Пять однобайтных кодировок кириллицыТема 7. Компьютерные вирусы
Дидактические единицы: история компьютерных вирусов; определение понятия "компьютерный вирус"; правовые последствия создания вредоносных программ для ЭВМ; классификация компьютерных вирусов; классификация антивирусных программ; правила компьютерной гигиены.
Изучаемые вопросы
2. Определение понятия "компьютерный вирус".
3. Правовые последствия создания вредоносных программ для ЭВМ.
4. Классификация компьютерных вирусов.
5. Классификация антивирусных программ. Правила компьютерной гигиены.
|
Возникновение компьютерных вирусов связано с идеей создания самовоспроизводящихся программ и уходит корнями в 50-е годы ХХ века. В 1951 г. Джон фон Нейман предложил метод создания самовоспроизводящихся механизмов. Затем идея вирусоподобных программ неоднократно возрождалась. Первой публикацией, посвящённой созданию самовоспроизводящихся систем, была статья L.S.Penrose о самовоспроизводящихся механических структурах, опубликованная в 1957 г. американским журналом Nature. F.G.Stahl запрограммировал на машинном языке IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При поедании некоторого числа символов или себе подобных существо размножалось, причём дочерние механизмы могли мутировать. Если кибернетическое существо двигалось определённое время без питания, оно погибало. |
|
В 1951 г. V.A.Vyssotsky, H.D.McIlroy и Robert Morris - фирма Bell Telephone Laboratories, США - изобрели достаточно необычную игру "Дарвин", в которой несколько ассемблерных программ, названных "организмами", загружались в память компьютера. Организмы, созданные одним игроком (т.е. принадлежащие к одному виду), должны были уничтожать представителей другого вида и захватывать жизненное пространство. Победителем считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков.
Своеобразным катализатором появления и реализации новых, всё более изощрённых вирусов становятся научно-фантастические романы. По всей видимости, впервые слово "вирус" по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford), в фантастическом рассказе "Человек в шрамах" (The Scarred Man), опубликованном в журнале Venture в мае 1970. В 1975 г. Джон Бруннер описал в своём научно-фантастическом романе, ставшем бестселлером, "червей" - программы, которые распространяются по сети, чем предвосхитил последующие события.
Считают, что идею создания компьютерных вирусов подбросил писатель-фантаст Т. Дж. Райн. В одной из своих книг, опубликованной в США в 1977 г., он описал эпидемию, за короткое время поразившую более 7000 компьютеров. Причиной эпидемии стал компьютерный вирус, передававшийся от одного компьютера к другому, внедряясь в их операционные системы и выводивший компьютеры из-под контроля человека.
В период с 1977 по 1983 гг. (с создания первого персонального компьютера "Macintosh" фирмы "Apple" до появления первых банков свободно распространяемых программ и данных - BBS) возникли реальные возможности воздания и быстрого распространения компьютерных вирусов. Появились первые программы-вандалы, которые под видом полезных программ выкладывались на BBS, однако после запуска уничтожали данные пользователей. В это же время появляются троянские программы-вандалы, проявляющие свою деструктивную сущность лишь при определённых условиях, некоторое время спустя. Широкое распространение вирусов, особенно в настоящее время, обусловлено массовостью персональных компьютеров, распространённостью стандарта универсальных операционных систем, обилием литературы с достаточно глубоким уровнем описания оборудования и операционных систем, а также наличием квалифицированных программистов, желающих самоутвердиться, либо по каким-то другим причинам.
Термин "компьютерный вирус" впервые употребил в 1984 г. Фред Коэн. Своим названием компьютерные вирусы обязаны некоторому сходству с вирусами естественными:
- способности к саморазмножению;
- высокой скорости распространения;
- избирательности поражаемых систем (каждый вирус поражает только определённые системы или однородные группы систем);
- способности "заражать" ещё незаражённые системы;
- трудности борьбы с ними и т.д.
- заражённые сайты и веб-страницы;
- пересылка файлов через Интернет;
- заражённые сменные носители информации (дискеты, компакт-диски, флеш-диски и т.п.);
- пиратское программное обеспечение.
Точного научно-технического определения этого явления до сих пор не существует. Уголовный кодекс РФ в статье 273 говорит о "вредоносных программах для ЭВМ" . Насколько это понятие совпадает с термином "компьютерный вирус", тоже неясно.
Словосочетанием «компьютерный вирус» обозначается небольшая программа ЭВМ (или программный модуль), способная без ведома пользователя или вопреки его желанию самопроизвольно размножаться и распространяться, нарушая работоспособность программного обеспечения ЭВМ. Название дано по аналогии с болезнетворным вирусом (неклеточной формой жизни). Такие программы способны распространяться автоматически, дописывая свой код для этого к файлам или в служебные области диска.
Жизненный цикл компьютерного вируса – какой он? Эта программа, написанная чаще всего в машинных кодах, внедряет себя в другие программы, хранящиеся на дисках запоминающих устройств компьютера. Когда поражённая компьютерным вирусом программа вызывается для выполнения, на одном из этапов её работы вирус перехватывает управление и реализует функции, заложенные в него разработчиком. Обычно таких функций две: [1] заражение других программ и дисков и [2] поражение заражённых систем.
Стадия заражения является пассивной фазой жизни вируса, когда он внешне практически не проявляет себя, стараясь оставаться незаметным для пользователей. Получая управление на этой стадии, вирус отыскивает на других дисках компьютера системные или прикладные программы и внедряется в них. Продолжительность пассивной фазы может быть разной: от нескольких минут до нескольких лет.
Стадию активных действий вируса по поражению заражённых систем называют атакой вируса. Вирусная атака может начинаться одновременно на всех поражённых компьютерах или в разное время.
В первом случае "спусковым крючком" является соблюдение некоторого общего для всех компьютеров условия. Например, один из «древних» вирусов "Israeli Virus" запрограммирован так, что переходит в атаку в пятницу, 13-го. Именно в пятницу, 13 мая 1988 г. сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом “Jerusalem” – в этот день вирус уничтожел файлы при их запуске.
Во втором случае вирус "Lehigh" активизируется после каждый четырёх циклов заражения других программ. Атака этого вируса в конце 80-х годов ХХ века привела к тому, что в течение нескольких дней было уничтожено содержимое нескольких сот личных дискет и дискет библиотеки вычислительного центра Лехайского университета (США). "Lehigh" заразил тогда около 4 000 компьютеров. Начало активным действиям вируса может положить достижение определённого количества вызовов заражённой программы на исполнение и т.п.
Первая массовая эпидемия компьютерного вируса прошла в 1986 г., когда вирус «Pakistani Brain» заражал дискеты для первых персональных компьютеров. Вирус был разработан братьями Амджатом и Базитом Алви (Amjat и Basit Faroog Alvi) в 1986. Обнаружили вирус только в 1987 г. Он полностью заменял содержимое стартового сектора магнитного диска и использовал шесть дополнительных секторов, помечаемых в FAT как дефектные. Заражённые им диски получали новое имя Copiright@BRAIN, и только в США он заразил более 18 000 машин. Наблюдались замедление загрузки операционной системы, частые сбои во время сеанса работы пользователя, частичная потеря данных на магнитных носителях. Программа должна была наказать местных пиратов, ворующих программное обеспечение у фирмы братьев. В программке значились имена, адрес и телефоны разработчиков. Неожиданно для всех The Brain вышел за пределы Пакистана. Схож с "Pakistani Brain" по способу заражения и вредным последствиям "Alameda Virus".
В 1988 г. Роберт Моррис-младший создал первого массового сетевого червя. 60000-байтная программа разрабатывалась с расчётом на поражение операционных систем UNIX Berkeley 4.3, Sun. Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью ARPANET и остаться там необнаруженными. Вирусная программа включала компоненты, позволяющие раскрывать пароли, существующие в инфицируемой системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, из-за незначительных ошибок, допущенных при разработке. Они привели к стремительному неуправляемому саморазмножению вируса.
По самым скромным оценкам червь Морриса стоил свыше 8 млн. часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в $9 млн. Ущерб был бы больше, если бы вирус изначально создавался с разрушительными целями.
Червь Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя. 4 мая 1990 г. суд присяжных признал Морриса виновным. Он был приговорён к условному заключению сроком на два года, 400 часам общественных работ и штрафу размером $10 000.
К 1995 г. насчитывалось уже несколько десятков разновидностей компьютерных вирусов.
Крупный всплеск вирусной эпидемии был зарегистрирован в 1999 г. Вирус "Чернобыль", созданный тайваньским офицером, 26 апреля 1999 г. в годовщину чернобыльской аварии вывел из строя огромное число компьютеров по всему миру.
1 августа 2001 г. активизировался новый сетевой вирус-"червь" Code Red Worm, атаковавший операционные системы Windows-2000, NT. Только 19 июля 2001 г. вирус вывел из строя 230 000 серверов.
К 2003 году насчитали более 7 тысяч вирусов и количество их ежедневно увеличивается. В настоящее время известно около 10 миллионов вредоносных программ, около 31 тысячи вредоносных скриптов, заражающих компьютеры с различными операционными системами и распространяющихся по компьютерным сетям.
Статья 273 УК РФ. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
Итак, компьютерный вирус - набор команд (программных или иных), который производит и распространяет свои копии (и/или модифицированные копии) в компьютерных системах и/или компьютерных сетях и преднамеренно выполняет некоторые действия, нежелательные для законных пользователей систем.
Компьютерные вирусы можно классифицировать по следующим признакам:
• деструктивным возможностям;• среде обитания;
• специфическому способу заражения;
• особенностям алгоритма, и т.д.
Самими опасными вирусами являются "stealth" и «призраки»: их трудно обнаружить, они действуют всегда нестандартно, содержат небольшое количество ошибок, отличаются сложными и разветвлёнными алгоритмами, не имеют в своём теле постоянного участка кода, маскируют своё присутствие, подделывая контрольную сумму заражённого файла.
| По среде обитания вирусы условно делятся на: | По особенностям алгоритма выделяют вирусы: | ||
| • сетевые; | • текстовые (макровирусы); | • "спутники"; | • "студенческие"; |
| • файловые; | • комбинированные (файлово-загрузочные) вирусы. | • "черви"; | • "stealth"; |
| • загрузочные; | • "паразитические"; | • "призраки". | |
Сетевые вирусы. По компьютерной сети могут распространяться и заражать компьютеры любые обычные вирусы. Это может происходить при получении заражённых фалов с серверов файловых архивов. Однако существуют и специфические сетевые вирусы, которые используют для своего распространения электронную почту и "всемирную паутину".
Интернет-черви (от англ. worm - червь) - это вирусы, которые распространяются в компьютерной сети во вложенных в почтовое сообщение файлах. Автоматическая активизация червя и заражение компьютера могут произойти при обычном просмотре сообщения. Опасность таких вирусов состоит в том, что они по определённым датам активизируются и уничтожают файлы на дисках заражённого компьютера.
Кроме того, интернет-черви часто являются троянами, выполняя роль "троянского коня", внедрённого в операционную систему. Такие вирусы похищают идентификатор и пароль пользователя для доступа в Интернет и передают их на определённый почтовый адрес. В результате злоумышленники получают возможность доступа в Интернет за счёт ничего не подозревающих пользователей.
Лавинообразная цепная реакция распространения вируса базируется на том, что вирус после заражения компьютера начинает рассылать себя по всем адресам электронной почты, которые имеются в адресной книге пользователя. Кроме того, может происходить заражение и по локальной сети, т.к. червь перебирает все локальные диски и сетевые диски с правом доступа и копируется туда под случайным именем.
Профилактическая защита от интернет-червей заключается в том, что не рекомендуется открывать вложенные в почтовые сообщения файлы, полученные из сомнительных источников.
«Бомбы замедленного действия» или «троянские кони» поражают загрузочные секторы и файлы. До наступления определённой даты или определённого события они "дремлют". Троянские программы названы по персонажу греческой мифологии. Они маскируются под полезную программу, а после установки её пользователем и запуска на исполнение незаметно для пользователя выполняют скрытую функцию, например, считывает с клавиатуры вводимые пользователем пароли.
Особой разновидностью вирусов являются активные элементы (программы на языках JavaScript или VBScript), которые могут выполнять разрушительные действия, т.е. являются вирусами (скрипт-вирусами). Такие программы передаются по "всемирной паутине" в процессе загрузки Web-страниц с серверов Интернета в браузер локального компьютера.
Профилактическая защита от скрипт-вирусов состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер.
Файловые вирусы различными способами внедряются в исполняемые файлы (программы) и обычно активизируются при их запуске. После запуска заражённой программы вирус находится в оперативной памяти компьютера и является активным (т.е. может заражать другие файлы) вплоть до момента выключения компьютера или перезагрузки операционной системы. При этом файловые вирусы не могут заразить файлы данных (например, файлы, содержащие изображение или звук).
Профилактическая защита от файловых вирусов заключается в том, что не рекомендуется запускать на выполнение файлы, полученные из сомнительного источника и предварительно не проверенные антивирусными программами.
Загрузочные вирусы записывают себя в загрузочный сектор диска. Эти «boot-вирусы» поражают загрузочный сектор и главную загрузочную запись. Передаются с компьютера на компьютер через заражённые дискеты. При обращении к дисководу, в который установлена такая дискета, операционная система считывает и выполняет вирусный код. При загрузке операционной системы с заражённого диска вирусы внедряются в оперативную память компьютера. В дальнейшем загрузочный вирус ведёт себя так же, как файловый, т.е. может заражать файлы при обращении к ним компьютера.
Профилактическая защита от таких вирусов заключается в отказе от загрузки операционной системы с гибких дисков и установке в BIOS вашего компьютера защиты загрузочного сектора от изменений.
Макровирусы заражают файлы документов Word и электронных таблиц Excel. Макровирусы являются фактически макрокомандами (макросами), которые встраиваются в документ. После загрузки заражённого документа в приложение макровирусы постоянно присутствуют в памяти компьютера и могут заражать другие документы. Угроза заражения прекращается только после закрытия приложения.
Макровирусы распространяются заражёнными файлами данных и используют язык макросов программы-хозяина. Она распространяются значительно быстрее любых других компьютерных вирусов, т.к. поражаемые ими файлы данных используются наиболее часто. Писатели вирусов используют языки программирования (языки макрокоманд) Word и Excel, чтобы искажать написание слов, изменять содержание документов или удалять файлы с жёстких дисков.
Профилактическая защита от макровирусов заключается в предотвращении запуска вируса. При открытии документа в приложениях Word и Excel сообщается о присутствии в них макросов (потенциальных вирусов) и предлагается запретить их загрузку. Выбор запрета на загрузку макросов надёжно защитить ваш компьютер от заражения макровирусами, однако отключит и полезные макросы, содержащиеся в документе.
Логические бомбы - программы или отдельные модули программы, которая при выполнении условий, определённых её создателем, осуществляет несанкционированные действия. Если наступает обусловленная дата, появляется или исчезает какая-либо запись в базе данных, происходит разрушение программ или баз данных.
Пример применения логической бомбы. Программист разрабатывал систему автоматизации бухгалтерского учёта и, стремясь обезопасить себя от несоблюдения заказчиками условий оплаты своего труда, заложил в программу логическую бомбу. Когда из ведомости на получение зарплаты исчезла его фамилия, программа-бомба уничтожила всю написанную им систему автоматизированного бухучёта.
Полиморфные вирусы каждый раз, заражая систему, меняют обличье (программный код), стремясь "уйти от обнаружения" антивирусными программами.
Вирусы многостороннего действия - хитроумные гибриды, одновременно с файлами поражающие загрузочные секторы или главную загрузочную запись.
При заражении компьютера вирусом очень важно своевременно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
• прекращение работы или неправильная работа ранее успешно функционировавших программ;
• медленная работа компьютера;
• невозможность загрузки операционной системы;
• исчезновение файлов и каталогов или искажение их содержимого;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• неожиданное значительное увеличение числа файлов на диске;
• существенное уменьшение размера свободной оперативной памяти;
• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• частые зависания и сбои в работе компьютера.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Их классифицируют так:
Программы-детекторы позволяют обнаруживать файлы, заражённые одним из нескольких известных вирусов. Осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора, или фаги "лечат" заражённые программы или диски. Фаги, а также вакцины не только находят заражённые вирусами файлы, но и лечат их, "выкусывая" из заражённых программ тело вируса. Они восстанавливают программу в том состоянии, в котором она находилась до заражения вирусом, возвращают файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к лечению файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest, Scan, Norton Antivirus, Doctor Web.
Программы-ревизоры относятся к самым надёжным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражён вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения, несоответствия выводятся на экран видеомонитора пользователю для ознакомления. Как привило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают stealth-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесённых вирусом. К числу программ-ревизоров относится широко распространённая в России программа ADinf фирмы "Диалог-Наука".
Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние.
Программы-фильтры представляют собой небольшие программы, предназначенные для обнаружения при работе компьютера подозрительных действий, характерных для вирусов. Фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Такими действиями могут быть:
• попытки коррекции файлов с расширениями *.com или *.exe;
• изменение атрибутов файлов;
• запись на диск по абсолютному адресу;
• запись в загрузочные сектора диска;
• загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия фильтр посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.
Программы-вакцины, или иммунизаторы. Модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинации, считает эти программы или диски уже заражёнными. Эти программы крайне неэффективны.
Чтобы избежать суровых последствий "вирусного" поражения нужно соблюдать ряд несложных правил, пренебрежение которыми может привести к весьма плачевным результатам. Вы глубоко ошибаетесь, если считаете, что лично вам вторжение вирусов не грозит. Компьютеры, установленные у вас на работе и дома, да и сама сеть Интернет являются настоящим рассадником потенциально опасных компьютерных инфекций.
Основная тактика защиты от вирусной "инфекции" состоит в использовании программного обеспечения из надёжных источников (в идеале - только лицензионного), в регулярном контроле за состоянием наиболее важной информации в компьютере (по возможности - с созданием резервных копий на дискетах, ленте или сетевом диске). Необходима также обязательная проверка всех вновь поступающих на дисках или по сети программ каким-нибудь надежным антивирусом или их комплектом. Набор качественных антивирусных программ неизменно пополняется по мере расширения фронта вирусной атаки.
1. L.S.Penrose, R.Penrose “A Self-reproducing Analogue” Nature, 4571, p. 1183, ISSN 0028-0836.
2. MsIllroy et al “Darwin, a Game of Survival of the Fittest among Programs”
3. Diomidis Spinellis. “Realable Identefication of Bounded-length Viruses is NP-complete”. IEEE Transaction of Information Theory, 49 (1), pp. 280-284, January 2003.
4. Fred Cohen. “Computational aspects of computer viruses”. – “Computers & Security”, vol.8, no.4, pp.325-344, June 1989.
5. Большая энциклопедия Кирилла и Мефодия. Версия 2007 года. Статья "Компьютерные вирусы".
6. Гришин В.Н., Панфилова Е.Е. Информационные технологии в профессиональной деятельности: Учебник.- М.: ФОРУМ: ИНФРА-М, 2005. СС.90-110.
7. Колмыкова Е.А. Информатика: Учеб. пособие для студ. сред. проф. образования/ Е.А.Колмыкова, И.А.Кумскова.- М.: Издательский центр "Академия", 2005.- СС.171-177.
8. Михеева Е.В. Информационные технологии в профессиональной деятельности: Учеб. пособие для сред. проф. образования/Елена Викторовна Михеева.- М.: Издательский центр "Академия", 2004. - С.347-351.
9. Персональный компьютер для всех: В 4 кн. Кн.1. Хранение и обработка информации: Практ. пособие/ А.Я.Савельев, Б.А.Сазонов, С.Э.Лукьянов; Под ред. А.Я.Савельева.- М.: Высш. шк., 1991. - СС.154-162.
10. Уголовный кодекс Российской Федерации. ФЗ № 63 от 13.06.1996 г.
11. Энциклопедия персонального компьютера и Интернет Кирилла и Мефодия. Версия 2003 года. Статья "Антивирусы".
©StavrosTektonos