Балачки молоді
Меню сайту
Міні-чат
Наше опитування
Оцените мой сайт
Всього відповідей: 44
Головна » 2009 » Квітень » 22 » Компьютерные вирусы
Компьютерные вирусы
18:14

Компьютерные вирусы - разновидность компьютерных программ, отличительной особенностью которых является способность к саморазмножению, а так же способность несанкционированно, без ведома пользователя проникать на его компьютер и распространяться оттуда на другие компьютеры. Кроме того компьютерные вирусы (далее просто "вирусы") часто содержат в себе деструктинвые функции, посредством использования которых способны изменить или уничтожить данные вплодь до их полного уничтожения на всех носителях информации.

Компьютерные вирусы - разновидность компьютерных программ, отличительной особенностью которых является способность к саморазмножению, а так же способность несанкционированно, без ведома пользователя проникать на его компьютер и распространяться оттуда на другие компьютеры. Кроме того компьютерные вирусы (далее просто "вирусы") часто содержат в себе деструктинвые функции, посредством использования которых способны изменить или уничтожить данные вплодь до их полного уничтожения на всех носителях информации. 

История вирусов

  1945 год. Вице-адмирал ВМФ США Грейс Мюррей Хоппер (Grace Murray Hopper), руководившая информационным отделом военно-морского штаба, столкнулась с тем, что электронно-счетные машины (прототипы современных компьютеров) начали давать сбои. Причиной стал мотылек, залетевший внутрь одного из реле. Адмирал назвала эту проблему жуком (bug), используя термин, применявшийся физиками США и Великобритании с конца XIX века (он обозначал любого рода неполадку в электрических устройствах). Адмирал также впервые использовала термин избавление от жука (debugging), который ныне применяется для описания действий, ставящих своей целью устранение неполадок в компьютере.
  1949 год. Ученый Джон фон Нейманн (John von Naumann) разработал математическую теорию создания самовоспроизводящихся программ. Это была первая теория создания компьютерных вирусов, вызвавшая весьма ограниченный интерес у научного сообщества.
  Примерно 1950 год. Математики, работающие в исследовательском подразделении корпорации Bell, придумали игру: они создают программы, отбирающие друг у друга компьютерное пространство. 
  Конец 1960-х годов. Появление первых вирусов. В ряде случаев это были ошибки в программах, приводившие к тому, что программы копировали сами себя, засоряя жесткие диски компьютеров, что снижало их производительность, однако считается, что в большинстве случаев вирусы сознательно создавались для разрушения. Вероятно, первой жертвой вирусоподобной программы, написанной программистом для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер, на котором и был создан. Собственно вирусом эту программу назвать было еще нельзя, однако это была первая программа, которая делала не то,что от нее ожидал оператор и пытающаяся создавать свои копии. Pervading Animal с целью саморазмножения дописывал себя к выполняемым файлам и таким образом делал пpактически то же самое, что тысячи совpеменных компьютеpных виpyсов.
  1975 год. Через Telenet распространяется сетевой вирус The Creeper. Для противодействия ему написана антивирусная программа The Reeper.
  1979 год. Инженеры из исследовательского центра компании Xerox создали компьютерный червь (worm).
  1981 год. Вирус Elk Cloner поражает компьютеры Apple. Вирус распространялся через пиратские компьютерные игры.
  1983 год. Ученый Фред Кохен (Fred Cohen) из Университета Северной Каролины вводит термин компьютерный вирус.
  1986 год. Создан вирус для IBM PC The Brain. Два брата-программиста из Пакистана написали программу, которая должна была наказать местных пиратов, ворующих программное обеспечение у их фирмы. В программе значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру. Успех вируса был обеспечен тем, что компьютерное сообщество было абсолютно не готово к подобному развитию событий.
  1987 год. Программист Ральф Бергер (Ralph Burger) написал книгу об искусстве создания вирусов и борьбы с ними "Компьютерные вирусы. Болезнь высоких технологий" (Computer Viruses. The Decease of High Technologies).
  1988 год. 23-летний американский программист создал червя, поразившего 6000 компьютеров ARPANET. И впервые суд приговорил автора вируса к $10 тыс. штрафа и 3 годам испытательного срока.
  Создано антивирусное ПО для IBM PC. В том же году появилась троянская программаконь AIDS. Вирус делал недоступной всю информацию на жестком диске и высвечивал на экране лишь одну надпись: Пришлите чек на $189 на такой-то адрес. Автор программы был арестован в момент обналичивания денег и осужден за вымогательство.
  Создан вирус для противодействия антивирусному ПО (Темный Мститель, The Dark Avenger). Он заражал новые файлы, пока антивирусная программа проверяла жесткий диск компьютера.
  Клифф Столл (Cliff Stoll), сотрудник Lawrence Berkeley National Laboratory опубликовал книгу "Кукушкины яйца" (The Cuckoos Egg), в которой предостерегал, что всемирная компьютерная сеть может служить не только целям добра, но и активно использоваться военными, преступниками и хулиганами. Столл рекомендовал заблаговременно принять меры для недопущения подобного развития событий.
  1990 год. Компьютерный журнал PC Today разослал подписчикам инфицированную дискету.
  1993 год. Вирус SatanBug поражает сотни компьютеров в столице США, Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора, им оказался 12-летний подросток.
  Зафиксировано появление бомб замедленного действия - вирусов, которые проникают в компьютеры и активизируются по достижении определенной даты. Это мог быть день рождения Мао Цзе Дуна, Новый год, пятница 13-е и т. д. Первой от подобного вируса пострадала газета The New York Times.
  1994 год. В Великобритании, США, Норвегии арестованы несколько авторов вирусов. Они отделываются штрафами.
  1995 год. Корпорация Microsoft выпустила бета-версию ОС Windows 95 на дискетах, зараженных вирусом.
  Появление макровирусов, рассчитанных на поражение программной платформы определенной программы. Макровирус Concept поразил программу MS Word.
  1998 год. Два калифорнийских подростка создали вирус, который поразил более 500 компьютеров Пентагона. После этого инцидента в Министерстве обороны США пришли к выводу, что атаки в киберпространстве не менее опасны, чем традиционные виды ведения боевых действий, и создали термин гонка компьютерных вооружений.
  1999 год. Вирус Melissa вызвал эпидемию мирового масштаба, поразил десятки тысяч компьютеров и нанес ущерб в $80 млн. После этого инцидента в мире начался обвальный спрос на антивирусные программы. В 2002 году автор Melissa 33-летний программист Дэвид Смит (David L. Smith) приговорен к 20 месяцам тюремного заключения.
  2000 год, май. Рекорд Melissa побил вирус I Love You! (MS Lovesan), поразивший миллионы компьютеров в течение нескольких часов. Расследование показало, что вирус создал филиппинский студент, который не был осужден из-за отсутствия соответствующих законов в законодательстве Филиппин. Втом же году подписано первое международное соглашение о противодействии компьютерным вирусам.
  Несколько десятков популярных сайтов (в том числе Yahoo!, eBay, Amazon) на некоторое время были выведены из работы в результате удаленной атаки (настолько большая перегрузка Интернет-сервера запросами на обслуживание, что тот вынужден отказывать нормальным пользователям). Вирусом были заражены десятки тысяч компьютеров, которые и выбили пострадавшие сайты из Сети. Атаку организовали с компьютеров учебного центра Калифорнийского университета, однако злоумышленники остались необнаруженными.
  2001 год. 20-летний голландец Ян Де Вит (Jan De Wit) был приговорен к 150 часам исправительных работ за создание вируса Anna Kournikova. Суд пришел к выводу, что он не может точно определить размер ущерба, который нанес вирус экономике Нидерландов. У Де Вита также была конфискована коллекция из 7,5 тыс. вирусов. Де Вит заявил суду, что не имел представления, что написанная им программа окажется вирусом и нанесет кому-либо ущерб.
  2002 год. Вирус поразил 13 узловых Интернет-серверов, обеспечивающих функционирование Всемирной Сети. Аналитики предупреждают, что хорошо подготовленная и проведенная компьютерная атака может на недели уничтожить Интернет.
  2003 год. Рекорды быстроты распространения побил червь Slammer, заразивший 75. тыс. компьютеров за 10 минут.
  Вирус поразил компьютеры Госдепартамента США, где повредил базу данных. Консульства США по всему миру вынуждены были на 9 часов прервать процесс выдачи виз. 22-летний Саймон Вэллор приговорен британским судом к двум годам тюремного заключения за создание вирусов Gokar, Redesi и Admirer, которые инфицировали 27 тыс. компьютеров в 42 странах мира.
Классификация вирусов и принципы их работы

  Прежде чем будет приведена классификация вирусов следует отметить что однозначной и общепринятой среди специалистов классификации не существует, разные компании, занимающиеся безопасностью информационных систем и разработчики антивирусных программ как правило имеют свои собственные классификации, порой существенно различающиеся друг от друга, так что вирус по классификации одной компании относится к совсем другому типу у другой. Кроме того вирус может совмещать в себе разные функции и способы проникновения в систему из-за чего бывает невозможно точно указать, к какому типу его следует отнести. Однако несмотря на это классифицировать вирусы все-таки можно.
Классификация по способу размножения (прониконовения в систему)
Загрузочные вирусы

  Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) жесткого диска (винчестера). Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает на него управление. Загрузочный сектор представляет собой программу первичной загрузки операционной системы, она загружает в памать системные файлы операционной системы и передает им управление. Далее процессом загрузки системы управляют эти файлы. Системными файлами обычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо других в зависимости от установленной версии DOS, Windows или других операционных систем. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска выдает сообщение об ошибке и предлагает заменить загрузочный диск.
  При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы, обычно меняют boot-сектор на свой собственный код, а оригинальный boot-сектор переносится к какое-либо другое место на диске. Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных). Некоторые вирусы записывают свой код в последние сектора винчестера, поскольку эти сектора используются только тогда, когда винчестер полностью заполнен информацией, что является довольно редким явлением, если учесть размеры современных дисков. Принцип заражения, таким образом, следующий: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.
Файловые вирусы
  Файловые вирусы заражают исполняемые файлы операционной системы внедряясь в их структуру. При переносе зараженного вирусом файла на другой компьютер или при передаче его по сети вирус проникает на другой компьютер. Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных операционных систем. Существуют вирусы, заражающие не только испольняемые файлы, но и файлы с исходныи текстами программы, библиотечные файлы и программное модули. В качестве примера рассмотрим заражение исполняемого файла, как наиболее распространенный способ используемый вирусами. Мы специально не будем привязываться к структуре исполняемого файла, которая различна для разных операционных систем а приведем лишь общий принцип по которому осуществляется заражение.
 
  Любой исполняемый файл состоит из нескольких частей(секций). Основными секциями любого исполняемого файла являются (Рис.1.):
 
Заголовок - специальная секция в которой хранится разнообразная служебная информация о программе (местоположение всех остальных секций, местоположение блока данных и т. д.).
Непосредственно исполняемые коды самой программы.
  Одним из самых главных параметров в заголовке файла является "точка входа" - специальный адрес который указывает операционной системе с какого места должно начинаться выполнение программы. Подмена именно этого адреса и используется вирусами для заражения исполняемого файла при этом в большинстве случаев сам вирус записывается в конец файла.
 



Рис.1. Неинфицированный файл.
  Алгоритм заражения в общем случае состоит из следующих пунктов:
 
Проверка заражен ли уже файл. Если файл уже заражен никаких действий не осуществляется.
Запись вируса в конец файла.
Сохранение оригинального значения "точки входа" внутри тела вируса.
Изменение "точки входа" и других параметров заголовка с тем чтобы при запуске исполняемого файла управление передавалось на тело вируса.
 
  Проникновение вируса в систему (Рис2.):
 
Загрузка исполняемого файла в память компьютера.
Анализ системой заголовка файла и поиск в нем "точки входа"
Передача управления на адрес, указанный в "точке входа", фактически управление будет передано на тело вируса.
Проверка вирусом заражена ли уже система или нет.
Если система еще не заражена производится ее заражение и загрузка вируса в память.
Передача управления на оригинальное значение "точки входа", при этом начинается выполнение непосредственно самой программы.



Рис.2. Инфицированный файл.
  После запуска вирус контролирует все обращения системы к файлам и заражает их с помощью описанного ранее алгоритма, а так же производит деструктивные действия, если таковые в него заложены.
 
Сетевые вирусы
  Сетевые вирусы (черви) используют для своего распространения уязвимости в работе сетевых служб операционных систем, обеспечивающих доступ компьютера в сеть. В последнее время основной сетью, через которую распространяются сетевые вирусы является сеть Internet. Так же существуют разновидности сетевых вирусов, использующих уязвимости других сетей, например локальных сетей Microsoft.
 
  Проникновение вируса в систему через Internet (Рис.3.):
 
Определение адреса удаленного компьютера.
Проверка, существует ли в его операционной системе нужная вирусу уязвимость.
Если существует - использование уязвимости и загрузка тела вируса на удаленный компьютер.
Проверка - заражен ли компьютер вирусом или нет.
Если не заражен - заражение компьютера.
Для эффективной защиты компьютера от Internet-червей необходимо регулярно обновлять систему (устранение уязвимостей сетевых служб).



Рис.3. Проникновение вируса в систему через Internet.
  Многие Internet – черви распространяются через электронную почту (e-mail), используя для своего проникновения в систему уязвимости в популярных почтовых программах либо "безответственность" самого пользователя.
 
  Проникновение в систему через электронную почту (Рис.4.):
 
Анализ адресной книги почтовой программы или времнных файлов Internet, которые создают на диске Internet-обозреватели (они используются для быстрого доступа к посещенным страницам без подключения к сети)
Извлечение из этих файлов адресов электронной почты.
Создание письма с телом вируса (в виде вложенного файла) и отправка его по извлеченным электронным адресам.
При чтении письма пользователем используется уязвимость почтовой программы, позволяющая запустить тело вируса без ведома пользователя, либо использование "безответственности" пользователя
Проверка - заражен ли уже компьютер вирусом,
Если нет - заражение компьютера.



Рис.4. Проникновение вируса в систему через электронную почту.

"Безответственность пользователя".

  Вирусы, используюшие "безответственность" пользователя маскируют свои письма под сообщения от известных производителей, за различного рода рекламу и т.д, и в конце этого письма предлагается открыть вложение (файл) для получения более подробной информации. Этот файл и является непосредственно телом вируса. Расчет делается на то, что пользователь, заинтересовавшись сообщением откроет вложенный файл и таким образом сам запустит вирус, и как показывает статистика распространения подобных вирусов – очень многие попадаются на такую уловку! Примером вируса подобного рода может служить вирус Avron, вызвавщий одну из крупнейших "эпидемий" в Internet, когда за несколько дней были заражены десятки тысяч компьютеров по всему миру. 

Троянские программы.

  Троянские программы можно назвать вирусами лишь условно, хотя они и обладают некоторыми признаками вирусов. Например подобно вирусам они скрывают свое пребывание в зараженной системе. Основное назначение троянских программ ради чего они создаются - незаметная кража с компьютера конфиденциальных данных: паролей доступа к различным сетевым ресурсам; закрытых ключей электронно-цифровой подписи; PIN-кодов кредитных и банковских карт. Украденные данные отправляются по электронной почте или иным способом злоумышленнику после чего программа обычно самоуничтожается. Большинство троянских программ, распространяемых через Internet крадут пароли доступа к Internet тем самым давая злоумышленнику бесплатный доступ в него. С этой целью написаны даже специальные конструкторы троянов, есть и готовые решения. Такие программы не требуют от пользователя никаких навыков в программировании и знаний Intenet-технологий, обычно эти программы распространяют люди у которых просто нет денег на Internet. Настоящие троянские программы специализированного назначения встречаются довольно редко, пишут их под конкретную задачу или даже под конкретных пользователей конкретной фирмы например под определенную группу сотрудников банка с целью заражения их компьютеров и доступа через кражу нужных данных к банковским счетам клиентов банка. Распространяют троянские программы так же как и сетевые вирусы.

Распространение вирусов через Web-сайты.

  В последнее время в связи с появлением в Internet большого количества Web-сайтов появились вирусы и троянские программы, распространяющиеся через них.
Макро-вирусы
  Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word и Excel. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.
 
  Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макро-языка с возможностями: 
 
Привязки программы на макро-языке к конкретному файлу; 
Копирования макро-программ из одного файла в другой; 
Возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы). 
  Данная особенность макро-языков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый "автоматизированный документооборот". С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.
 
Класификация по способу сокрытия в системе
Резидентность

  Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. 
  Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.
Использование стелс-алгоритмов

  Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов - вирус "Frodo", первый загрузочный стелс-вирус - "Brain".
Самошифрование и полиморфичность

  Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Классификация по деструктивным функциям
  По деструктивным функциям вирусы можно разделить на: 
 
Безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); 
Неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; 
Опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; 
Очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров. 
 
Законодательный аспект

  Уголовный Кодекс Российской Федерации предусматривает уголовное наказание максимальным сроком для 7-ми лет (Ст. 273 УК РФ) за создание, использование и расспространение вредоностных программ для ЭВМ. Ниже приведен полный текст этой статьи.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами-наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. 
Те же деяния, повлекшие по неосторожности тяжкие последствия,- наказываются лишением свободы на срок от трех до семи лет.

Переглядів: 981 | Додав: admin
Всього коментарів: 0
Додавати коментарі можуть лише зареєстровані користувачі.
[ Реєстрація | Вхід ]
Форма входу
Календар новин
«  Квітень 2009  »
ПнВтСрЧтПтСбНд
  12345
6789101112
13141516171819
20212223242526
27282930
Пошук
Друзі сайту
    Статистика

    Онлайн всього: 1
    Гостей: 1
    Користувачів: 0
    Copyright MyCorp © 2017