butelkę

Przez otwór w kopercie

Jej wirusy gryzą

(folklor)

2. Co to jest wirus komputerowy

Istnieje kilka wyjaśnień, czym jest wirus komputerowy. Najprostszym wyjaśnieniem jest domowe wyjaśnienie dla gospodyni domowej, która nigdy w życiu nie widziała komputera, ale wie, że istnieje i że znajdują się w nim wirusy. To wyjaśnienie jest dość proste, co nie ma miejsca w przypadku drugiego wyjaśnienia, które jest przeznaczone dla inżyniera oprogramowania. Nie mogę jeszcze podać dokładnej definicji wirusa komputerowego i nakreślić wyraźną granicę między programami w oparciu o zasadę „wirus – nie-wirus”.

2.1. Wyjaśnienie dla gospodyni domowej

Wyjaśnienie zostanie podane na przykładzie urzędnika, który pracuje wyłącznie z papierami. Pomysł takiego wyjaśnienia należy do D.N. Lozinsky'ego, jednego z najsłynniejszych „lekarzy”.

Wyobraź sobie schludnego urzędnika, który przychodzi do pracy w swoim biurze i codziennie znajduje na swoim biurku stos kartek z listą zadań, które musi wykonać w ciągu dnia pracy. Urzędnik bierze górną kartkę, odczytuje polecenia przełożonych, wykonuje je punktualnie, wyrzuca „zużytą” kartkę do kosza i przechodzi do kolejnej kartki. Załóżmy, że intruz zakrada się do biura i kładzie kartkę na stosie papierów, na którym jest napisane:

„Przepisz ten arkusz dwa razy i umieść kopie w stosie zadań sąsiadów”

Co zrobi urzędnik? Przepisz arkusz dwukrotnie, połóż go na stole sąsiadów, zniszcz oryginał i przystąp do wykonania drugiego arkusza ze stosu, czyli nadal wykonują swoją prawdziwą pracę. Co zrobią sąsiedzi, ci sami schludni urzędnicy, gdy znajdą nowe zadanie? Tak samo jak pierwszy: przepiszą go dwukrotnie i rozdadzą innym urzędnikom. W sumie w biurze krążą już cztery kopie oryginalnego dokumentu, które nadal będą kopiowane i rozprowadzane na inne tabele.

Wirus komputerowy działa w bardzo podobny sposób, tylko programy są stosami instrukcji, a komputer jest urzędnikiem. Tak jak urzędnik, komputer dokładnie wykonuje wszystkie polecenia programu (arkusze zadań), zaczynając od pierwszego. Jeśli pierwsze polecenie brzmi jak „skopiuj mnie do dwóch innych programów”, komputer właśnie to zrobi – a polecenie wirusa dostanie się do dwóch innych programów. W miarę jak komputer wykonuje inne „zainfekowane” programy, wirus rozprzestrzenia się coraz dalej po całym komputerze w ten sam sposób.

W powyższym przykładzie dotyczącym urzędnika i jego biura wirus liścia nie sprawdza, czy następny folder zadań jest zainfekowany, czy nie. W takim przypadku do końca dnia roboczego w kancelarii takie odpisy będą zaśmiecone, a urzędnicy tylko przepiszą ten sam tekst i rozdadzą go sąsiadom – wszak pierwszy urzędnik sporządzi dwa odpisy, następny ofiar wirusa będą już cztery, potem 8, 16, 32 , 64 itd., czyli liczba kopii będzie każdorazowo podwajana.

Jeśli urzędnik poświęci 30 sekund na przepisywanie jednej strony i kolejne 30 sekund na rozprowadzanie kopii, to w ciągu godziny ponad 1 000 000 000 000 000 000 kopii wirusa będzie „wędrować” po biurze! Najprawdopodobniej oczywiście zabraknie papieru, a rozprzestrzenianie się wirusa zostanie zatrzymane z tak banalnego powodu.

Jak na ironię (choć nie było to wcale zabawne dla uczestników tego incydentu), taki przypadek miał miejsce w 1988 roku w Ameryce - kilka globalnych sieci transmisji informacji okazało się przepełnionych kopiami wirusa sieciowego (wirus Morris), który się rozesłał z komputera na komputer. Dlatego „prawidłowe” wirusy robią to:

„Przepisz ten arkusz dwa razy i umieść kopie w stosie zadań sąsiadów, jeśli nie mają jeszcze tego arkusza”.

Problem rozwiązany - nie ma "przeludnienia", ale każdy stos zawiera kopię wirusa, a urzędnicy mają jeszcze czas na normalną pracę.

"Ale co z niszczeniem danych?" - zapyta dobrze wykształcona gospodyni domowa. Wszystko jest bardzo proste - po prostu dodaj coś takiego do arkusza:

„1. Przepisz ten arkusz dwa razy i umieść kopie w stosie zadań sąsiadów, jeśli nie mają jeszcze tego arkusza.

2. Spójrz na kalendarz – jeśli dziś jest piątek, 13-go, wyrzuć wszystkie dokumenty do kosza”

To mniej więcej to, co robi dobrze znany wirus „Jerusalem” (inna nazwa to „Time”).

Nawiasem mówiąc, posługując się przykładem urzędnika, jest bardzo jasne, dlaczego w większości przypadków nie można dokładnie określić, skąd pochodzi wirus w komputerze. Wszyscy urzędnicy mają te same (aż do pisma odręcznego) KOPIE, ale oryginał z pismem napastnika od dawna leży w śmietniku!

Oto proste wyjaśnienie działania wirusa. Dodatkowo chciałbym dodać do tego dwa aksjomaty, które, co dziwne, nie są oczywiste dla wszystkich:

Po pierwsze, wirusy nie pojawiają się same - są tworzone przez bardzo złych i złych programistów hakerskich, a następnie wysyłane przez sieć danych lub rzucane na komputery znajomych. Wirus nie może pojawić się na twoim komputerze sam - albo został przesunięty na dyskietkę, albo nawet na płytę CD, albo przypadkowo pobrałeś go z komputerowej sieci danych, albo wirus żył w twoim komputerze od samego początku, lub (co to jest najgorszy) programista-hacker mieszka w twoim domu.

Po drugie wirusy komputerowe infekują tylko komputer i nic więcej, więc nie ma się czego obawiać – nie są przenoszone przez klawiaturę i myszkę.

2.2. Próba podania „normalnej” definicji

Pierwsze badania samorozmnażających się sztucznych struktur przeprowadzono w połowie tego stulecia. W pracach von Neumanna, Wienera i innych autorów podana jest definicja i przeprowadzana jest matematyczna analiza automatów skończonych, w tym samoodtwarzających się. Termin „wirus komputerowy” pojawił się później – oficjalnie uważa się, że po raz pierwszy został użyty przez pracownika Uniwersytetu Lehigh (USA) F. Cohena w 1984 r. na VII konferencji poświęconej bezpieczeństwu informacji, która odbyła się w USA. Od tego czasu minęło dużo czasu, powaga problemu wirusów wzrosła wielokrotnie, ale nie podano ścisłej definicji, czym jest wirus komputerowy, mimo że podjęto próby podania takiej definicji wielokrotnie.

Główną trudnością, która pojawia się przy próbie podania ścisłej definicji wirusa, jest to, że prawie wszystkie cechy wyróżniające wirusa (wprowadzanie do innych obiektów, tajność, potencjalne niebezpieczeństwo itp.) są albo nieodłączne od innych programów, które w żaden sposób nie są wirusy lub istnieją wirusy, które nie posiadają powyższych cech charakterystycznych (z wyjątkiem możliwości rozpowszechniania).

Na przykład, jeśli za cechę wyróżniającą wirusa uważa się ukrycie, łatwo jest podać przykład wirusa, który nie ukrywa swojego rozprzestrzeniania się. Taki wirus, przed zainfekowaniem jakiegokolwiek pliku, wyświetla komunikat informujący, że na komputerze jest wirus i ten wirus jest gotowy do zainfekowania następnego pliku, a następnie wyświetla nazwę tego pliku i prosi użytkownika o zgodę na wstrzyknięcie wirusa do plik.

Jeżeli jako wyróżnik wirusa podana jest zdolność do niszczenia programów i danych na dyskach, to jako kontrprzykład dla tego wyróżnika można przytoczyć dziesiątki zupełnie nieszkodliwych wirusów, które poza rozmieszczeniem niczym się nie różnią w przeciwnym razie.

Główna cecha wirusów komputerowych - możliwość ich spontanicznego wprowadzenia do różnych obiektów systemu operacyjnego - jest nieodłączna w wielu programach, które nie są wirusami. Na przykład najpopularniejszy system operacyjny MS-DOS ma wszystko, co niezbędne, aby samoistnie zainstalować się na dyskach innych niż DOS.Aby to zrobić, wystarczy zapisać plik AUTOEXEC.BAT na dyskietce startowej zawierającej DOS o następującej zawartości:

Zmodyfikowany w ten sposób sam DOS stanie się prawdziwym wirusem pod względem prawie każdej istniejącej definicji wirusa komputerowego.

Tak więc pierwszym z powodów, które nie pozwalają na dokładną definicję wirusa, jest niemożność jednoznacznego odróżnienia charakterystycznych cech, które odpowiadałyby tylko wirusom.

Druga trudność, która pojawia się przy formułowaniu definicji wirusa komputerowego, polega na tym, że: ta definicja musi być powiązany z konkretnym systemem operacyjnym, w którym ten wirus jest rozpowszechniany. Na przykład teoretycznie mogą istnieć systemy operacyjne, w których obecność wirusa jest po prostu niemożliwa. Przykładem może być system, w którym zabronione jest tworzenie i modyfikowanie obszarów kodu wykonywalnego, tj. zabronione jest modyfikowanie obiektów, które już działają lub mogą być uruchamiane przez system w dowolnych warunkach.

Dlatego wydaje się możliwe tylko sformułowanie wymagany warunek aby jakaś sekwencja kodu wykonywalnego była wirusem.

OBOWIĄZKOWA (KONIECZNA) WŁAŚCIWOŚĆ WIRUSA KOMPUTEROWEGO to możliwość tworzenia własnych duplikatów (niekoniecznie identycznych z oryginałem) i wstrzykiwania ich do sieć komputerowa i/lub pliki, obszary systemu komputerowego i inne obiekty wykonywalne. Jednocześnie duplikaty zachowują możliwość dalszej dystrybucji.

Należy zauważyć, że warunek ten nie jest wystarczający (tj. ostateczny), ponieważ, zgodnie z powyższym przykładem, system operacyjny MS-DOS spełnia tę właściwość, ale najprawdopodobniej nie jest wirusem.

Dlatego nadal nie ma dokładnej definicji wirusa i jest mało prawdopodobne, że pojawi się ona w przewidywalnej przyszłości. Dlatego nie ma precyzyjnie zdefiniowanego prawa, według którego „dobre” pliki można odróżnić od „wirusów”. Co więcej, czasami nawet dla konkretnego pliku dość trudno jest określić, czy jest to wirus, czy nie.

Oto dwa przykłady: wirus KOH i program ALREADY.COM.

Przykład 1. Czy istnieje... wirus? pożytek? o nazwie KOH. Ten program szyfruje/odszyfrowuje dyski tylko na żądanie użytkownika. Jest zrobiony w formie dyskietki startowej - sektor startowy zawiera program ładujący KOH, a gdzieś w innych sektorach znajduje się główny kod KOH. Podczas uruchamiania z dyskietki KOH zadaje użytkownikowi pytanie typu: „Czy mogę zainstalować się na dysku twardym?” (jeśli jest już na twardym dysku, pyta o to samo o dyskietkę). Jeśli tak, KOH przenosi się z dysku na dysk.

W rezultacie KOH przenosi się (kopiuje) z dyskietki na dysk twardy, a z dysku twardego na dyskietki, ale tylko za zgodą właściciela komputera.

Następnie KOH wyświetla tekst o swoich klawiszach skrótu (klucze „hot”), za pomocą których szyfruje/odszyfrowuje dyski – prosi o hasło, odczytuje sektory, szyfruje je i czyni niedostępnymi, jeśli nie znasz hasła. Przy okazji ma klucz dezinstalacyjny, za pomocą którego usuwa się z dysku (po odszyfrowaniu oczywiście wszystkiego, co zostało zaszyfrowane).

W sumie KOH jest rodzajem narzędzia do ochrony informacji przed nieautoryzowanym dostępem. Dodano jednak jedną funkcję: to narzędzie może kopiować się z dysku na dysk (za zgodą użytkownika). Czy to wirus?... Tak czy nie? Najprawdopodobniej nie...

I wszystko byłoby w porządku i nikt nie nazwałby tego narzędzia o nazwie KOH wirusem, ale tylko program ładujący ten KOH prawie w 100% pokrywa się z dość „popularnym” wirusem „Havoc” („StealthBoot”) ... ”i wszystko - i okładka na wakacje. Wirus! A oficjalna nazwa to - "StealthBoot.KOH".

Przykład 2. Istnieje pewien program ALREADY.COM, który kopiuje się do różnych podkatalogów na dysku w zależności od daty systemowej. Wirus? Oczywiście tak - typowy wirus-robak, który rozprzestrzenia się na dyskach (w tym sieciowych). Tak tak!

"Grałeś - ale nie odgadłeś ani jednej litery!" Nie jest to wirus, jak się okazało, ale składnik jakiegoś oprogramowania. Jeśli jednak ten plik zostanie usunięty z tego oprogramowania, zachowuje się jak typowy wirus.

W sumie podano dwa przykłady na żywo:

1. nie-wirus - wirus

2. wirus nie jest wirusem

Uważny czytelnik, który nie jest przeciwny kłótni, może sprzeciwić się:

Zatrzymać. Nazwa „wirusy” w odniesieniu do programów wywodzi się z biologii właśnie na podstawie samoreprodukcji. KOH spełnia ten warunek, dlatego jest wirusem (lub kompleksem zawierającym składnik wirusowy) ...

W tym przypadku DOS jest wirusem (lub kompleksem zawierającym składnik wirusa), ponieważ zawiera polecenia SYS i COPY. A jeśli na dysku znajduje się plik AUTOEXEC.BAT, biorąc pod uwagę kilka akapitów powyżej, to nawet interwencja użytkownika nie jest wymagana do odtwarzania. Dodatkowo, jeśli przyjmiemy możliwość samoreplikacji jako konieczny i wystarczający znak wirusa, to każdy program, który ma instalatora, jest wirusem. Razem: argument nie przechodzi.

Co jeśli przez wirusa rozumiemy nie tylko „samopowielający się kod”, ale „samoreplikujący się kod, który nie wykonuje użytecznych działań lub nawet wyrządza szkodę, bez angażowania/informowania użytkownika”…

Wirus KOH to program, który szyfruje dyski hasłem wprowadzonym przez użytkownika. _Wszystkie_ jego działania KOH komentuje na ekranie i pyta użytkownika o zgodę. Dodatkowo ma dezinstalator - odszyfrowuje dyski i usuwa z nich swój kod. Jednak to wciąż wirus!

Jeśli w przypadku ALREADY.COM w grę wchodzą kryteria subiektywne (przydatne / nieprzydatne, zawarte w zestawie / niezależne itp.), to być może nie należy tego nazywać wirusem / robakiem. Ale czy warto brać pod uwagę te bardzo subiektywne kryteria?

Jakie są obiektywne kryteria wirusa? Samoreprodukcja, tajemnica i destrukcyjne właściwości? Ale przecież dla każdego obiektywnego kryterium można podać dwa kontrprzykłady - a) przykład wirusa, który nie pasuje do kryterium, oraz b) przykład wirusa innego niż wirus, który spełnia kryterium:

Samoreprodukcja:

1. Zamierzone wirusy, które nie mogą się replikować z powodu dużej liczby błędów lub replikują się tylko w bardzo ograniczonych warunkach.

2. MS-DOS i wariacje na SYS+COPY.

Podstęp:

1. Wirusy „KOH”, „VirDem”, „Macro.Word.Polite” i niektóre inne informują użytkownika o ich obecności i reprodukcji.

2. W przybliżeniu, ile (do kilkunastu) sterowników pracuje pod standardowym Windows95? Nawiasem mówiąc, potajemnie siedzi.

Właściwości niszczące:

1. Nieszkodliwe wirusy, takie jak „Yankee”, które doskonale żyją w DOS, Windows 3.x, Win95, NT i nigdzie niczego nie psują.

2. Starsze wersje Norton Disk Doctor"a na dysku z długimi nazwami plików. Uruchomienie NDD w tym przypadku zmienia Disk Doctor"a w Disk Destroyer"a.

Dlatego temat „normalnej” definicji wirusa komputerowego pozostaje otwarty. Jest tylko kilka dokładnych kamieni milowych: na przykład plik COMMAND.COM nie jest wirusem, ale niesławny program z tekstem „Dis is one half” jest wirusem 100% („OneHalf”). Wszystko pomiędzy może, ale nie musi być wirusem.

Nie ekscytuj się, Shura, jeszcze nie skończyłeś czasu na ostatnią sprawę.

od Żwaneckiego

3. Kto pisze wirusy i dlaczego?

Sam nie zajmowałem się pisaniem wirusów, rzadko spotykam się z ich autorami, dlatego moje przemyślenia na ten temat mogą być czysto teoretyczne.

Więc kto pisze wirusy? Moim zdaniem większość z nich jest tworzona przez uczniów i uczniów, którzy dopiero nauczyli się języka asemblerowego, chcą spróbować swoich sił, ale nie mogą znaleźć dla nich bardziej godnego zastosowania. Cieszy fakt, że znaczna część takich wirusów często nie jest rozpowszechniana przez ich autorów, a wirusy po pewnym czasie „giną” wraz z dyskietkami, na których są przechowywane. Takie wirusy są najprawdopodobniej pisane tylko do autoafirmacji.

Druga grupa to także młodzi ludzie (częściej studenci), którzy nie opanowali jeszcze w pełni sztuki programowania, ale już postanowili poświęcić się pisaniu i rozpowszechnianiu wirusów. Jedynym powodem popychania takich ludzi do pisania wirusów jest kompleks niższości, który przejawia się w komputerowym chuligaństwie.

Z pióra takich „rzemieślników” często wychodzą albo liczne modyfikacje „klasycznych” wirusów, albo bardzo prymitywne wirusy z dużą liczbą błędów (ja takie wirusy nazywam „studenckimi”). Życie takich twórców wirusów stało się znacznie łatwiejsze po wydaniu konstruktorów wirusów, za pomocą których można tworzyć nowe wirusy nawet przy minimalnej znajomości systemu operacyjnego i asemblerze, a nawet nie mając o tym żadnego pojęcia. Ich życie stało się jeszcze łatwiejsze po pojawieniu się makrowirusów, ponieważ zamiast skomplikowanego języka asemblera, wystarczy nauczyć się dość prostego BASICa do pisania makrowirusów.

Wielu z tych twórców wirusów, którzy stali się starsi i bardziej doświadczeni, ale nigdy nie dojrzeli, należy do trzeciej, najniebezpieczniejszej grupy, która tworzy i uwalnia na świat „profesjonalne” wirusy. Te bardzo starannie zaprojektowane i dopracowane programy tworzone są przez profesjonalnych, często bardzo utalentowanych programistów. Takie wirusy często wykorzystują dość oryginalne algorytmy, nieudokumentowane i mało znane sposoby penetracji obszarów danych systemowych. Wirusy „profesjonalne” są często tworzone przy użyciu technologii ukrywania się i (lub) są wirusami polimorficznymi, które infekują nie tylko pliki, ale także sektory rozruchowe dysków, a czasami pliki wykonywalne systemu Windows i OS/2.

Dość znaczną część mojej kolekcji zajmują „rodziny” – grupy kilku (czasem kilkunastu) wirusów. Przedstawicieli każdej z tych grup można wyróżnić jedną charakterystyczną cechą, zwaną „pismem odręcznym”: kilka różnych wirusów zawiera te same algorytmy i techniki programowania. Często wszyscy lub prawie wszyscy członkowie rodziny należą do tego samego autora, a czasem całkiem zabawne jest śledzenie „rozwoju pióra” takiego artysty – od niemal „studenckich” prób stworzenia przynajmniej czegoś, co wygląda jak wirus , do w pełni funkcjonalnej implementacji „profesjonalnego” wirusa.

Moim zdaniem powód zmuszania takich ludzi do kierowania swoich umiejętności na tak bezsensowną pracę jest wciąż ten sam – kompleks niższości, czasami połączony z niezrównoważoną psychiką. Wskazuje to, że takie pisanie wirusów często łączy się z innymi uzależnieniami. Tak więc wiosną 1997 roku jeden z najsłynniejszych na świecie autorów wirusów, Talon (Australia), zmarł w wieku 21 lat od śmiertelnej dawki heroiny.

Nieco odrębnie wyróżnia się czwarta grupa autorów wirusów – „badacze”. Ta grupa składa się z całkiem sprytnych programistów, którzy wymyślają zupełnie nowe metody infekcji, ukrywania, przeciwdziałania antywirusom itp. Wymyślają również sposoby na wprowadzenie ich do nowych systemów operacyjnych, konstruktorów wirusów i generatorów polimorficznych. Ci programiści piszą wirusy nie ze względu na same wirusy, ale raczej w celu „eksploracji” potencjału „fauny komputerowej”.

Często autorzy takich wirusów nie stosują swoich wytworów w praktyce, ale aktywnie promują swoje pomysły poprzez liczne publikacje elektroniczne poświęcone tworzeniu wirusów. Jednocześnie nie ma niebezpieczeństwa związanego z takimi „badawczymi” wirusami – wpadając w ręce „profesjonalistów” z trzeciej grupy, nowe pomysły są bardzo szybko wdrażane w nowych wirusach.

Mój stosunek do twórców wirusów jest trojaki. Po pierwsze, każdy kto pisze wirusy lub przyczynia się do ich dystrybucji jest „żywicielem” branży antywirusowej, której roczny obrót szacuję na co najmniej dwieście milionów dolarów lub nawet więcej (i nie zapominajmy, że straty poniesione przez wirusy do kilkuset milionów dolarów rocznie i wielokrotnie więcej niż koszt programów antywirusowych). Jeśli całkowita liczba wirusów prawdopodobnie osiągnie 20 000 do końca 1997 r., to łatwo obliczyć, że firmy antywirusowe zarabiają co najmniej 10 000 USD rocznie na każdym wirusie. Oczywiście autorzy wirusów nie powinni polegać na nagrodach materialnych: jak pokazuje praktyka, ich praca była i pozostaje bezpłatna. Ponadto, obecnie podaż (nowe wirusy) całkiem zaspokaja popyt (zdolność firm antywirusowych do przetwarzania nowych wirusów).

Po drugie, żal mi autorów wirusów, zwłaszcza „profesjonalistów”. Rzeczywiście, aby napisać takiego wirusa, konieczne jest: a) poświęcenie sporo wysiłku i czasu, i znacznie więcej niż potrzeba, aby zrozumieć wirusa, wprowadzić go do bazy danych lub nawet napisać specjalny program antywirusowy ; oraz b) nie mieć innego, bardziej atrakcyjnego zajęcia. W związku z tym twórcy wirusów – „profesjonaliści” są dość pracowici, a jednocześnie trudzą się z lenistwa – sytuacja wydaje mi się bardzo smutna.

Ciężkie i brzydkie

Życie prostego programisty

(folklor)

Nasza całka nie ma granic.

(mądrość ludowa)

4. Historia wirusów komputerowych - od starożytności do współczesności

4.1. Trochę archeologii

Istnieje wiele opinii na temat daty narodzin pierwszego wirusa komputerowego. Jedyne, co wiem na pewno, to to, że maszyna Babbage'a go nie miała, ale Univac 1108 i IBM-360/370 już go miały („Przenikające zwierzę” i „Choinka”). Tak więc pierwszy wirus pojawił się gdzieś na samym początku lat 70., a nawet pod koniec lat 60., choć nikt jeszcze nie nazwał go „wirusem”. Proponuję uznać tę rozmowę o wymarłych skamielinach za zakończoną.

4.2. Początek drogi

Porozmawiajmy o najnowszej historii: „Mózg”, „Wiedeń”, „Kaskada” i nie tylko. Ci, którzy rozpoczęli pracę nad IBM-PC już w połowie lat 80-tych, nie zapomnieli jeszcze o epidemii tych wirusów w latach 1987-89. Na ekrany padały listy, a tłumy użytkowników rzuciły się do specjalistów od naprawy wyświetlaczy (teraz sytuacja jest odwrotna: dysk twardy umarł ze starości, a obwiniają o to wirusa nieznanego zaawansowanej nauce). Potem komputer odtworzył zagraniczny hymn „Yankee Doodle”, ale nikt nie pospieszył z naprawą głośników - szybko zorientowali się, że to wirus, a nie tylko jeden, ale tuzin.

Więc wirusy zaczęły infekować pliki. Wirus „Mózg” i kula wirusa „Ping-pong” przeskakująca po ekranie oznaczały również zwycięstwo wirusa nad sektorem rozruchowym. Wszystko to nie podobało się użytkownikom IBM-PC i pojawiły się antidota. Pierwszym antywirusem, z jakim się zetknąłem, był krajowy ANTI-KOT: to legendarny Oleg Kotik wydał pierwsze wersje swojego programu, który zniszczył aż 4 (cztery) wirusy (nieco później w naszym kraju pojawił się amerykański SCAN) . Nawiasem mówiąc, wszystkim, którzy wciąż mają kopię tego antywirusa, sugeruję, aby natychmiast go usunąć (niech Oleg Kotik mi wybaczy!) Jako szkodliwy program i nic poza stratą dodatkowych nerwów i niepotrzebnych telefonów, które nie przynieść. Niestety, ANTI-KOT wykrywa wirusa „Time” („Jerusalem”) przez kombinację „MsDos” na końcu pliku, a niektóre inne programy antywirusowe ostrożnie dołączają te same litery do wszystkich plików z rozszerzeniem COM lub EXE.

Należy zauważyć, że historie podboju Rosji i Zachodu przez wirusy różnią się od siebie. Pierwszym wirusem, który szybko rozprzestrzenił się na Zachodzie, był wirus rozruchowy „Mózg”, a dopiero wtedy pojawiły się wirusy plikowe „Vienna” i „Cascade”. W Rosji, przeciwnie, wirusy plikowe pojawiły się po raz pierwszy, a wirusy rozruchowe pojawiły się rok później.

Minął czas, mnożyły się wirusy. Wszystkie były trochę do siebie podobne, wspinały się do pamięci, przywierały do ​​plików i sektorów, okresowo zabijały pliki, dyskietki i dyski twarde. Jednym z pierwszych "rewelacji" był wirus "Frodo.4096" - pierwszy znany mi wirus ukrywający pliki. Wirus ten przechwycił przerwanie 21h i podczas dostępu do zainfekowanych plików przez DOS zmienił informacje w taki sposób, że plik pojawił się przed użytkownikiem w postaci niezainfekowanej. Ale był to tylko dodatek wirusowy do systemu MS-DOS. Niecały rok później elektroniczne karaluchy wpełzły do ​​jądra DOS (niewidzialny wirus „Beast.512”). Idea niewidzialności przyniosła dalsze owoce: latem 1991 roku wirus „Dir_II” przetoczył się przez komputery jak dżuma dymienicza. "Tak-a-a!" powiedział każdy, kto się w to zagłębił.

Ale poradzenie sobie z niewidzialnymi było dość proste: wyczyściłem RAM - i bądź spokojny, poszukaj drania i wylecz go do zdrowia. Więcej kłopotów przyniosły wirusy samoszyfrujące, które czasami znajdują się w kolejnych przybyciach do kolekcji. Rzeczywiście, aby je zidentyfikować i usunąć, konieczne było napisanie specjalnych podprogramów i ich debugowanie. Ale nikt wtedy nie zwracał na to uwagi, aż do… Aż pojawiła się nowa generacja wirusów, tak zwanych wirusów polimorficznych. Wirusy te mają inne podejście do niewidzialności: szyfrują (w większości przypadków) i używają poleceń w deszyfratorze, których nie można powtórzyć podczas infekowania różnych plików.

4.3. Polimorfizm - mutacja wirusów

Pierwszy wirus polimorficzny pojawił się na początku lat 90-tych – „Kameleon”, ale problem wirusów polimorficznych stał się naprawdę poważny dopiero rok później – w kwietniu 1991 roku, kiedy niemal cały świat ogarnęła epidemia wirusa polimorficznego „Tequila” ( O ile mi wiadomo, ta epidemia praktycznie nie dotknęła Rosji, a pierwsza rosyjska epidemia wywołana wirusem polimorficznym miała miejsce trzy lata później - w roku 1994 był to wirus „Phantom1”.

Popularność idei samoszyfrujących wirusów polimorficznych zaowocowała pojawieniem się generatorów kodu polimorficznego – na początku 1992 roku pojawił się słynny wirus „Dedicated”, oparty na pierwszym znanym generatorze polimorficznym MtE i otwierający serię wirusów MtE, i po dość krótkim czasie pojawił się sam generator polimorficzny. Jest to moduł obiektowy (plik OBJ), a teraz, aby uzyskać polimorficznego mutanta z najzwyklejszego niezaszyfrowanego wirusa, wystarczy połączyć ich moduły obiektowe - plik OBJ generatora polimorficznego i plik OBJ od wirusa. Teraz autor wirusa, jeśli chce stworzyć prawdziwego wirusa polimorficznego, nie będzie musiał ślęczeć nad kodami własnego kodu/dekodera. W razie potrzeby może podłączyć do swojego wirusa generator polimorficzny i wywołać go z kodów wirusa.

Na szczęście pierwszy wirus MtE nie dostał się do „dzikiej przyrody” i nie wywołał epidemii, a twórcy programów antywirusowych mieli zatem trochę czasu na przygotowanie się do odparcia nowej plagi.

Już rok później produkcja wirusów polimorficznych stała się już „rzemiosłem”, a w 1993 roku nastąpił ich „upadek”. Wśród wirusów wchodzących do kolekcji rośnie udział samoszyfrujących wirusów polimorficznych. Wydaje się, że jednym z głównych kierunków w trudnym zadaniu tworzenia wirusów jest rozwój i debugowanie mechanizmu polimorficznego, a konkurencja między autorami wirusów nie dotyczy tego, który z nich pisze najfajniejszego wirusa, ale czyj mechanizm polimorficzny okazuje się być najzimniejszy.

To daleko od pełna lista te, które można nazwać 100% polimorficznymi (koniec 1993):

Bootache, CivilWar (cztery wersje), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Montezuma (dwie wersje), MVF, Necros, Nukehard, PcFly (trzy wersje), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Urugwaj (osiem wersji).

Aby wykryć te wirusy, należy użyć specjalnych metod, które obejmują emulację wykonania kodu wirusa, algorytmy matematyczne do odzyskiwania kodu i sekcji danych w wirusie itp. Kilkanaście nowych wirusów można przypisać polimorfikom innym niż 100% (tj. takim, które same się szyfrują, ale w deszyfratorze wirusów zawsze znajdują się stałe bajty):

Basilisk, Daemaen, Invisible (dwie wersje), Mirea (kilka wersji), Rasek (trzy wersje), Sarov, Scoundrel, Seat, Silly, Simulation.

Jednak wymagają one również odszyfrowania kodu w celu wykrycia i odzyskania zaatakowanych obiektów, ponieważ długość stałego kodu w deszyfratorze tych wirusów jest zbyt mała.

Równolegle z wirusami polimorficznymi opracowywane są generatory polimorficzne. Pojawia się kilka nowych, wykorzystujących bardziej złożone metody generowania kodu polimorficznego, są one dystrybuowane do stacji BBS w postaci archiwów zawierających moduły obiektowe, dokumentację i przykłady użycia. Pod koniec 1993 roku znanych było już siedem polimorficznych generatorów kodu. Ten:

MTE 0.90 (Mutation Engine), cztery różne wersje TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel's Multiple Encryptor)

Od tego czasu nowe generatory polimorficzne pojawiały się kilka razy w roku i nie ma sensu podawać ich pełnej listy.

4.4. Automatyzacja fabryki i konstruktorzy wirusów

Lenistwo to siła napędowa postępu. Ta ludowa mądrość nie wymaga komentarza. Jednak dopiero w połowie 1992 r. postęp w postaci automatyzacji przemysłowej dotarł do wirusów. 5 lipca 1992 roku ogłoszono, że pierwszy konstruktor kodu wirusa dla komputerów kompatybilnych z IBM-PC, pakiet VCL (Virus Creation Laboratory) w wersji 1.00, został ogłoszony.

Ten konstruktor umożliwia generowanie źródłowych i dobrze komentowanych tekstów wirusów (plików zawierających tekst asemblera), modułów obiektów i bezpośrednio zainfekowanych plików. VCL jest wyposażony w standardowy interfejs okienkowy. Korzystając z systemu menu, możesz wybrać typ wirusa, obiekty, których dotyczy problem (COM i / lub EXE), obecność lub brak samoszyfrowania, odporność na debugger, wewnętrzne linie tekstu, podłączyć do dziesięciu efektów towarzyszących działanie wirusa itp. Wirusy mogą korzystać ze standardowego sposobu infekowania plików na swoich końcach lub pisać się zamiast plików, niszcząc ich oryginalną zawartość, lub mogą być wirusami satelitarnymi (termin międzynarodowy to wirusy towarzyszące).

I wszystko natychmiast stało się znacznie prostsze: jeśli chcesz skrzywdzić sąsiada - usiądź w VCL i po 10-15 minutach, po zhakowaniu 30-40 różnych wirusów, uruchom je na komputerze (ach) wroga. Każdy komputer - osobny wirus!

Ponadto. 27 lipca pojawiła się pierwsza wersja konstruktora PS-MPC (Phalcon/Skism Mass-Produced Code Generator). Ten konstruktor nie zawiera interfejsu okienkowego i generuje teksty źródłowe wirusów z pliku konfiguracyjnego. Ten plik zawiera opis wirusa: typ zaatakowanych plików (COM lub EXE); rezydencja (PS-MPC tworzy również wirusy rezydentne, na co nie pozwala konstruktor VCL); jak zainstalować rezydentną kopię wirusa; umiejętność korzystania z samoszyfrowania; możliwość pokonania COMMAND.COM i wiele innych przydatnych informacji.

W oparciu o PS-MPC stworzono konstruktor G2 (Phalcon/Skism's G2 0.70 beta), który obsługuje standardowe pliki konfiguracyjne PS-MPC, ale wykorzystuje duża ilość opcje kodowania dla tych samych funkcji.

Wersja G2 którą posiadam jest oznaczona jako pierwsza ze stycznia 1993 roku. Podobno autorzy G2 spędzili Sylwestra przy komputerach. Byłoby lepiej, gdyby zamiast tego pili szampana, choć jedno nie przeszkadza drugiemu.

Jak więc konstruktorzy wirusów wpłynęli na faunę elektroniczną? W kolekcji wirusów, która jest przechowywana w moim „magazynie”, liczba „zaprojektowanych” wirusów jest następująca:

w oparciu o VCL i G2 – po kilkaset;

na podstawie PS-MPC - ponad tysiąc.

W ten sposób objawił się inny trend w rozwoju wirusów komputerowych: „zaprojektowane” wirusy zaczynają zajmować coraz większą część kolekcji, a szczerze mówiąc leniwi ludzie zaczynają dołączać do szeregów ich autorów, którzy ograniczają twórczą i szanowaną profesję wirusów pisanie do bardzo zwyczajnego statku.

4.5. Poza DOS

Rok 1992 przyniósł nie tylko wirusy polimorficzne i wirusy konstruktorów. Pod koniec tego roku pojawił się pierwszy wirus dla systemu Windows, otwierając tym samym nową stronę w historii pisania wirusów. Niewielki rozmiar (mniej niż 1K), całkowicie nieszkodliwy i nierezydentny wirus, całkiem kompetentnie zainfekował pliki wykonywalne nowego formatu Windows (NewEXE) i swoim wyglądem wyłamał okno do świata Windows dla wirusów.

Jakiś czas później pojawiły się wirusy dla OS/2, aw styczniu 1996 roku pojawił się pierwszy wirus dla Windows95. Do tej pory nie minął tydzień bez pojawienia się nowych wirusów infekujących systemy inne niż DOS i najwyraźniej problem wirusów innych niż DOS wkrótce wyjdzie na pierwszy plan, blokując problem wirusów DOS. Najprawdopodobniej będzie to równoznaczne ze stopniową śmiercią DOS-a i rozprzestrzenianiem się dla nich nowych systemów operacyjnych i programów. Gdy tylko wszystkie istniejące aplikacje DOS zostaną zastąpione ich odpowiednikami dla Windows, Win95 i OS/2, problem wirusów DOS zniknie i pozostawi tylko teoretyczne zainteresowanie społeczności komputerowej.

W tym samym 1993 roku pojawiła się pierwsza próba napisania wirusa działającego w trybie chronionym. Procesor Intel 386. Był to wirus rozruchowy „PMBS”, nazwany tak od wiersza tekstu w jego kodzie. Po uruchomieniu z zainfekowanego dysku wirus przełączał się w tryb chroniony, instalował się jako nadzorca systemu, a następnie ładował DOS w trybie wirtualnego okna V86. Na szczęście ten wirus okazał się „nie dzierżawcą” – jego druga generacja całkowicie odmówiła namnażania się z powodu kilku błędów w kodzie wirusa. Ponadto „zawieszał się” system, jeśli któryś z programów próbował wyjść poza V86, na przykład w celu określenia obecności pamięci rozszerzonej.

Ta nieudana próba napisania wirusa nadzorcy pozostała jedyną znaną do wiosny 1997 roku, kiedy moskiewski rzemieślnik wypuścił wirusa „PM.Wanderer” – całkowicie „udaną” implementację wirusa działającego w trybie chronionym.

Nie jest jeszcze jasne, czy wirusy nadzorcze staną się w przyszłości prawdziwym problemem dla użytkowników i twórców programów antywirusowych. Najprawdopodobniej nie, ponieważ takie wirusy powinny „zasypiać” podczas działania nowych systemów operacyjnych (Windows, Win95/NT, OS/2), co pozwala na ich (wirusy) łatwe wykrywanie i usuwanie. Jednak pełnoprawny nadzorca wirusów ukrywających się może sprawić wiele kłopotów użytkownikom „czystego” DOS, ponieważ nie jest możliwe wykrycie takiego wirusa ukrywającego się pod DOSem.

4.6. epidemia makrowirusów

Rok 1995, sierpień. Cała postępowa ludzkość, Microsoft i Bill Gates osobiście świętują wydanie nowego systemu operacyjnego Windows95. Na tle hałaśliwej uroczystości wiadomość o pojawieniu się wirusa, który wykorzystuje zupełnie nowe metody infekcji, wirusa infekującego dokumenty programu Microsoft Word, przeszła prawie niezauważona.

Szczerze mówiąc, nie był to pierwszy wirus, który się zaraził Dokumenty Word. Do tego momentu firmy antywirusowe posiadały już pierwszy prototyp wirusa, który przepisywał się z dokumentu na dokument. Jednak nikt nie zwrócił większej uwagi na ten nie do końca udany eksperyment. W rezultacie prawie wszystkie firmy antywirusowe okazały się nieprzygotowane na dalszy rozwój wydarzeń – epidemia makrowirusów – i zaczęły pospiesznie stosować półśrodki. Na przykład kilka firm niemal jednocześnie opublikowało dokumenty antywirusowe, które działały w przybliżeniu na tych samych zasadach co wirus, ale zniszczyły go zamiast odtwarzać.

Nawiasem mówiąc, musiałem pospiesznie poprawić literaturę antywirusową - wszak wcześniej odpowiadała ona na pytanie "Czy można zainfekować komputer podczas czytania pliku?" odpowiedział "Zdecydowanie - nie!" i dał na to długie dowody.

A wirus, który do tego czasu otrzymał nazwę „Koncepcja”, kontynuował swój zwycięski ruch na całej planecie. Pojawiający się najprawdopodobniej w niektórych dywizjach Microsoftu „Concept” w mgnieniu oka przejął tysiące (jeśli nie miliony) komputerów. Nic w tym dziwnego, ponieważ transfer tekstów w formacie MS Word stał się de facto jednym ze standardów, a aby zarazić się wirusem, wystarczy otworzyć zainfekowany dokument, a wszystkie inne dokumenty edytowane w zainfekowanym Słowo „e również zostaje zainfekowane. W rezultacie, po otrzymaniu zainfekowanego pliku przez Internet i przeczytaniu go, użytkownik, nie wiedząc o tym sam, okazał się „nosicielem infekcji” i całej jego korespondencji (jeśli, oczywiście przeprowadzono go przy użyciu programu MS Word) również okazał się zainfekowany!Word, pomnożony przez prędkość Internetu, stał się jednym z najpoważniejszych problemów w historii wirusów.

Niecały rok później, latem 1996 roku, pojawił się wirus „Laroux” („Laru”), infekujący arkusze kalkulacyjne MS Excel. Podobnie jak w przypadku wirusa „Concept”, nowy makrowirus został odkryty „w naturze” niemal jednocześnie w różnych firmach. Nawiasem mówiąc, w 1997 roku wirus ten wywołał epidemię w Moskwie.

W tym samym 1996 roku pojawili się pierwsi konstruktorzy makrowirusów, a na początku 1997 roku pojawiły się pierwsze polimorficzne makrowirusy dla MS-Worda i pierwsze wirusy dla MS Office97. Ponadto liczba różnych makrowirusów stale rosła, osiągając kilkaset latem 1997 r.

Otwierając nowy liść w sierpniu 1995, w oparciu o całe doświadczenie zdobyte podczas tworzenia wirusów przez prawie dekadę ciągłej pracy i doskonalenia, makrowirusy są prawdopodobnie największym problemem współczesnej wirusologii.

4.7. Chronologia wydarzeń

Czas przejść do bardziej szczegółowego opisu wydarzeń. Zacznijmy od samego początku.

koniec lat 60. - początek lat 70.

Na ówczesnych komputerach mainframe pojawiały się okresowo programy, które nazywano „królikiem” (królik). Programy te klonowały się, zajmowały zasoby systemowe, a tym samym zmniejszały wydajność systemu. Najprawdopodobniej „króliki” nie były przekazywane z systemu do systemu i były zjawiskami czysto lokalnymi - błędami lub wybrykami programistów systemowych obsługujących komputer. Pierwszy incydent, który można bezpiecznie nazwać epidemią „wirusa komputerowego”, miał miejsce na systemie Univax 1108. Wirus, zwany „Przenikającym zwierzęciem”, dołączył się do plików wykonywalnych – robiąc prawie to samo, co tysiące współczesnych wirusów komputerowych .

pierwsza połowa lat 70.

Wirus „The Creeper” został stworzony dla systemu operacyjnego Tenex, który do rozprzestrzeniania się wykorzystywał globalne sieci komputerowe. Wirus był w stanie samodzielnie wejść do sieci przez modem i przesłać swoją kopię do zdalnego systemu. Do walki z tym wirusem stworzono „The Reeper” – pierwszy znany program antywirusowy.

Początek lat 80.

Komputery stają się coraz bardziej popularne. Pojawia się coraz więcej programów, których autorami nie są firmy programistyczne, ale osoby fizyczne, a programy te mają możliwość swobodnego obiegu na różnych serwerach publicznego dostępu - BBS. Rezultatem tego jest pojawienie się dużej liczby różnych „koni trojańskich” - programów, które po uruchomieniu powodują pewne szkody w systemie.

Epidemia wirusa rozruchowego "Elk Cloner" na komputerach Apple II. Wirus został zapisany w sektorach startowych dyskietek, do których uzyskano dostęp. Pokazał się bardzo wszechstronny – odwrócił ekran, sprawił, że tekst na ekranie mrugał i wyświetlał różne komunikaty.

Pandemia pierwszego wirusa IBM-PC "Brain". Wirus, który infekuje dyskietkę 360 KB, szybko rozprzestrzenił się na cały świat. Powodem tego „sukcesu” było najprawdopodobniej nieprzygotowanie społeczeństwa komputerowego na spotkanie z takim zjawiskiem jak wirus komputerowy.

Wirus został napisany w Pakistanie przez braci Basita i Amjada Farooq Alvi, którzy pozostali w wirusie wiadomość tekstowa, zawierające ich nazwiska, adres i numer telefonu. Jak twierdzili autorzy wirusa, byli właścicielami firmy sprzedającej oprogramowanie i postanowili sprawdzić poziom piractwa w ich kraju. Niestety ich eksperyment wyszedł poza granice Pakistanu.

Co ciekawe, wirus „Brain” był również pierwszym wirusem ukrywającym się – próbując odczytać zainfekowany sektor, „podstawił” swój niezainfekowany oryginał.

Również w 1986 r. programista Ralf Burger odkrył, że program może tworzyć swoje kopie, dodając własny kod do plików wykonywalnych systemu DOS. Jego pierwszy wirus, nazwany „VirDem”, wykazał tę zdolność. Wirus ten został ogłoszony w grudniu 1986 roku na „podziemnym” forum komputerowym - hakerów specjalizujących się w tym czasie w hakowaniu systemów VAX/VMS (Chaos Computer Club w Hamburgu).

Pojawienie się wirusa „Wiedeń”. Kopia tego wirusa wpada w ręce tego samego Ralpha Burgera, który demontuje wirusa i umieszcza wynik w swojej książce „Wirusy komputerowe: choroba zaawansowanych technologii” Książka Burgera spopularyzowała ideę pisania wirusów, wyjaśniła, jak to się stało, a tym samym posłużyła jako impuls do napisania setek, a nawet tysięcy wirusów komputerowych, częściowo wykorzystując pomysły z tej książki.

W tym samym roku kilka kolejnych wirusów dla IBM-PC pojawiło się niezależnie od siebie. Są to słynne w przeszłości "Lehigh", które infekuje tylko COMMAND.COM, "Suriv-1" (inna nazwa to "April1st"), które infekuje pliki COM, "Suriv-2", które infekuje (po raz pierwszy ) EXE i „Suriv -3”, który infekuje zarówno pliki COM, jak i EXE. Istnieje również kilka wirusów rozruchowych („Yale” w USA, „Stoned” w Nowej Zelandii i „PingPong” we Włoszech) oraz pierwszy samoszyfrujący wirus plikowy „Cascade”.

Nie pominięto również komputerów innych niż IBM: znaleziono kilka wirusów dla Apple Macintosh, Commodore Amiga i Atari ST.

W grudniu 1987 roku miała miejsce pierwsza znana epidemia sieciowego wirusa Christmas Tree, napisanego w języku REXX i rozprzestrzeniającego się w środowisku operacyjnym VM/CMS. 9 grudnia wirus został uruchomiony w sieci Bitnet na uniwersytecie w Niemczech Zachodnich, przeniknął przez bramę do Europejskiej Sieci Badawczej Akademickiej (EARN), a następnie do IBM VNet. Cztery dni później (13 grudnia) wirus sparaliżował sieć - była zapchana jej kopiami (patrz przykład o urzędniku kilka stron powyżej). Po uruchomieniu wirus wyświetlał na ekranie obraz choinki noworocznej (a raczej świątecznej) i wysyłał swoje kopie do wszystkich użytkowników sieci, których adresy znajdowały się w odpowiednim pliki systemowe NAZWY i NETLOG.

W piątek 13 maja 1988 r. kilka firm i uczelni z kilku krajów świata jednocześnie „zapoznało się” z wirusem „Jerusalem” – tego dnia wirus niszczył pliki podczas ich uruchamiania. Jest to być może jeden z pierwszych wirusów MS-DOS, który wywołał prawdziwą pandemię – doniesienia o zainfekowanych komputerach nadeszły z Europy, Ameryki i Bliskiego Wschodu. Nawiasem mówiąc, wirus wziął swoją nazwę od miejsca jednego z incydentów - uniwersytetu w Jerozolimie.

Wraz z kilkoma innymi wirusami („Cascade”, „Stoned”, „Vienna”) wirus „Jerusalem” rozprzestrzenił się na tysiące komputerów bez zauważenia – programy antywirusowe nie były jeszcze wtedy tak rozpowszechnione jak obecnie, a wiele użytkownicy, a nawet profesjonaliści, nie wierzyli jeszcze w istnienie wirusów komputerowych. Wskazuje na to fakt, że w tym samym roku guru komputerowy i legendarny człowiek Peter Norton wypowiadali się przeciwko istnieniu wirusów. Uznał je za nieistniejący mit i porównał do bajek o krokodylach żyjących w kanałach Nowego Jorku. Incydent ten nie przeszkodził jednak firmie Symantec w uruchomieniu własnego projektu antywirusowego - Norton Anti-Virus.

Zaczęły pojawiać się świadomie fałszywe raporty na temat wirusów komputerowych, nie zawierające prawdziwych informacji, ale wywołujące panikę w uporządkowanych szeregach. użytkownicy komputerów. Jeden z pierwszych takich „złych żartów” (współczesny termin to „oszustwo wirusowe”) należy do niejakiego Mike'a RoChenle (pseudonim podobny do „Microchannel”), który wysłał w stacji BBS dużą liczbę wiadomości o rzekomym istniejący wirus, który jest przesyłany z modemu do modemu i wykorzystuje do tego 2400 bodów. Jak na ironię, wielu użytkowników porzuciło ówczesny standard 2400 i obniżyło prędkość swoich modemów do 1200 bodów. Podobne „oszustwa” pojawiają się nawet teraz. Najbardziej znane dzisiaj to GoodTimes i Aol4Free.

Listopad 1988: Epidemia wirusa sieciowego Morris (znanego również jako Internet Worm). Wirus zainfekował ponad 6000 systemów komputerowych w USA (w tym Instytut Badawczy NASA) i praktycznie sparaliżował ich pracę. Z powodu błędu w kodzie wirusa, podobnie jak robak „Christmas Tree”, wysłał on swoje kopie bez ograniczeń do innych komputerów w sieci iw ten sposób całkowicie przejął jego zasoby. Całkowite straty spowodowane wirusem Morris oszacowano na 96 milionów dolarów.

Wirus wykorzystany do jego błędów reprodukcji na sali operacyjnej System uniksowy dla VAX i Sun Microsystems. Oprócz błędów w systemie Unix wirus wykorzystywał kilka innych oryginalnych pomysłów, takich jak odgadywanie haseł użytkowników. Możesz przeczytać więcej o tym wirusie i powiązanym z nim incydencie w dość szczegółowym i interesującym artykule Igora Moiseeva w magazynie ComputerPress, 1991, N8,9.

Grudzień 1988: Trwa sezon robaków, tym razem na DECNet. Robak HI.COM wyświetlał na ekranie choinkę i powiadamiał użytkowników, aby „przerwali komputer i dobrze się bawili w domu!!!”.

Pojawiają się nowe programy antywirusowe, na przykład Dr.Solomon's Anti-Virus Toolkit, który jest obecnie jednym z najpotężniejszych programów antywirusowych.

Pojawiają się nowe wirusy – „Datacrime”, „FuManchu” oraz całe rodziny – „Vacsina” i „Yankee”. Pierwszy miał wyjątkowo niebezpieczną manifestację - od 13 października do 31 grudnia sformatował dysk twardy. Ten wirus uwolnił się i wywołał ogólną histerię w funduszach środki masowego przekazu w Holandii i Wielkiej Brytanii.

Wrzesień 1989: Na rynek wchodzi kolejny program antywirusowy, IBM Anti-Virus.

Październik 1989: Na DECNet wykryto kolejną epidemię robaka „WANK Worm”.

Grudzień 1989: incydent z koniem trojańskim "Aids". 20 000 kopii zostało rozesłanych na dyskietkach oznaczonych „AIDS Information Diskette Version 2.0”. Po 90 pobraniach systemu trojan zaszyfrował nazwy wszystkich plików na dysku, uczynił je niewidocznymi (atrybut „ukryty”) i pozostawił na dysku tylko jeden czytelny plik - fakturę na 189 USD, która powinna była zostać wysłana na adres Skrytka pocztowa 7, Panama. Autor „Trojana” został złapany i skazany na więzienie.

Należy zauważyć, że rok 1989 był początkiem ogólnej epidemii wirusów komputerowych w Rosji - wszystkie te same wirusy "Cascade", "Jerusalem" i "Vienna" zalały komputery rosyjskich użytkowników. Na szczęście rosyjscy programiści szybko zorientowali się w zasadach swojej pracy i niemal od razu pojawiło się kilka krajowych antidotów-antywirusów.

Moje pierwsze spotkanie z wirusem (był to wirus "Cascade") miało miejsce w październiku 1989 roku - wirus został znaleziony na moim komputerze służbowym. To był impuls do mojej zawodowej reorientacji w kierunku tworzenia programów antywirusowych. Nawiasem mówiąc, wyleczyłem tego pierwszego wirusa za pomocą popularnego wówczas programu antywirusowego Olega Kotika ANTI-KOT. Miesiąc później drugi incydent (wirus „Vacsina”) został zamknięty z pierwszą wersją mojego antywirusa -V (który został przemianowany na AVP - AntiViral Toolkit Pro kilka lat później). Do końca 1989 r. w Rosji pasło się już kilkanaście wirusów (wymienione w kolejności ich pojawiania się): dwie wersje „Cascade”, kilka wirusów „Vacsina” i „Yankee”, „Jerusalem”, „Vienna”, „Eddie”, „PingPong”.

Ten rok przyniósł kilka całkiem godnych uwagi wydarzeń. Pierwszym z nich jest pojawienie się pierwszych wirusów polimorficznych „Chameleon” (inne nazwy to „V2P1”, „V2P2” i „V2P6”). Do tego momentu programy antywirusowe wykorzystywały tak zwane „maski” — fragmenty kodu wirusa — do skanowania w poszukiwaniu wirusów. Po pojawieniu się wirusów „Chameleon” twórcy oprogramowania antywirusowego zmuszeni byli szukać innych metod ich wykrywania.

Drugim wydarzeniem było pojawienie się bułgarskiej „fabryki wirusów”: ogromna liczba nowych wirusów pochodziła z Bułgarii. Były to całe rodziny wirusów „Murphy”, „Nomenklatura”, „Bestia” (lub „512”, „Number-of-beast”), nowe modyfikacje wirusa Eddie itp. Niektóre Dark Avenger były szczególnie aktywne, wypuszczając rok kilka nowych wirusów, które wykorzystywały całkowicie nowe algorytmy do infekowania i ukrywania się w systemie. W Bułgarii po raz pierwszy pojawiła się pierwsza platforma BBS, skupiająca się na wymianie wirusów i informacji dla twórców wirusów.

W lipcu 1990 roku miał miejsce incydent z magazynem komputerowym PC Today (Wielka Brytania). Zawierał dyskietkę zainfekowaną wirusem „DiskKiller”. Sprzedano ponad 50 000 egzemplarzy magazynu.

W drugiej połowie 1990 roku pojawiły się dwa potwory skradające się - "Frodo" i "Whale". Oba wirusy wykorzystywały niezwykle złożone algorytmy ukrywania się, a dziewięciokilobajtowy „Whale” również wykorzystywał kilka poziomów szyfrowania i technik zapobiegania debugowaniu.

Pojawiły się też pierwsze znane mi domowe wirusy: „Peterburg”, „Woroneż” i Rostow „LoveChild”.

Populacja wirusów komputerowych stale rośnie, sięgając już kilkuset. Rośnie również aktywność antywirusowa: dwa potwory programowe (Symantec i Central Point) wypuszczają własne programy antywirusowe - Norton Anti-Virus i Central Point Anti-Virus. Następują mniej znane antywirusy z Xtree i Fifth Generation.

W kwietniu wybuchła prawdziwa epidemia wirusa polimorficznego "Tequila", a we wrześniu podobna "historia" miała miejsce w przypadku wirusa "Ameba". Wydarzenia te praktycznie nie wpłynęły na Rosję.

Lato 1991: Epidemia wirusa „Dir_II”, który wykorzystywał zupełnie nowe sposoby infekowania plików (link-virus).

Ogólnie rok 1991 był dość spokojny - taki spokój przed burzą, która wybuchła w 1992 roku.

Wirusy dla systemów innych niż IBM-PC i nie-MS-DOS są prawie zapomniane: „dziury” w globalne sieci zamknij, błędy zostały naprawione, a robaki sieciowe nie mogą się już rozprzestrzeniać. Wirusy plików, rozruchu i rozruchu plików dla najpopularniejszego systemu operacyjnego (MS-DOS) na najpopularniejszym komputerze (IBM-PC) zaczynają nabierać coraz większego znaczenia. Liczba wirusów rośnie wykładniczo, różne incydenty z wirusami zdarzają się prawie codziennie. Opracowywane są różne programy antywirusowe, publikowane są dziesiątki książek i kilka regularnych czasopism poświęconych wirusom. Na tym tle wyróżnia się kilka kluczowych punktów:

Początek 1992: pierwszy generator polimorficzny MtE, na podstawie którego po pewnym czasie pojawia się jednocześnie kilka wirusów polimorficznych. MtE był także prototypem kilku kolejnych generatorów polimorficznych.

Marzec 1992: Epidemia wirusa „Michelangelo” („Marzec 6”) i związana z nią histeria. Jest to prawdopodobnie pierwszy znany przypadek, w którym firmy antywirusowe podsycały szum wokół wirusa nie po to, by chronić użytkowników przed jakimkolwiek niebezpieczeństwem, ale aby zwrócić uwagę na swój produkt, tj. w celach komercyjnych. Tak więc pewna amerykańska firma antywirusowa poinformowała, że ​​6 marca zostaną zniszczone informacje na ponad pięciu milionach komputerów. W wyniku zamieszania, które nastąpiło, zyski różnych firm antywirusowych wzrosły kilkakrotnie, a wirus faktycznie dotknął tylko około 10 000 maszyn.

Lipiec 1992: pojawienie się pierwszych konstruktorów wirusów VCL i PS-MPC, które zwiększyły i tak już znaczny napływ nowych wirusów i, podobnie jak MtE w swojej dziedzinie, zmusiły twórców wirusów do tworzenia innych, potężniejszych konstruktorów.

Koniec 1992: Pierwszy wirus dla systemu Windows, który infekuje pliki wykonywalne tego systemu operacyjnego, otworzył nową stronę pisania wirusów.

Twórcy wirusów przystąpili do poważnej pracy: oprócz setek zwykłych wirusów, które zasadniczo nie różnią się od swoich odpowiedników, oprócz szeregu nowych generatorów i konstruktorów polimorficznych, a także nowych publikacje elektroniczne Pojawia się coraz więcej wirusów, które wykorzystują niezwykle nietypowe metody infekowania plików, przenikania do systemu i tak dalej. Główne przykłady to:

„PMBS” działający w trybie chronionym na procesorze Intel 80386.

„Dziwne” (lub „Hmm”) – solowy występ na temat „Wirus stealth”, ale wykonywany na poziomie przerwań sprzętowych INT 0Dh i INT 76h.

„Shadowgard” i „Carbuncle”, które znacznie rozszerzyły zakres algorytmów wirusów towarzyszących;

„Emmie”, „Metallica”, „Bomber”, „Urugwaj” i „Cruncher” – wykorzystanie całkowicie nowych metod „ukrywania” ich kodu w zainfekowanych plikach.

Wiosną 1993 roku Microsoft wypuścił własny program antywirusowy MSAV, oparty na CPAV firmy Central Point.

Problem wirusów na płytach CD staje się coraz ważniejszy. Szybko stając się popularne, dyski te okazały się jednym z głównych sposobów rozprzestrzeniania się wirusów. Zarejestrowano kilka incydentów, gdy wirus dostał się na dysk główny podczas przygotowywania partii płyt CD. W rezultacie na rynek komputerowy wypuszczono dość duże serie (dziesiątki tysięcy) zainfekowanych dysków. Oczywiście nie trzeba mówić o ich leczeniu – trzeba je po prostu zniszczyć.

Na początku roku w Wielkiej Brytanii pojawiły się dwa niezwykle złożone wirusy polimorficzne - „SMEG.Pathogen” i „SMEG.Queeg” (wciąż nie wszystkie programy antywirusowe są w stanie osiągnąć 100% wyników w ich wykrywaniu). Autor wirusa umieszczał zainfekowane pliki na stacjach BBS, co wywołało prawdziwą epidemię i panikę w mediach.

Kolejną falę paniki wywołała wiadomość o rzekomo istniejącym wirusie „GoodTimes”, który rozprzestrzenia się w Internecie i infekuje komputer po otrzymaniu wiadomości e-mail. Żaden taki wirus nie istniał, ale po pewnym czasie pojawił się zwykły wirus DOS z tekstem „Good Times”, nazwany „GT-Spoof”.

są aktywowane egzekwowanie prawa: Latem 1994 roku autor SMEG został „odkryty” i aresztowany. Mniej więcej w tym samym czasie w tej samej Wielkiej Brytanii aresztowano całą grupę twórców wirusów, którzy nazywali siebie ARCV (Association for Really Cruel Viruses). Jakiś czas później w Norwegii aresztowano innego autora wirusa.

Pojawia się kilka nowych, dość nietypowych wirusów:

Styczeń 1994: „Shifter” to pierwszy wirus infekujący moduły obiektów (pliki OBJ). „Phantom1” – epidemia pierwszego wirusa polimorficznego w Moskwie.

Kwiecień 1994: „SrcVir” to rodzina wirusów, które infekują kod źródłowy programu (C i Pascal).

Czerwiec 1994: „OneHalf” – początek ogólnej epidemii wirusa, który nadal jest najpopularniejszym wirusem w Rosji.

Wrzesień 1994: „3APA3A” to epidemia wirusa uruchamiającego pliki, który wykorzystuje bardzo nietypowy sposób wstrzykiwania do systemu MS-DOS. Żaden program antywirusowy nie okazał się gotowy na spotkanie z tego typu potworem.

W 1994 roku (wiosna) przestał istnieć jeden z ówczesnych liderów antywirusowych, Central Point. Został kupiony przez firmę Symantec, która pochłonęła już kilka małych firm antywirusowych - Peter Norton Computing, Certus International i Fifth Generation Systems.

Nic tak naprawdę nie zauważalnego w obszarze wirusów DOS, chociaż istnieje kilka dość złożonych wirusów potworów, takich jak „NightFall”, „Nostradamus”, „Dziadek do orzechów” i tak zabawne wirusy, jak „biseksualny” wirus „RMNS” i wirus BAT „Winstart”. Wirusy "ByWay" i "DieHard2" stały się szeroko rozpowszechnione - wiadomości o zainfekowanych komputerach napływały z niemal całego świata.

Luty 1995: Wystąpił incydent z firmą Microsoft: wirus „Form” został znaleziony na dysku zawierającym wersję demonstracyjną systemu Windows95. Microsoft wysłał kopie tego dysku do beta testerów, z których jeden nie był zbyt leniwy, aby sprawdzić dysk pod kątem wirusów.

Wiosna 1995: ogłoszony zostaje sojusz dwóch firm antywirusowych - ESaSS (antywirus ThunderBYTE) i Norman Data Defense (Norman Virus Control). Firmy te, produkujące dość silne programy antywirusowe, połączyły siły i zaczęły opracowywać zunifikowany system antywirusowy.

Sierpień 1995: jeden z punktów zwrotnych w historii wirusów i antywirusów: pierwszy wirus dla Microsoft Word („Koncepcja”) zostaje odkryty „na żywo”. Dosłownie w ciągu miesiąca wirus „okrążył” cały glob, zalał komputery użytkowników MS-Worda i mocno zajął pierwsze miejsce w badaniach statystycznych prowadzonych przez różne publikacje komputerowe.

Styczeń 1996: dwa dość godne uwagi wydarzenia - pojawił się pierwszy wirus dla Windows95 ("Win95.Boza") i epidemia niezwykle złożonego wirusa polimorficznego "Zhengxi" w Petersburgu.

Marzec 1996: Pierwsza epidemia wirusa dla Windows 3.x. Nazywa się „Win.Tentacle”. Wirus ten zainfekował sieć komputerową w szpitalu i kilku innych instytucjach we Francji. Ciekawą rzeczą w tym wydarzeniu było to, że był to PIERWSZY wirus Windows, który się uwolnił. Do tego czasu (o ile mi wiadomo) wszystkie wirusy Windows żyły tylko w zbiorach i elektronicznych czasopismach twórców wirusów, a tylko wirusy rozruchowe, DOS i Macro znajdowane były w "żywej formie".

Czerwiec 1996: "OS2.AEP" to pierwszy wirus dla OS/2, który poprawnie infekuje pliki OS/2 EXE. Wcześniej OS/2 napotykał tylko wirusy, które zostały napisane zamiast pliku, niszcząc go lub działającego metodą „towarzysza”.

Lipiec 1996: "Laroux" - pierwszy wirus dla Microsoft Excel, zresztą złapany w "żywej formie" (prawie jednocześnie w dwóch firmach naftowych na Alasce iw RPA). Podobnie jak wirusy MS-Word, zasada działania "Laroux" opiera się na obecności w plikach tzw. makr - programów w języku Basic. Takie programy można umieszczać w arkuszach kalkulacyjnych Excel w taki sam sposób, jak w dokumentach MS-Word. Jak się okazało, wbudowany w Excel język Basic pozwala również na tworzenie wirusów. Ten sam wirus w kwietniu 1997 r. spowodował epidemię w firmach komputerowych w Moskwie.

Grudzień 1996: "Win95.Punch" jest pierwszym wirusem "rezydentnym" dla Win95. Jest ładowany do systemu jako sterownik VxD, przechwytuje dostęp do plików i infekuje je.

Generalnie rok 1996 można uznać za początek masowego ataku podziemia komputerowego na system operacyjny Windows32 (Windows95 i Windows NT) oraz aplikacje. Microsoft Office. W tym i kolejnym roku pojawiło się kilkadziesiąt wirusów dla Windows 95/NT oraz kilkaset makrowirusów. W wielu z nich twórcy wirusów zastosowali zupełnie nowe techniki i metody infekcji, dodali mechanizmy ukrywania i polimorfii i tak dalej. W ten sposób wirusy komputerowe weszły w nową rundę swojego rozwoju - do poziomu 32-bitowych systemów operacyjnych. W ciągu dwóch lat wirusy dla Windows32 powtórzyły w przybliżeniu te same etapy, przez które przeszły wirusy DOS dokładnie 10 lat wcześniej, ale na zupełnie nowym poziomie technologicznym.

Luty 1997: "Linux.Bliss" jest pierwszym wirusem dla Linuksa (rodzaj Uniksa). Wirusy zajęły więc kolejną „biologiczną” niszę.

Luty-kwiecień 1997: Makrowirusy również dostały się do Office97. Pierwszym z nich okazały się właśnie makrowirusy dla Worda 6/7 „przekonwertowane” do nowego formatu, ale niemal natychmiast pojawiły się wirusy zorientowane tylko na dokumenty Office97.

Marzec 1997: „ShareFun” to makrowirus, który infekuje MS Word 6/7. Do jego powielania wykorzystuje nie tylko standardowe funkcje MS Worda, ale również wysyła swoje kopie pocztą elektroniczną MS-Mail.

Kwiecień 1997: „Homer” jest pierwszym robakiem sieciowym, który replikuje się przy użyciu protokołu FTP (File Transfer Protocol).

Czerwiec 1997: Pojawia się pierwszy samoszyfrujący wirus dla Windows95. Wirus pochodzenia rosyjskiego został wysłany do kilku stacji BBS w Moskwie, powodując epidemię.

Listopad 1997: Wirus „esperanto”. Próba stworzenia (na szczęście nieudana) wieloplatformowego wirusa, który działa nie tylko pod DOS i Windows, ale potrafi także infekować pliki Mac OS (Mac).

Grudzień 1997: Wprowadzono nową formę wirusa, robaki mIRC. Okazało się, że najpopularniejszy program Windows IRC (Internet Relay Chat), znany jako mIRC, zawierał „dziurę”, która pozwalała skryptom wirusów na transmisję się przez kanały IRC. W kolejnej wersji IRC dziura została zamknięta, a robaki mIRC pogrążyły się w zapomnieniu.

Głównym wydarzeniem antywirusowym w 1997 roku było oczywiście wydzielenie działu antywirusowego firmy KAMI w niezależną firmę Kaspersky Lab, która dziś jest uznanym liderem technicznym w branży antywirusowej. Od 1994 roku flagowy produkt firmy, AntiViral Toolkit Pro (AVP), niezmiennie wykazywał wysokie wyniki w licznych testach przeprowadzonych przez różne laboratoria testowe na całym świecie. Podział na niezależną firmę pozwolił początkowo niewielkiej grupie programistów stać się pierwszą liczącą się firmą antywirusową na rodzimym rynku i dość znaczącą postacią na rynku globalnym. W krótkim czasie opracowano i wydano wersje na prawie wszystkie popularne platformy, zaproponowano nowe rozwiązania antywirusowe oraz stworzono sieć międzynarodowej dystrybucji i wsparcia technicznego.

W październiku 1997 roku fińska firma DataFellows podpisała umowę dotyczącą licencjonowania technologii AVP do wykorzystania w ich nowym programie FSAV (F-Secure Anti-Virus). Wcześniej firma DataFellows była znana jako producent oprogramowania antywirusowego F-PROT.

Rok 1997 jest również godny uwagi z powodu kilku skandali, które wybuchły między głównymi producentami oprogramowania antywirusowego w Stanach Zjednoczonych i Europie. Na początku roku firma McAfee ogłosiła, że ​​jej specjaliści wykryli „błąd” w programach jednego z głównych konkurentów – antywirusa Dr.Solomona. Oświadczenie firmy McAfee mówi, że jeśli program antywirusowy Dr.Solomon wykryje kilka wirusów podczas skanowania różne rodzaje, to jego dalsza praca odbywa się w trybie rozszerzonym. Oznacza to, że jeśli w normalnych warunkach na niezainfekowanych komputerach program antywirusowy Dr.Solomon działa w trybie normalnym, to podczas testowania kolekcji wirusów przełącza się w tryb rozszerzony (zgodnie z terminologią McAfee „tryb oszukiwania” - „tryb oszukiwania”), który umożliwia wykrywanie wirusy niewidoczne dla Dr. .Solomona podczas normalnego skanowania. W rezultacie podczas testowania na niezainfekowanych dyskach program antywirusowy Dr.Solomon wykazuje dobre wyniki szybkości, a podczas testowania kolekcji wirusów pokazuje dobre wyniki wykrywania.

Jakiś czas później dr Solomon odpowiedział na błędną kampanię reklamową McAfee. W szczególności wysunięto zarzuty przeciwko tekstowi „Wybór numer jeden na całym świecie. Nic dziwnego, że miasto po lewej stronie lekarza”. W tym samym czasie McAfee toczył batalię prawną z inną firmą antywirusową Trend Micro o naruszenie patentu na skanowanie danych przesyłanych Internet i poczta e-mail Firma Symantec była również zaangażowana w ten sam konflikt z firmą Trend Micro, a następnie pozwała McAfee za używanie kodów firmy Symantec w Produkty McAfee. Cóż, itp.

Rok zakończył się kolejnym ważnym wydarzeniem związanym z nazwą McAfee: McAfee Associates i Network General ogłosiły, że połączyły się w jedną firmę, Network Assotiates, i ulokowały swoje wysiłki nie tylko w dziedzinie ochrony antywirusowej, ale także rozwój systemy uniwersalne bezpieczeństwo komputerów, szyfrowanie i administracja siecią. Od teraz historię wirusów i programów antywirusowych McAfee należy czytać jako NAI.

Atak wirusa na MS Windows, MS Office i aplikacje sieciowe nie słabnie. Pojawiają się wirusy wykorzystujące coraz bardziej złożone metody infekowania komputerów oraz nowe metody przenikania do sieci komputerowych. Oprócz wirusów na arenę wkraczają także liczne trojany, które kradną hasła dostępu do Internetu oraz kilka ukrytych narzędzi administracyjnych. Odnotowano incydenty z zainfekowanymi płytami CD: kilka czasopisma komputerowe dystrybuowane dyski z programami zainfekowanymi wirusami Windows "CIH" i "Marburg" na okładce.

Początek roku: Epidemia całej rodziny wirusów „Win32.HLLP.DeTroie”, infekujących nie tylko pliki wykonywalne systemu Windows32, ale także zdolnych do przesyłania informacji o zainfekowanym komputerze do swojego „właściciela”. Ze względu na korzystanie z konkretnych bibliotek występujących tylko w języku francuskim Wersje Windows epidemia dotknęła tylko kraje francuskojęzyczne.

Luty 1998: Odkryto inny typ wirusa, który infekuje arkusze kalkulacyjne programu Excel — „Excel4.Paix” (lub „Formula.Paix”). Ten typ makrowirusa, przy wprowadzaniu go do arkuszy kalkulacyjnych Excela, nie wykorzystuje wspólnego dla wirusów obszaru makr, ale formuły, które, jak się okazało, mogą również zawierać samoreplikujący się kod.

Luty-marzec 1998: „Win95.HPS” i „Win95.Marburg” są pierwszymi polimorficznymi wirusami Windows32, które również zostały odkryte „w żywej formie”. Twórcy programów antywirusowych musieli pośpiesznie dostosować do nowych warunków metody wykrywania wirusów polimorficznych, które wcześniej były projektowane tylko dla wirusów DOS.

Marzec 1998: "AccessiV" - pierwszy wirus dla Microsoft Access. Nie wywołało to szumu, jak miało to miejsce w przypadku wirusów „Word.Concept” i „Excel.Laroux”, ponieważ wszyscy są już przyzwyczajeni do tego, że aplikacje MS Office padają jedna po drugiej.

Marzec 1998: Wirus makr „Cross” jest pierwszym wirusem, który infekuje dwie różne aplikacje MS Office: Access i Word. W ślad za nim pojawiło się kilka kolejnych wirusów makr, przenoszących swój kod z jednej aplikacji pakietu Office do drugiej.

Maj 1998: Wirus „RedTeam”. Infekuje pliki Windows EXE, wysyła zainfekowane pliki za pomocą poczty e-mail Eudora.

Czerwiec: Epidemia wirusa "Win95.CIH", która stała się najpierw masowa, potem globalna, a potem ogólna - doniesienia o infekcji sieci komputerowych i domowych komputery osobiste ponumerowane w setkach, jeśli nie w tysiącach. Początek epidemii został zarejestrowany na Tajwanie, gdzie nieznany haker wysłał zainfekowane pliki na lokalne konferencje internetowe. Stamtąd wirus przedostał się do Stanów Zjednoczonych, gdzie w wyniku przeoczenia jednocześnie zainfekowanych zostało kilka popularnych serwerów WWW - rozpowszechniały one zainfekowane wirusem programy do gier. Najprawdopodobniej to właśnie te zainfekowane pliki na serwerach gier spowodowały ogólną epidemię wirusa, która nie słabła przez cały rok. Według rankingów „popularności” wirus „wypchnął” takie wirusowe supergwiazdy, jak „Word.CAP” i „Excel.Laroux”. Należy również zwrócić uwagę na niebezpieczną manifestację wirusa: w zależności od aktualnej daty wirus wykasował Flash BIOS, co w niektórych przypadkach może prowadzić do konieczności wymiany płyty głównej.

Sierpień 1998: pojawienie się sensacyjnego "BackOrifice" ("Backdoor.BO") - narzędzia do ukrytego (hakerskiego) administrowania zdalnymi komputerami i sieciami. Po "BackOrifice" pojawiło się kilka innych podobnych programów: "NetBus", "Phase" i inne.

Również w sierpniu pojawił się pierwszy wirus infekujący moduły wykonywalne Javy - "Java.StangeBrew". Wirus ten nie stanowił zagrożenia dla internautów, ponieważ niemożliwe jest korzystanie z funkcji niezbędnych do reprodukcji na zdalnym komputerze. Zilustrował jednak fakt, że aplikacje, które są aktywnie wykorzystywane podczas przeglądania serwerów WWW, mogą być również atakowane przez wirusy.

Nastąpiły również znaczące zmiany w świecie oprogramowania antywirusowego. W maju 1998 r. Symantec i IBM ogłosiły, że łączą siły na froncie antywirusowym: wspólny produkt jest dystrybuowany przez firmę Symantec pod tą samą marką Norton Anti-Virus, a IBM Anti-Virus (IBMAV) przestaje istnieć. Główni konkurenci natychmiast na to zareagowali: Dr.Solomon i NAI (wcześniej McAfee) natychmiast wydali komunikaty prasowe z ofertami przyznania byłym użytkownikom IBMAV rabatu na własne programy antywirusowe.

Niecały miesiąc później sam dr Solomon przestał istnieć. Został kupiony przez NAI (McAfee) za 640 milionów dolarów w ramach swapu akcji. Wydarzenie to wywołało szok w świecie antywirusowym: konflikt pomiędzy dwoma największymi graczami w branży antywirusowej zakończył się kupnem/sprzedażą, w wyniku którego z rynku zniknął jeden z najbardziej widocznych i silnych technologicznie producentów oprogramowania antywirusowego.

Wszystko na świecie powinno dziać się powoli i

źle, aby człowiek nie mógł być dumny,

aby osoba była smutna i zdezorientowana.

(Wenedykt Erofiejew. „Moskwa – Pietuszki”)

5.Klasyfikacja wirusów komputerowych

Wirusy można podzielić na klasy według następujących głównych cech:

" siedlisko;

„system operacyjny (OC);

„cechy algorytmu pracy;

destrukcyjne możliwości.

Według HABITAT wirusy można podzielić na:

" plik;

" uruchomić;

"sieć.

Wirusy plikowe infiltrują pliki wykonywalne na różne sposoby (najczęstszy typ wirusów), tworzą duplikaty plików (wirusy towarzyszące) lub wykorzystują specyfikę organizacji systemu plików (wirusy linkujące).

Wirusy rozruchowe zapisują się albo do sektora rozruchowego dysku (sektor rozruchowy), albo do sektora zawierającego program rozruchowy dysku twardego (Master Boot Record) lub zmieniają wskaźnik na aktywny sektor rozruchowy.

Wirusy makr infekują pliki dokumentów i arkusze kalkulacyjne kilku popularnych edytorów.

Wirusy sieciowe do rozprzestrzeniania się wykorzystują protokoły lub polecenia sieci komputerowych i poczty e-mail.

Istnieje wiele kombinacji — na przykład wirusy uruchamiające pliki, które infekują zarówno pliki, jak i sektory rozruchowe dysków. Takie wirusy z reguły mają dość złożony algorytm działania, często wykorzystują oryginalne metody penetracji systemu, wykorzystują technologie ukrywania i polimorfii. Innym przykładem takiej kombinacji jest wirus makr sieciowych, który nie tylko infekuje edytowane dokumenty, ale także wysyła swoje kopie pocztą elektroniczną.

Zainfekowany SYSTEM OPERACYJNY (a raczej system operacyjny, którego obiekty są podatne na infekcję) to drugi poziom podziału wirusów na klasy. Każdy wirus plikowy lub sieciowy infekuje pliki jednego lub więcej systemów operacyjnych — DOS, Windows, Win95/NT, OS/2 itp. Wirusy makr infekują pliki Word, Excel, Office97. Wirusy rozruchowe koncentrują się również na określonych formatach lokalizacji danych systemowych w sektorach rozruchowych dysków.

Wśród CECHY ALGORYTMU DZIAŁANIA wirusów wyróżniają się następujące punkty:

rezydencja;

„wykorzystywanie algorytmów stealth;

" samoszyfrowanie i polimorfizm;

z wykorzystaniem niekonwencjonalnych metod.

Kiedy wirus infekuje komputer, wirus REZYDENTNY pozostawia swoją rezydentną część w pamięci RAM, która następnie przechwytuje wywołania systemu operacyjnego do zainfekowanych obiektów i wstrzykuje się do nich. Wirusy rezydentne znajdują się w pamięci i są aktywne do momentu wyłączenia komputera lub ponownego uruchomienia systemu operacyjnego. Wirusy nierezydentne nie infekują pamięci komputera i pozostają aktywne przez ograniczony czas. Niektóre wirusy pozostawiają w pamięci RAM małe programy rezydentne, które nie rozprzestrzeniają wirusa. Takie wirusy są uważane za nierezydentów.

Makrowirusy można uznać za rezydentne, ponieważ są stale obecne w pamięci komputera przez cały czas działania zainfekowanego edytora. W tym przypadku rolę systemu operacyjnego przejmuje edytor, a pojęcie „ponownego uruchomienia systemu operacyjnego” jest interpretowane jako wyjście z edytora.

W wielozadaniowych systemach operacyjnych „żywotność” rezydentnego wirusa DOS może być również ograniczona do momentu zamknięcia zainfekowanego okna DOS, a aktywność wirusów rozruchowych w niektórych systemach operacyjnych jest ograniczona do momentu zainstalowania sterowników dysków OC.

Zastosowanie algorytmów STEALTH pozwala wirusom na całkowite lub częściowe ukrycie się w systemie. Najpopularniejszym algorytmem ukrywania jest przechwytywanie żądań odczytu/zapisu OC dla zainfekowanych obiektów. Jednocześnie wirusy ukrywające się albo tymczasowo je leczą, albo „podmieniają” w ich miejsce niezainfekowane fragmenty informacji. W przypadku wirusów makr najpopularniejszą metodą jest wyłączenie wywołań menu widoku makr. Jednym z pierwszych wirusów ukrywających się w plikach był „Frodo”, pierwszym wirusem ukrywającym się podczas rozruchu był „Brain”.

SAMOSZYFROWANIE i POLYMORFICZNOŚĆ są używane przez prawie wszystkie typy wirusów, aby maksymalnie skomplikować procedurę wykrywania wirusów. Wirusy polimorficzne (polimorficzne) to raczej trudne do wykrycia wirusy, które nie mają sygnatur, tj. nie zawierające jednego stałego fragmentu kodu. W większości przypadków dwie próbki tego samego wirusa polimorficznego nie będą miały jednego dopasowania. Osiąga się to poprzez zaszyfrowanie głównej treści wirusa i zmodyfikowanie programu deszyfrującego.

Różne NIESTANDARDOWE TECHNIKI są często używane w wirusach, aby ukryć się tak głęboko, jak to możliwe w jądrze OC (jak robi to wirus „3APA3A”), aby chronić swoją rezydentną kopię przed wykryciem (wirusy „TPVO”, „Trout2”), aby utrudniać leczenie wirusa (na przykład umieszczając kopię w Flash-BIOSie) itp.

Ze względu na ZDOLNOŚCI NISZCZĄCE wirusy można podzielić na:

„nieszkodliwe, tj. niewpływające w żaden sposób na działanie komputera (poza zmniejszeniem wolnego miejsca na dysku w wyniku jego dystrybucji);

" łagodny, którego efekt ogranicza się do zmniejszenia wolnego miejsca na dysku i efektów graficznych, dźwiękowych itp.;

" Niebezpieczne wirusy, które mogą powodować poważne awarie komputera;

"bardzo niebezpieczne, których algorytm działania celowo opiera się na procedurach, które mogą doprowadzić do utraty programów, zniszczenia danych, usunięcia informacji niezbędnych do działania komputera zapisanych w obszarach pamięci systemowej, a nawet, jako jedna z niezweryfikowanych legend komputerowych mówi, przyczyniają się do szybkiego zużycia ruchomych części mechanizmów - wchodzą w rezonans i niszczą głowice niektórych typów dysków twardych.

Ale nawet jeśli w algorytmie wirusa nie zostaną znalezione żadne gałęzie, które uszkadzają system, tego wirusa nie można z całą pewnością nazwać nieszkodliwym, ponieważ jego przeniknięcie do komputera może spowodować nieprzewidywalne, a czasem katastrofalne konsekwencje. W końcu wirus, jak każdy program, ma błędy, w wyniku których mogą zostać uszkodzone zarówno pliki, jak i sektory dysku (na przykład pozornie nieszkodliwy wirus „DenZuk” działa całkiem poprawnie z dyskietkami 360K, ale może niszczyć informacje na większe dyskietki). Do tej pory istnieją wirusy, które definiują „COM lub EXE” nie przez wewnętrzny format pliku, ale przez jego rozszerzenie. Oczywiście, jeśli format i rozszerzenie nazwy nie są zgodne, plik przestaje działać po infekcji. Możliwe jest również "zablokowanie" rezydentnego wirusa i systemu podczas korzystania z nowych wersji DOS, podczas pracy w systemie Windows lub z innymi potężnymi systemami oprogramowania. Itp.

6. Perspektywy: co wydarzy się jutro i pojutrze

6.1. Co stanie się jutro?

Czego można oczekiwać od podziemia komputerowego w najbliższych latach? Najprawdopodobniej główne problemy pozostaną: 1) wirusy polimorficzne-DOS, do których zostaną dodane problemy polimorfizmu w makrowirusach oraz wirusy dla Windows i OS/2; 2) makrowirusy, które będą znajdować coraz więcej metod infekcji i ukrywania swojego kodu w systemie; 3) wirusy sieciowe, które do ich rozpowszechniania wykorzystują protokoły i polecenia sieci komputerowych.

Punkt 3) jest dopiero na bardzo wczesnym etapie - wirusy podejmują pierwsze nieśmiałe próby samodzielnego rozpowszechniania swojego kodu za pośrednictwem MS Mail i ftp, ale wciąż przed nami.

Niewykluczone, że pojawią się inne problemy, które spowodują wiele kłopotów użytkownikom i wystarczającą ilość pracy po godzinach dla twórców oprogramowania antywirusowego. Patrzę jednak w przyszłość z optymizmem: wszystkie problemy, jakie kiedykolwiek pojawiły się w historii rozwoju wirusów, zostały rozwiązane całkiem pomyślnie. Najprawdopodobniej przyszłe problemy, które wciąż są tylko pomysłami w rozgorączkowanych umysłach twórców wirusów, zostaną rozwiązane równie pomyślnie.

6.2. Co stanie się pojutrze?

Co stanie się pojutrze i jak długo ogólnie będą istnieć wirusy? Aby odpowiedzieć na to pytanie, konieczne jest ustalenie, gdzie i w jakich warunkach znajdują się wirusy.

Moim zdaniem główna pożywka do masowego rozprzestrzeniania się wirusa w komputerze musi zawierać następujące niezbędne składniki:

niepewność systemu operacyjnego (OS);

„obecność zróżnicowanej i w miarę kompletnej dokumentacji dotyczącej OC i sprzętu”;

„powszechne korzystanie z tego systemu operacyjnego i tego sprzętu”.

Należy zauważyć, że koncepcja systemu operacyjnego jest dość rozszerzalna. Na przykład w przypadku makrowirusów system operacyjny to edytory tekstu i Excel, ponieważ to edytory, a nie Windows, dostarczają makrowirusy (tj. programy w języku BASIC) w niezbędne zasoby i funkcje.

Jeśli system operacyjny zawiera elementy ochrony informacji, jak to ma miejsce w prawie wszystkich systemach operacyjnych, wirusowi będzie bardzo trudno trafić w swoje cele, ponieważ będzie to wymagało (przynajmniej) złamania systemu haseł i uprawnień. W rezultacie praca wymagana do napisania wirusa będzie wykonywana tylko przez profesjonalistów wysokiego szczebla (wirus Morris dla VAX jest tego przykładem). A dla profesjonalistów, moim zdaniem, poziom przyzwoitości jest wciąż znacznie wyższy niż wśród konsumentów ich produktów, a co za tym idzie liczba stworzonych i wprowadzonych w świetne życie wirusy zostaną jeszcze bardziej zredukowane.

Masowa produkcja wirusów wymaga również odpowiedniej ilości informacji o ich środowisku. Jaki procent liczby programistów systemowych pracujących na minikomputerach w systemach operacyjnych UNIX, VMS itp. zna system sterowania procesem w pamięci RAM, pełne formaty pliki wykonywalne i rekordy startowe na dysku? (tj. informacje potrzebne do stworzenia wirusa). A zatem jaki procent ich liczby jest w stanie wyhodować prawdziwe pełnoprawne zwierzę? Innym przykładem jest system operacyjny Novell NetWare, który jest dość popularny, ale niezwykle słabo udokumentowany. W rezultacie nie znam jeszcze ani jednego wirusa, który miałby wpływ na pliki wykonywalne Novell NetWare, pomimo licznych obietnic ze strony twórców wirusów, że udostępnią go w najbliższej przyszłości.

Cóż, o szerokiej dystrybucji systemu operacyjnego, jak warunek konieczny w przypadku inwazji wirusowej mam dość gadania: na 1000 programistów tylko 100 jest w stanie napisać wirusa, na tę setkę jest taki, który zrealizuje ten pomysł. Teraz uzyskaną proporcję mnożymy przez liczbę tysięcy programistów - i otrzymujemy wynik: z jednej strony 15 000 lub nawet 20 000 wirusów w pełni kompatybilnych z IBM, z drugiej kilkaset wirusów dla Apple-Macintosha. To samo rozbieżności w proporcjach obserwuje się również przy porównaniu całkowitej liczby wirusów dla Windows (kilkadziesiąt) i OS/2 (kilka sztuk).

Kilka systemów operacyjnych (w tym edytorów) produkowanych przez Microsoft (DOS, Windows, Win95/NT i Word, Excel, Office97) spełnia powyższe trzy warunki „rozkwitu” wirusów komputerowych, co stanowi żyzny grunt dla istnienia szerokiej gamy wirusów plików i makr. Powyższe warunki spełniają również standardy partycjonowania dysków twardych. Rezultatem są różne wirusy rozruchowe, które infekują system w momencie jego rozruchu.

W celu oszacowania czasu trwania inwazji wirusów komputerowych w dowolnym OC konieczne jest oszacowanie czasu współwystępowania powyższych warunków koniecznych.

Jest całkiem jasne, że IBM i Apple nie oddadzą masowego rynku swoim konkurentom w dającej się przewidzieć przyszłości (ku uciesze programistów Apple i IBM), nawet jeśli firmy te będą musiały połączyć siły, aby to zrobić. Nie jest również możliwe skrócenie przepływu informacji o najczęściej spotykanych systemach, gdyż wpłynie to na liczbę aplikacji dla nich, a w konsekwencji na ich „rynkowalność”. Pozostało tylko jedno - ochrona systemu operacyjnego. Jednak bezpieczeństwo systemu operacyjnego wymaga wykonania pewnych zasad (hasła itp.), co prowadzi do szeregu niedogodności. Dlatego wydaje mi się mało prawdopodobne, aby takie systemy operacyjne stały się popularne wśród zwykłych użytkowników - sekretarek, księgowych, na komputerach domowych itp. itp. Lub też funkcje ochrony zostaną wyłączone przez użytkownika podczas instalacji systemu operacyjnego.

Na podstawie powyższego możemy wyciągnąć jedyny wniosek: wirusy z powodzeniem przeniknęły do ​​codziennego życia komputera i nie zamierzają go opuścić w dającej się przewidzieć przyszłości.

Wirusy komputerowe - mit i rzeczywistość?

Często słyszę pytania od użytkowników komputerów - „Mój komputer jest zepsuty. Wypalony itp. Powiedzieli mi, że to wirus. To prawda? Takie pytanie zwykle wywołuje u mnie uśmiech, a krótka odpowiedź brzmi: „to koniec, to nieprawda”.
Może się to wydawać dziwne, ale większość użytkowników komputerów wierzy, że wirusy komputerowe mogą zrobić wszystko, nawet ukraść komputer z mieszkania, czy to oczywiście żart?

W związku z tym rodzą się różne mity, które zwykle rozpowszechniają różni wyimaginowani „mistrzowie komputerowi”, którzy dopiero wczoraj nauczyli się jeździć myszą.

A ich standardową odpowiedzią na każdą awarię jest „Tak, to prawdopodobnie wirus, który spalił twojego” lub „Nie mogę tego zrobić, najwyraźniej jakiś wirus stoi na drodze”. Ogólnie rzecz biorąc, jeśli nie wie, co jest zepsute i jak to naprawić, jego standardowe zdanie to „To wirus”. Cóż, wtedy poczta pantoflowa działa od osoby, informacje są przekazywane do osoby o przerażających wirusach, które w ciągu kilku sekund spalają setki komputerów.

Tak, oczywiście, Hollywood próbowało tutaj ponownie swoimi filmami, w których wirusy komputerowe wysadzają komputery niewinnych użytkowników, generalnie nie wierzą we wszystko, co jest pokazane w filmach.

Główne mity na temat wirusów komputerowych i trochę humoru

To nieprawda, wirus komputerowy nie może spowodować żadnych fizycznych uszkodzeń komponentów. Oczywiście teoretycznie możliwe jest dokonywanie zmian np. w kartach graficznych. Ale w 99% przypadków winny jest sam użytkownik, który próbował przetaktować kartę graficzną lub ją sflashować, a nie mityczny wirus.

Osobiście nigdy nie spotkałem się z przypadkami awarii (spalenia) podzespołów z powodu wirusów.

2. Wirus komputerowy przeszkadza.

Także kompletny nonsens. Ponieważ wirusy działają tylko w środowisku systemu operacyjnego, to znaczy, kiedy uruchomione okna. Tak, a po sformatowaniu dysku twardego podczas instalacji systemu Windows wszystkie dane, w tym wirusy, są całkowicie usuwane.

3. Wirusy wykonują swoją brudną robotę, nawet gdy komputer jest wyłączony.

Nie, wirusy nie mogą działać, gdy komputer jest wyłączony, ponieważ wirus to także program.

4. Komputer został zainfekowany wirusami i nie włącza się.

Z powodu wirusów system Windows może się nie uruchomić, ale nie może być tak, że komputer w ogóle się nie włącza z ich powodu.

5. Tak! Wirusy wysadzają komputery, zjadają dziury w kartach graficznych i innych komponentach, rozmnażają się w ciepłym środowisku radiatora procesora i budują własną państwowość.

Oczywiście ten punkt to żart, wirusy nie są do tego zdolne. Po prostu nie mogę napisać tego artykułu bez humoru i uśmiechu. Zapamiętywanie wypowiedzi i pytań niektórych użytkowników wymienionych w tym akapicie.

Co potrafią wirusy?

Tak, wirusy są bardzo niebezpieczne i denerwujące. Ale tego, co opisałem powyżej, nie mogą zrobić. Najbardziej nieprzyjemne są te wirusy, które usuwają informacje z dysku, infekując różne pliki. Oznacza to, że nie usuwają ich, ale programy antywirusowe, które wykryły je w tym pliku.
Ogólnie rzecz biorąc, wirusy w większości potrafią robić małe, brudne sztuczki. Chociaż są poważniejsi bracia, nadal nie mogą spalić komputera.

Najważniejszą rzeczą do zapamiętania jest to, że wirus to ten sam program, który samodzielnie kopiuje (replikuje) i ma na celu wyrządzenie szkody innym programom. Ale ponieważ jest to program, nie może wykraczać poza funkcje programów.

Byłbym szczęśliwy, gdybyś w komentarzach wyrażał komiczne przekonania ludzi na temat tego, co potrafią wirusy.

Wirusy. Mity i rzeczywistość

Klasyfikacja wirusów

Mamy nadzieję, że poniższa klasyfikacja pomoże ci poruszać się po różnorodności i cechach wirusów. Opiera się na oryginalnej klasyfikacji wirusów firmy Kaspersky Lab.

Według siedliska wirusy można podzielić na:

- wirusy plikowe, które wstrzykują do plików wykonywalnych (COM, EXE, SYS, BAT, DLL);

- bootowalne, które są osadzone w sektorze rozruchowym dysku (Boot-sector) lub w sektorze zawierającym program ładujący system dysku twardego (Master Boot Record);

- wirusy makr, które są wprowadzane do systemów, które podczas pracy wykorzystują tzw. makra (na przykład Microsoft Word lub Microsoft Excel).

Są też kombinacje. Na przykład wirusy, które infekują zarówno pliki, jak i sektory rozruchowe. Z reguły mają dość złożony algorytm pracy, często wykorzystują oryginalne metody penetracji systemu i są trudniejsze do wykrycia.

Klasyfikacja wirusów według metod infekcji.

- Wirusy rezydentne — podczas infekowania komputera pozostawiają swoją rezydentną część w pamięci RAM, która następnie przechwytuje dostęp systemu operacyjnego do zainfekowanych obiektów i infiltruje je. Wirusy rezydentne znajdują się w pamięci i pozostają aktywne do momentu wyłączenia lub ponownego uruchomienia komputera.

– Wirusy nierezydentne nie infekują pamięci komputera i są aktywne tylko przez ograniczony czas.

Według ich destrukcyjnych możliwości wirusy można podzielić na:

- nieszkodliwe, czyli niewpływające w żaden sposób na działanie komputera (poza zmniejszeniem wolnego miejsca na dysku w wyniku jego dystrybucji);

– nieszkodliwy, którego wpływ jest ograniczony przez zmniejszenie wolnego miejsca na dysku oraz efektów graficznych, dźwiękowych i innych;

- niebezpieczne - wirusy, które mogą prowadzić do poważnych awarii;

- bardzo niebezpieczne - mogące prowadzić do utraty programów, zniszczenia danych, informacji niezbędnych do działania komputera, informacji zapisanych w obszarach pamięci systemowej itp.

Klasyfikacja wirusów według cech algorytmu jest następująca.

– Wirusy „towarzyszące” – algorytm ich działania polega na tym, że tworzą pliki satelitarne dla plików EXE o tej samej nazwie, ale z rozszerzeniem COM. Po uruchomieniu takiego pliku system MS-DOS najpierw wykryje i uruchomi plik COM, czyli wirusa, a następnie uruchomi plik EXE.

- Wirusy – „robaki” (robak) – odmiana wirusów „towarzyszących”. Robaki nie kojarzą swoich kopii z żadnymi plikami. Tworzą swoje kopie na dyskach iw folderach na dyskach bez jakiejkolwiek modyfikacji innych plików i bez użycia opisanej powyżej techniki som-exe.

– Wirusy „studenckie” są niezwykle prymitywne, często nierezydentne i zawierają dużą liczbę błędów.

- Wirusy „ukryte” (wirusy ukrywające się) to bardzo zaawansowane programy, które przechwytują wywołania systemu MS-DOS do dotkniętych plików lub sektorów dysku i zamiast tego „podmieniają” niezainfekowane fragmenty informacji. Ponadto podczas uzyskiwania dostępu do plików takie wirusy używają raczej oryginalnych algorytmów, które pozwalają im na ominięcie rezydentnych monitorów antywirusowych.

– Wirusy „polimorficzne” (samoszyfrujące lub „widmo”, polimorficzne) są dość trudnymi do wykrycia wirusami, które nie zawierają ani jednej stałej sekcji kodu. W większości przypadków dwie próbki tego samego „polimorficznego” wirusa nie będą miały jednego dopasowania. Osiąga się to poprzez zaszyfrowanie głównej treści wirusa i zmodyfikowanie programu deszyfrującego.

– Wirusy makr – wirusy z tej rodziny wykorzystują możliwości języków makr (takich jak Word Basic) wbudowanych w systemy przetwarzania danych (edytory tekstu, arkusze kalkulacyjne itp.). Obecnie wirusy makr, które infekują dokumenty edytora tekstu Microsoft Word i arkusze kalkulacyjne Microsoft Excel, są szeroko rozpowszechnione.

- Wirusy sieciowe ("robaki sieciowe") — wirusy, które rozprzestrzeniają się w sieci komputerowej i, podobnie jak wirusy "towarzyszące", nie zmieniają plików ani sektorów na dyskach. Przenikają one do pamięci komputera z sieci komputerowej, obliczają adresy sieciowe innych komputerów i wysyłają swoje kopie na te adresy. Takie wirusy czasami tworzą działające pliki na dyskach systemowych, ale mogą w ogóle nie uzyskiwać dostępu do zasobów komputera (z wyjątkiem pamięci RAM).

Sposoby infekcji

Najpopularniejsze metody infekcji są następujące.

– Przez Internet, w tzw. sposób „dobrowolny”: gdy użytkownik pobiera coś z sieci. Bardzo często prawdziwy WIN95 może siedzieć pod nieszkodliwym akceleratorem przeglądarki. CIH (WIN95. CIH lub "Czarnobyl" flashuje BIOS komputera).

- Przez Internet metodą „push”: ze względu na niepiśmienne ustawienia przeglądarki możesz (w najlepszym przypadku) pobrać JavaScript, ActiveX itp. jako element podpisany. Rezultatem takiego pobrania mogą być otwarte porty (port jest kanałem komunikacyjnym między dwoma lub więcej komputerami) do dalszego ataku, usunięcia danych lub kradzieży plików. Faktem jest, że strony internetowe zawierają nie tylko tekst, grafikę, muzykę i animacje (czyli dane), ale także zawartość aktywną, w tym aplety Java i kontrolki ActiveX. Tak więc te obiekty są kodem programu działającym na komputerze użytkownika. Co uniemożliwia złośliwemu użytkownikowi napisanie takiego kodu, który sformatowałby dysk? Oczywiście ustawienia zabezpieczeń Internet Explorera. Dlatego w ustawieniach bezpieczeństwa przeglądarki internetowej konieczne jest wyłączenie pobierania niepodpisanych formantów ActiveX oraz korzystania z formantów ActiveX, które nie są oznaczone jako bezpieczne, a nawet lepiej ustawić poziom bezpieczeństwa na wysoki.

Wirus z Internetu może sam przeniknąć do Twojego komputera — wystarczy, że masz połączenie z Internetem. Dobrze znany MSBlast, a także wiele innych, jest dystrybuowany za pośrednictwem tego mechanizmu. Oto jeden z przykładów algorytmu propagacji naruszeń: wykorzystując naruszenie w usłudze DCOM RPC, robak sprawdza port 135 maszyn zawieszonych w sieci. Jeśli wyniki testu są korzystne, port 4444 jest otwierany w celu oczekiwania na dalsze polecenia. Następnie otwierany jest port 69 UDP, po czym robak pobiera plik multimedialny na komputer. Dlatego konieczne jest pobranie nowych aktualizacji do systemu operacyjnego, w przeciwnym razie robaki mogą być ostatnim przetwarzanym przez niego kodem.

– Najczęstszym sposobem infekcji jest rozprzestrzenianie się wirusów za pośrednictwem poczty e-mail. Mimo licznych ostrzeżeń i środków ostrożności postępuje. Dlatego bądź ostrożny i nigdy nie otwieraj załączonych plików, które zostały dostarczone z wiadomością od nieznajomego.

- Poprzez dyskietkę lub płytę CD - również dość powszechny sposób infekcji. Statystycznie użytkownicy częściej sprawdzają dyskietki niż dyski, mówiąc delikatnie: płyty CD zwykle nie są sprawdzane w ogóle. Jednak to pirackie dyski (nikt nie zaprzeczy, że mamy ich większość) odgrywają znaczącą rolę w rozprzestrzenianiu się wirusów. Dlaczego, gdy wirus Czarnobyla ogarnął Europę i Azję, okazało się, że zainfekowanych zostało około miliona samochodów, a tylko 10 000 w USA? Ponieważ był rozpowszechniany za pomocą nielegalnego oprogramowania kopiowanego na płyty CD. Dlatego zrób z zasady sprawdzanie dyski wymienne program antywirusowy i regularnie aktualizować antywirusowe bazy danych.

Czasami wirus może być zamaskowany jako program-żart, który naśladuje wirusa, chociaż zarówno Kaspersky 5.0, jak i Panda Platinum definiują go jako prawdziwego wirusa. Pomysłowość twórcy wirusa w tym przypadku nie zna granic: nazwa takiego „żartu” może brzmieć: Nie wirus! Żart! Zapewnij obiektywność kontrola antywirusowa jest to możliwe tylko poprzez deasemblację takiego programu. Czasami wirusy mogą nawet znajdować się w kodzie programu antywirusowego.

Wirusy, które rozprzestrzeniły się w środowisku komputerowym, podekscytowały cały świat. Hakowanie sieci, napadanie na banki i kradzież własności intelektualnej - wszystko to od dawna nie jest już mitem, ale trudną rzeczywistością. Roczne straty spowodowane skutkami działalności wirusowej sięgają miliardów dolarów.

Zdecydowana większość wirusów to programy zasadniczo nieszkodliwe, ograniczające pole swojej aktywności do efektów tekstowych, dźwiękowych i wideo. Większość z nich pisanych przez amatorów zawiera błędy w kodzie, co nie pozwala im w pełni wyrządzić szkody. Oprócz tak typowych problemów jak np. sformatowanie dysku systemowego, wirusy mogą uszkodzić komponent sprzętowy, wypalić luminofor monitora, a nawet wpłynąć na zdrowie (rewelacyjny wirus 777). Zapewne słyszałeś już, że wirusy infekują głównie pliki EXE i COM. Tak było do niedawna. Do tej pory nikogo nie zaskoczy zainfekowane dokumenty utworzone w pakiecie Office. Niedawno zgłoszono przypadki wirusów rozprzestrzeniających się za pośrednictwem plików JPEG.

Jednak nawet jeśli komputer działa płynnie i nie wykazuje żadnych oznak aktywności wirusów, nie oznacza to wcale, że system nie jest zainfekowany. Niektóre foldery systemowe mogą zawierać konia trojańskiego, który wysyła hasła właściciela z wiadomości e-mail lub, co gorsza, z system płatności pieniądze internetowe.

W niektórych przypadkach większość użytkowników nawet nie podejrzewa, że ​​są przedmiotem kontroli.

Oprogramowanie może być różne: przydatne i niezbyt przydatne. W tym drugim przypadku mówimy o znanych wirusach komputerowych. Wirus komputerowy - złośliwe oprogramowanie, który może powielać swoje kopie i niezależnie penetrować (osadzać swoje kopie) w kodzie innych programów, baz danych, sektorów rozruchowych dysku twardego itp. Co więcej, ten rodzaj oprogramowania nie ogranicza się do „penetracji”. Ostatecznym celem większości wirusów komputerowych jest wyrządzenie szkody odbiorcy. Szkodliwość wirusów komputerowych sprowadza się do usuwania plików, przechwytywania części przestrzeni dyskowej komputera, blokowania pracy jego użytkowników, hakowania danych osobowych itp.

Och, ale nie wszystkie wirusy komputerowe tak wrogo nastawieni. Niektóre z nich po prostu wyświetlają na ekranie monitora nieszkodliwe komunikaty o treści humorystycznej, reklamowej lub politycznej. W tym przypadku nie ma żadnych szkód dla komputera. Czego nie można powiedzieć o użytkowniku, którego układ nerwowy poddawany jest pewnemu testowi. Test, z którym nie każdy z nas sobie poradzi. Zerwane myszy, okaleczone klawiatury i zepsute monitory w reklamach są tego żywym potwierdzeniem.

Jak zapewne już zgadłeś, nasza dzisiejsza rozmowa dotyczyć będzie historii wirusów komputerowych.

Dlaczego „wirus”?

Swoją wycieczkę do historii zacznę od pochodzenia nazwy „wirus komputerowy”. Dlaczego „wirus”, a nie, powiedzmy, „choroba” lub „uraza”? Odpowiedź jest prosta - chodzi o uderzające podobieństwo mechanizmu dystrybucji wirusów biologicznych i komputerowych. Tak jak wirus biologiczny przejmuje komórkę organizmu, rozmnaża się w niej, a następnie zajmuje nową komórkę, tak samo wirus komputerowy. Po przeniknięciu do tego lub innego programu, po utworzeniu określonej liczby kopii samego siebie, złośliwe oprogramowanie zaczyna przejmować inne obszary komputera, a następnie przechodzi do następnego urządzenia. Zgadzam się, analogia jest więcej niż oczywista. Właściwie to dlatego „wirus”. To prawda, nie biologiczne, ale komputerowe.

Nie wiadomo na pewno, kto i kiedy jako pierwszy użył tego wyrażenia. Dlatego, nie pretendując do miana ostatecznej prawdy, podam nazwisko osoby najczęściej wymienianej w tym kontekście. Ten (na zdjęciu po prawej) jest astrofizykiem i, w połączeniu, pisarzem science fiction z USA. Wielu wierzy, że to jest w jego historii „Człowiek z bliznami”(1970) słowo „wirus” zostało po raz pierwszy użyte w odniesieniu do programu komputerowego.

Bez teorii - bez wirusów!

Jak to często bywa, słowa i czyny wyraźnie rozchodzą się w czasie. W naszym przypadku może to potwierdzić fakt, że uzasadnienie teoretycznych podstaw tworzenia i funkcjonowania samoodtwarzania programy komputerowe(wirusy) miały miejsce dziesiątki lat przed samą frazą.

Już w 1949 roku na Uniwersytecie Illinois, amerykański matematyk pochodzenia węgierskiego Jana von Neumanna prowadził kurs wykładów na temat „Teoria i organizacja złożonych urządzeń automatyki”. Następnie słynny naukowiec podsumował swoje materiały wykładowe i opublikował w 1951 roku pracę naukową o podobnym tytule „Teoria samoodtwarzających się urządzeń automatycznych”. W swojej pracy John von Neumann szczegółowo opisał mechanizm tworzenia programu komputerowego, który w trakcie działania mógł się odtwarzać.

Badania naukowe von Neumanna stały się głównym bodźcem do praktycznego tworzenia wirusów komputerowych w przyszłości, a sam naukowiec jest słusznie uważany za ojca teoretyka wirusologii komputerowej.

Rozwijanie teorii amerykańskiego, niemieckiego badacza Veith Rizak w 1972 publikuje artykuł „Samoodtwarzający się urządzenia automatyczne przy minimalnej wymianie informacji. W nim naukowiec opisuje mechanizm działania pełnoprawnego wirusa napisanego w języku asemblera dla systemu komputerowego SIEMENS 4004/35.

Kolejną ważną pracą naukową w tej dziedzinie jest dyplom absolwenta Uniwersytetu w Dortmundzie Jürgen Kraus. W 1980 roku w jego ostateczna praca„Programy samoodtwarzające” młody badacz otworzył pytania teorii, opisał istniejące już w tym czasie programy samoodtwarzające dla komputera SIEMENS i jako pierwszy zwrócił uwagę na to, że programy komputerowe są podobne do wirusów biologicznych.

Uważny czytelnik może zauważyć, że wspomniane powyżej badania naukowe dotyczyły opracowania wyłącznie "pokojowych" programów komputerowych zdolnych do samoreprodukowania. Teoretycy nawet nie myśleli o szkodliwości swoich „pacjentów”. Zrobili to za nich inni ludzie, którzy z czasem dostrzegli ogromny potencjał tego rodzaju programów do „uszkadzania” komputerów i innego sprzętu. Ale to było później, ale na razie przejdźmy od teorii do praktyki.

Pierwsze jaskółki

Mają to, o czym mówił i pisał John von Neumann, grupa pracowników amerykańskiej firmy Laboratoria Bell stworzył oryginalną grę na komputery IBM 7090 w 1961 Darwin. Podczas tej gry pewna liczba programów asemblera ("organizmów") została załadowana do pamięci komputera. Organizmy jednego gracza miały wchłonąć organizmy innego gracza, zabierając przy tym coraz większą przestrzeń gry. Zwycięstwo uczcił gracz, którego organizmy zawładnęły całą pamięcią gry.

Tym z Was, drodzy czytelnicy, którzy chcą szczegółowo zapoznać się z chronologią występowania znanych wirusów komputerowych na planecie, mogę polecić w języku angielskim. Znajdziesz tam wiele interesujących faktów na temat „protowirusów” (np. Jerusalem/1987 lub Morris worm/1988) oraz zaktualizujesz swoją wiedzę na temat nowego złośliwego oprogramowania (np. konia trojańskiego Game Over/2013). Oczywiście, jeśli z angielskim jesteś na tobie.

Wirus na wirusa - niezgoda!

Przez lata, które minęły od pojawienia się pierwszego wirusa komputerowego, ukształtowały się główne typy (typy) złośliwego oprogramowania. Pokrótce omówię każdy z nich.

Klasyfikacja wirusów komputerowych:

• robak sieciowy- rodzaj "wrogiego" oprogramowania, które jest w stanie niezależnie rozprzestrzeniać się za pomocą lokalnych lub globalnych sieci komputerowych. Pierwszym przedstawicielem jest wspomniany już robak Morris.


• Koń trojański, trojański- rodzaj wirusa komputerowego rozprowadzanego (ładowanego do komputera) bezpośrednio przez osobę. W przeciwieństwie do robaka, trojan nie może spontanicznie przejąć kontroli nad konkretnym komputerem. Pierwszym koniem trojańskim był wirus komputerowy AIDS w 1989 roku.


• Polimorficzny wirus komputerowy- złośliwe oprogramowanie o podwyższonym poziomie ochrony przed wykryciem. Innymi słowy, jest to wirus komputerowy stworzony przy użyciu specjalnej techniki programowania, która pozwala mu pozostać niewykrytym przez dłuższy czas. Pierwszym wirusem polimorficznym był Chameleon (1990).


• ukryty wirus- wirus komputerowy, który może częściowo lub całkowicie ukryć swoją obecność w miejscu pobrania i aktywacji. W rzeczywistości jest to niewidoczny wirus, którego kluczową różnicą w stosunku do wirusa polimorficznego jest metoda maskowania. Mechanizm ukrywania obecności wirusa ukrywającego się polega na przechwytywaniu połączeń do systemu operacyjnego przez oprogramowanie antywirusowe. Frodo (1990) jest uważany za protoplastę tej grupy wirusów komputerowych.

Jeśli coś się dzieje, to ktoś tego potrzebuje

Jakie są cele twórców wirusów komputerowych? Tak, bardzo różne. W większości, według zachodnich analityków, mówimy o niszczeniu sprzętu komputerowego konkurentów/wrogów lub kradzieży środków należących do osób zaatakowanych przez wirusa.

Jednocześnie istnieją inne, czasem dość zabawne, przyczyny rozwoju wirusów komputerowych. Niektóre postacie rozpowszechniają informacje polityczne za pośrednictwem wirusa. Inni, pełni troski o innych, używają go, aby wskazać podatność określonego oprogramowania. Są nawet ludzie, którzy obserwując konsekwencje ataku wirusa, czerpią perwersyjną ludzką przyjemność. Jednym słowem baw się dobrze.

Nie można również pominąć roli programistów w tworzeniu i dystrybucji wirusów komputerowych. Ktoś mógłby zapytać: jak to jest? Właśnie tak! Każdego roku straty spowodowane atakami wirusów na świecie szacowane są na miliardy dolarów. Kapitalizacja międzynarodowego rynku płatnego oprogramowania antywirusowego również szacowana jest na miliardy. Można dojść do prostej myśli: to niewyczerpana kopalnia złota. Najpierw powstaje wirus (choć z pomocą pośredników), a następnie jest skutecznie leczony przez klienta. Dla pieniędzy.

Nie ma w tym nic nowego. Zwłaszcza jeśli pamiętasz, co nieobojętni działacze zarzucają międzynarodowym koncernom farmaceutycznym. Wtedy w moich domysłach można znaleźć zdrowe ziarno. Ani jednego.

Krótko mówiąc, cała historia pojawienia się wirusów komputerowych. Bądź ostrożny i niech szczęście, zdrowie i trzy worki pieniędzy będą z tobą.