Стаття до проекту "Міфи і реальність про комп'ютерні віруси" Анни Богдан

Міфи і реальність про комп'ютерні віруси

Історія комп'ютерних вірусів

Історія свідчить, що ідею створення комп'ютерних вірусів окреслив письменник-фантаст Т. Дж. Райн, котрий в одній із своїх книжок, написаній в США в 1977 р., описав епідемію, що за короткий час охопила біля 7000 комп'ютерів. Причиною епідемії став комп'ютерний вірус, котрий передавався від одного комп'ютера до другого, пробирався в їхні операційні системи і виводив комп'ютери з-під контролю людини.

У 1992 році з'явився перший конструктор вірусів для PC — VCL (для Amiga конструктори існували і раніше), а також готові поліморфні модулі (MtE, DAME і TPE) і модулі шифрування для вбудовування в нові віруси. У кілька наступних років було остаточно відточено стелс-і поліморфні технології (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а також випробувано самі незвичайні способи проникнення в систему і зараження файлів (Dir II — 1991, PMBS, Shadowgard, Cruncher — 1993). Крім того, з'явилися віруси, що заражають об'єктні файли (Shifter, 1994) і вихідні тексти програм (SrcVir, 1994)

Разом з тим, виявлення в Windows та іншому поширеному ПО численних вразливостей відкрило дорогу черв'якам-експлоїтом. У 2004 р. безпрецедентні за масштабами епідемії викликають MsBlast (більше 16 млн систем за даними Microsoft [15]), Sasser і Mydoom (оціночні збитки 500 млн дол і 4 млрд дол відповідно [16]). Крім того, монолітні віруси в значній мірі поступаються місцем комплексам шкідливого ПЗ з поділом ролей і допоміжними засобами (троянські програми, завантажувачі / дроппери, фішингові сайти, спам-боти і павуки).

Також розквітають соціальні технології — спам і фішинг — як засіб зараження в обхід механізмів захисту ПЗ. Спочатку на основі троянських програм, а з розвитком технологій p2p-мереж — і самостійно — набирає обертів найсучасніший вид вірусів — хробаки-ботнети (Rustock, 2006, бл. 150 тис. ботів; Conficker, 2008—2009, більше 7 млн ​​ботів; Kraken, 2009, бл. 500 тис. ботів). Віруси у складі іншого шкідливого ПЗ остаточно оформляються як засіб кіберзлочинності.

Основні історичні етапи

Дата	Подія
1977	Написання фантастичної книги про епідемію комп'ютерних вірусів
1991-1993	Випробуванні способи проникнення в систему
1992	Поява першого вірусу
1994-1995	Вдосконалення стелс-і полімерфних технологій
2004	Безпрецендентна масштабна епідемія вірусів
2006-2008,2009	Розвиток технологій р2р-мереж, поява найсучасніших виду вірусів хробаки-ботнети

Комп'ютерний вірус

Комп'ютерний вірус — комп'ютерна програма, яка має здатність до прихованого саморозмноження. Одночасно зі створенням власних копій віруси можуть завдавати шкоди: знищувати, пошкоджувати, викрадати дані, знижувати або й зовсім унеможливлювати подальшу працездатність операційної системи комп'ютера. Розрізняють файлові, завантажувальні та макро-віруси. Можливі також комбінації цих типів. Нині відомі десятки тисяч комп'ютерних вірусів, які поширюються через мережу Інтернет по всьому світу. Малообізнані користувачі ПК помилково відносять до комп'ютерних вірусів також інші види шкідливих програм — програми-шпигуни чи навіть спам. За створення та поширення шкідливих програм (в тому числі вірусів) у багатьох країнах передбачена кримінальна відповідальність. Зокрема, в Україні створення і поширення комп'ютерних вірусів переслідується і карається відповідно до Кримінального кодексу (статті 361, 362, 363).

Класифікація вірусів

Прийнято розділяти віруси за:

• об'єктам, які вражаються (файлові віруси, завантажувальні віруси, анти-антивірусні віруси, скриптові віруси, макро-віруси, мережеві черв'яки).

• способом зараження (перезаписуючі віруси, віруси-компаньйони, файлові хробаки, віруси-ланки, паразитичні віруси, віруси, що вражають вихідний код программ)

• операційними системами і платформами, які вражаються (DOS, Microsoft Windows, Unix, Linux, інші)

• активностю (резидентні віруси, нерезидентні віруси)

• технологіями, які використовуються вірусом (нешифровані віруси, шифровані віруси, поліморфні віруси, стелс-віруси (руткіт і буткіт))

• деструктивними можливостями (нешкідливі віруси, безпечні віруси, небезпечні віруси, дуже небезпечні віруси)

• мовою, на якій написаний вірус (асемблер, високорівнева мова програмування, скриптова мова, інші).

Ознаки зараження вірусом

• Зменшення вільної пам'яті
• Уповільнення роботи комп'ютера
• Затримки при виконанні програм
• Незрозумілі зміни в файлах
• Зміна дати модифікації файлів без причини
• Незрозумілі помилки Write-protection
• Помилки при інсталяції і запуску Windows
• Відключення 32-розрядного допуску до диску
• Неспроможність зберігати документи Word в інші каталоги, крім Template
• Погана робота дисків
• Файли невідомого походження

Ранні ознаки зараження дуже тяжко виявити, але коли вірус переходить в активну фазу, тоді легко помітити такі зміни:

• Зникнення файлів
• Форматування HDD
• Неспроможність завантажити комп'ютер
• Неспроможність завантажити файли
• Незрозумілі системні повідомлення, звукові ефекти і т. д.

Здебільшого, все це в минулому. Зараз основні ознаки — самовільне відкривання браузером деяких сайтів (рекламного характеру), підозріло підвищений інтернет-трафік та повідомлення від друзів, що ваші листи електронної пошти до них містили вірус.

Компанія Panda Software опублікувала список найцікавіших вірусів року.

Мораліст.

Ця нагорода дісталася шпигунській програмі Zcodec, яка, зокрема, спостерігала за тим, відвідує чи користувач певні сторінки з порнографічним змістом. Можливо, це був просто спосіб визначення, чи є користувач частим відвідувачем цих сторінок, щоб відправляти персоналізовану рекламу.

Найгірший кандидат.

Черв'як Eliles. A запам'ятався тим, що розсилав резюме. Здається, що в нього мало впевненості у власній перспективі на отримання роботи.

Аматор сенсацій.

Вірусом, який проходив по електронній пошті з найбільш сенсаційним заголовком, став Nuwar.A. Він оголошував про початок третьої світової війни.

Найживучіший. Кажуть, що все хороше коли-небудь закінчується. Шкода, що цей вислів не чули творці черв'яків Spamta. В іншому випадку вони припинили б розсилати хвилю за хвилею майже ідентичних версій цього шкідливого коду.

Борець з конкурентами.

Шпигунська програма Popuper прославилась тим, що після установки на ПК запускала піратську версію відомого антивіруса, що давало їй можливість видалити з комп'ютера суперників.

Найдивакуватіший.

Шкідливий код BarcPhish.HTML запам'ятався тим, що збирав дуже багато конфіденційних даних користувача. Крім номерів кредитних карток і даних для доступу до рахунків, цей шкідливий модуль також збирав відомості про дату закінчення терміну дії карток, прізвища, номери рахунків і т.д. Схоже, що його автор вирішив, що "краще занадто багато, ніж занадто мало ..."

Допитливий шпигун

У цій номінації переміг черв'як WebMic.A, який може записувати звуки та зображення з допомогою підключених до комп'ютера мікрофону і веб-камери.

Пустун.

Черв’як Nedro.B не ховається, як деякі шкідливі програми, а починає пустувати. Зокрема, змінювати значки, блокувати доступ до утиліт, приховувати розширення файлів, видаляти записи з меню "Пуск" ... тобто, створювати хаос.

Найстарший.

Схоже, що все ще існують творці ретро-вірусів. Хто б не створив черв’яка DarkFloppy.A, ймовірно він не чув про електронної пошти, системи миттєвих повідомлень, оскільки вирішив поширювати свій шкідливий код через ... флоппі диски. Важко уявити собі масовану епідемію цього вірусу, чи не так?

Найбрехливіший.

Модуль SafetyBar видає себе за програму, що пропонує інформацію з безпеки та завантаження антишпіонских програм. Однак після завантаження, ці програми попереджують користувача про зараження його комп'ютера неіснуючими загрозами.

Міфи про віруси

Віруси самопоширюються.

Віруси не можуть виконувати себе. Із цього виходить, що вони не поширюються самі. Вірус не може нічого зробити, перед тим як заражені програми не завантажаться або комп’ютер не перевантажиться з зараженого диску.

Віруси можуть поширюватися між будь-якими комп’ютерами.

В теорії можна написати вірус, котрий може функціонувати в різних ОС, але це завдання дуже важке. На практиці можна передбачити, що DOS-віруси неспроможні заразити такі комп’ютери, як, наприклад, Macintosh, Unix, Vax.

Віруси можуть заразити захисні від запису диски.

Віруси не можуть заразити захищені від запису диски. Однак диски можуть бути заражені, коли захист виключений.

Деякі віруси абсолютно не шкідливі.

Є віруси, котрі не знищюють інформацію, але вони збільшують навантаження на процесор і змінюють програмний код без відома користувача.

Тільки в піратських дисках знаходяться віруси.

Часто віруси знаходяться в піратських копіях, але відомі випадки, коли комерційне ПЗ мало віруси.

Віруси можуть руйнувати комп’ютери

Час від часу з’являються слухи про віруси, котрі руйнують монітор, або руйнують HDD, але ні разу це не підтвердилось.

Звідки беруться віруси?

Під час опитування респондентам було запропоновано кілька судження про найбільш поширені способи проникнення вірусів в комп`ютер жертви. Їм були запропоновані судження, з якими вони могли погодитися або не погодитися. 49,49% опитаних вважають, що головний джерела вірусів - файлообмінники, 42% думають, що вірус передається при завантаженні зараженого веб-сайту, 38,8% россяін вважають, що віруси передаються по електронній пошті (найнижчий показник серед усіх опитаних країн) . Ще 30,05% вважають головною загрозою комп`ютерної безпеки USB-накопичувачі (найвищий показник по світу). Процентне співвідношення відповідей показує, що інформація користувачів давно застаріла. Поширення вірусів по електронній пошті вже не є лідером (пользовали стали уважніші до вкладень і посиланнях в листах). Файлообмінники також можуть бути небезпечні, але вони не лідирують в списку небезпечних зберігачів вірусів. Твердження про USB-накопичувачах було актуально в 80-90 роки минулого століття. Більшість шкідливих програм поширюється через шкідливі веб-сайти, хоча в зворотному впевнені 48,48% опитаних росіян. А 11,89% впевнені, щоб якщо не відкривати заражені файли, але не можна заразити свій ПК. І це шокує!</font>

Спроби протидії комп’ютерними вірусами

• Профілактика вірусного зараження й зменшення передбачуваної шкоди від такого зараження.
• Методика використання антивірусних програм, у тому числі знешкодження й видалення відомого вірусу.
• Способи виявлення й видалення невідомого вірусу
• Способи захисту комп’ютера від зараження вірусами, а отже й забезпечити надійне зберігання інформації на дисках:
• Установити на комп’ютері сучасні антивірусні програми й постійно оновлювати їх версії
• Перед зчитування з дискет інформації, записаної на інших комп’ютерах, завжди перевіряти ці дискети на наявність вірусів ; перенесення на свій комп’ютер файли в архівіруваному вигляді перевіряти відразу після розархівування на жорстокому диску, обмежуючи ділянку перевірки тільки щойно записаними файлами ; періодично перевіряти на наявність вірусів жорсткі диски комп’ютера, запускаючи антивірусні програми для тестування файлів, пам’яті й системних ділянок
• Завжди захищати свої дискети від запису під час роботи на інших комп’ютерах, якщо на них не буде провадитися запис інформації
• Дистрибутивні копії програмного забезпечення необхідно купувати в офіційних продавців
• Періодично зберігати на зовнішньому носії файли, з якими ведеться робота

Антивірусні програми

Антивірусна програма (антивірус) — спеціалізована програма для знаходження комп'ютерних вірусів, а також небажаних (шкідливих) програм загалом та відновлення заражених (модифікованих) такими програмами файлів, а також для профілактики — запобігання зараження (модифікації) файлів чи операційної системи шкідливим кодом.

Класифікація та принципи роботи антивірусних програм

Сканери.

Принцип роботи антивірусних сканерів заснований на перевірці файлів, секторів і системної пам'яті та пошуку в них відомих і нових (невідомих сканеру) вірусів. Сканери також можна розділити на дві категорії - "універсальні" і "спеціалізовані". Універсальні сканери розраховані на пошук і знешкодження всіх типів вірусів незалежно від операційної системи, на роботу в якої розрахований сканер. Спеціалізовані сканери призначені для знешкодження обмеженого числа вірусів або тільки одного їх класу, наприклад макро-вірусів. Спеціалізовані сканери, розраховані тільки на макро-віруси, часто виявляються найбільш зручним і надійним рішенням для захисту систем документообігу в середовищах MS Word і MS Excel. Сканери також діляться на "резидентні", що виробляють сканування "на льоту", і "нерезидентні", що забезпечують перевірку системи тільки за запитом.

CRC-сканери.

Принцип роботи CRC-сканерів заснований на підрахунку CRC-сум (контрольних сум) для присутніх на диску файлів / системних секторів. Ці CRC-суми потім зберігаються в базі даних антивіруса, як, втім, і деяка інша інформація: довжини файлів, дати їх останньої модифікації і т.д. При наступному запуску CRC-сканери звіряють дані, що містяться в базі даних, з реально підрахованими значеннями. Якщо інформація про фото, записана в базі даних, не збігається з реальними значеннями, то CRC-сканери сигналізують про те, що файл був змінений або заражений вірусом.

Монітори.

Антивірусні монітори - це резидентні програми, що перехоплюють "вирусо-небезпечні" ситуації і повідомляють про це користувачеві. До "вирусо-небезпечним" відносяться виклики на відкриття для запису у виконувані файли, запис у завантажувальні сектори дисків, спроби програм залишитися резидентно і т.д., тобто виклики, які характерні для вірусів в моменти з розмноження.

Іммунізатори.

Иммунизаторов діляться на два типи: іммунізатори, повідомляють про зараження, і іммунізатори, блокуючі зараження яким-небудь типом вірусу. Перші зазвичай записуються в кінець файлів (за принципом файлового вірусу) і при запуску файлу кожного разу перевіряють його на зміну. Недолік у таких иммунизаторов всього один, що він летален: абсолютна нездатність повідомити про зараження стелс-вірусом. Тому такі іммунізатори, як і монітори, практично не використовуються в даний час.

Приклади антивірусних програм

Найбільш поширені антивірусні програми:

ADINF, AIDSTEST, AVP, DrWeb. NAV (Symantec), SCAN (McAfee), VIRUSAFE (Eliashim) та ін До антивірусам, які зарекомендували себе як досить надійні сканери, можна віднести AVAST (Avil Software, Чехословаччина), Dr.Solomon 's AVTK ("Anti-Virus Toolkit", S & S International, Великобританія), NVC ("Norman Virus Control", Norman plc, Норвегія). Ці три програми разом з AVP в останні роки показують стабільно високі результати у всіх антивірусних тестах. Непоганим сканером є також IBM Anti-Virus. За ними слідують F-PROT (Frisk Software, Ісландія) і TBAV ("Thunderbyte Anti-Virus", ESaSS, Нідерланди). Ці дві програми є, мабуть, найбільш потужними і популярними у світі shareware-сканерами. Не можна не відзначити антивірус SWEEP (Sophos plc, Великобританія).

• 

  Опис1

• 

  Опис2

• 

  Опис3

Використані джерела

1. Історія виникнення - Віруси
2. Антивіруси та їх Види
3. Антивірусна програма
4. Комп`ютерна безпека - міфи і реальність

Автор статті

Анна Богдан