краткая энциклопедия компьютерных вирусов
план-конспект урока по теме

Краткая энциклопедия вирусов

Компьютерные вирусы представляют собой разновидность компьютерных программ, отличительной особенностью которых является способность к саморазмножению. Таково типичное определение этого класса вредоносного программного обеспечения. Несмотря на наносимый ими вред, без них невозможно представить себе современную компьютерную индустрию. Кстати, в их создании косвенно повинны ученые, заложившие в 50-х годах прошлого века основы теории самовоспроизводящихся механизмов.

В 1961 году В. Высотский, Х.Макилрой и Р. Моррис из фирмы «Bell Telephone Laboratories» (США) изобре ли оригинальную игру «Дарвин». Несколько ассем блерных программ («организмов»), созданных разны ми игроками, загружались в память компьютера. Эти «организмы» должны были уничтожить всех «чужаков», перемещаясь по ячейкам памяти, захватывая жизнен ное пространство и активно размножаясь. Побеждал вид, оставшийся в живых или набравший наибольшее количество очков.

Но это был все-таки не первый вирус. Их время при шло двадцатью годами позже. Тем временем в мае 1970 года слово «вирус» применительно к вредоносной ком пьютерной программе впервые прозвучало в фантасти ческом рассказе «Человек в шрамах» (The Scarred Man).

В феврале 1980 года студент Дортмундского универ ситета защитил диплом по теме «Самовоспроизводя щиеся программы». В работе были приведены листин ги подобных программ для компьютеров Siemens. Но и они вирусами не являлись.

Первопроходцами считаются программы Virus 1,2,3 (авторДжоДеллинджер)и Elk Cloner (Ричард Скрент), созданные в 1981 году для операционных систем MS-DOS 3.3 персональных компьютеров Apple II. Однако фактически никакого вреда они не приносили. Но на чало вирусописательству было положено.

Через три года появились первые антивирусные ути литы: Анди Хопкинс создал СНК4ВОМВ и BOMBSQAD. Первая программа могла анализировать текст загру зочного модуля, выявляя текстовые сообщения и «по дозрительный» код, а вторая перехватывала операции записи и форматирования, выполняемые через БИОС. В следующем году Ги Вонг написал резидентную утили ту DPROTECT, работающую по сходному с BOMBSQAD алгоритму.

К1984 году распространение вредоносного ПО ста ло принимать массовый характер. Том Нефф начал ве сти в сети BBS рассылку «Грязная дюжина», в которую включал наиболее известные на тот момент опасные программы.

1987 год считается годом появления первых вирус ных эпидемий, которые бушевали уже на платфор ме IBM PC. Поначалу ареал распространения вирусов не выходил за пределы отдельно взятой страны или учреждения, но с созданием и развитием сетей BBS, ARPRANET, FIDO, а позднее и Интернета под удар ста ли подпадать компьютеры по всему миру.

По одной из версий (достоверность которой под большим вопросом), вирус Brain был создан пакистан скими программистами и изначально предназначался для борьбы с местными пиратами. Он записывался в загрузочные области, менял метку диска и периодиче ски выдавал текстовое сообщение о заражении ком пьютера вирусом и предлагал связаться с создателя ми. Вдобавок использовал стелс-технологию: при по пытке чтения зараженного сектора «подставлял» не зараженные секторы. В США Brain заразил свыше 18 тыс. компьютеров.

Вирус Lehigh, появившийся в Лехайском универ ситете (США), заразил в четыре раза меньше ПК, но успел уничтожить содержимое нескольких сот дискет вычислительного центра вуза и личных дискет студен тов и преподавателей.

Вирус Jerusalim (был найден в Иерусалимском уни верситете) сумел принести немалый вред, активизиру ясь каждую пятницу 13-го и удаляя исполняемые фай лы при запуске. Его появление было зафиксировано в нескольких частях света: Европе, Америке и Ближ нем Востоке.

В следующем году Роберт Морисс-младший соз дал первый массовый червь. Создавался он, по замыс лу автора, без злого умысла. Морисе хотел проверить, сможет ли создать вирус, который, замаскировавшись в системе, займется размножением и рассылкой своих копий через сеть APRANET. Но в силу некоторых допу щенных при разработке ошибок вирус, заразив около 6 тыс. компьютеров, вывел на несколько дней из строя большинство сетей. 4 мая суд присяжных приговорил Морисса к двум годам условно, общественным рабо там и штрафу.

Первый «троянский конь» под названием AIDS («СПИД») блокировал работу операционной систе мы и выводил на экран надпись. Предлагалось убрать ее, прислав чек на некий адрес. Автор программы был вскоре арестован в момент обналичивания и осужден за вымогательство.

В1991 году появился вирус Микеланджело, заразив ший множество компьютеров. После поднятой в СМИ волны публикаций все с опасением ожидали наступле ния 6 марта 1992 года. В день рождения великого ху дожника инфицированные компьютеры должны были выйти из строя. Однако ничего не случилось.

Но это были цветочки. Вирусы постепенно стали при обретать глобальный характер: заражались сотни и ты- сячи компьютеров по всему миру. На рынок антивиру сов вышел первый крупный игрок: вышла первая вер сия Symantec Norton Antivirus. Параллельно были соз даны первые конструкторы вирусов для PC, готовые полиморфные модули и модули шифрования. Вирусы стало легче писать и модифицировать.

В 1995 году вышла новая версия операционной си стемы Microsoft Windows 95. На тот момент ни один DOS-вирус не мог нанести ей вреда, поэтому глава корпорации Билл Гейтс заявил, что с вирусной угро зой покончено. Безмятежное состояние продлилось всего год. В 1996 году вышел вирус Win95.Boza. Чуть позже появился первый резидентный вирус: Win95. Punch загружался в систему как драйвер, перехва тывал обращения к файлам и заражал их. В том же году появились первые вирусы для ОС OS/2 и GNU\ Linux (Bliss).

1997 год ознаменовался созданием первых ма кровирусов для Office97, первого mail-червя, кото рый рассылал свои копии через программу MS-Mail. В том же году появились самошифрующийся вирус, сетевые черви, распространяющиеся через протокол FTP и mIRC.

26 апреля 1998 года тайваньский студент Чень Ин-хао выпустил первую версию своего вируса Win95.CIH, поражавший исполняемые файлы в компьютерах с установленной ОС Windows 95/98. В июне он заразил компьютеры университетской сети. Потом вирус вы брался за пределы Тайваня. И даже появился на не которых американских веб-серверах, распространяв ших игровые программы. В итоге заразилось около полумиллиона компьютеров по всему миру. Гром гря нул 26 апреля 1999 года, когда на многих компьюте рах были стерты данные с жесткого диска. Некото рые пострадали серьезнее - была испорчена микро схема БИОС. Так как 26 апреля - годовщина аварии на Чернобыльской АЭС, вирус стали называть «Чер нобыль». Автор его арестован так и не был в силу не совершенства законодательства. Сейчас вирус без вреден, однако по сей день чуть что поминают пре словутый Win95.CIH.

В 1999 году появилась «Мелисса». Пользователю приходило электронное письмо, где было написано следующее: «это тот документ, который ты просил, не показывай его никому». В письме был вложен файл MS Word. Пользователь открывал его и сразу же за ражался. «Мелисса» выбирала первые 50 адресов из списка контактов и рассылала от имени пользовате ля письма с подобным содержанием. Получив письмо от знакомого, многие открывали вложения и станови лись очередным звеном в цепи распространения ви руса. Сами пользователи от «Мелиссы» не пострада ли. Досталось только почтовым серверам из-за воз росшего трафика.

В 2000 году появился вирус со схожей манерой распространения. Только приманка была более ин тересной: признание в любви. Соответственно, ви рус назвали ILOVEYOU. Любопытный пользователь открывал файл LOVE-LETTER-FOR-YOU-TXT.vbs и запускал скрипт. Вирус начинал сразу же рассы лать себя по всем контактам, найденным на маши не жертвы. При этом отмечались случаи уничтоже ния файлов. По некоторым данным, только в первые дни было заражено около 3 миллионов компью теров. Специалисты отмечают, что в то время ходи ло около тридцати вариаций вируса, отличавшихся темой и названием вложенного файла. Автор виру са - житель Филиппин наказан не был, так как его действия классифицировались как компьютерное хулиганство, что не являлось на тот момент престу плением. Полиции потребовался целый день, чтобы получить ордер на обыск. Поэтому когда стражи по рядка вошли в дом предполагаемого преступника, у него не было даже компьютера.

В 2001 году мир познакомился с новым типом ви руса, для распространения которого не требовалось участие пользователя. Кроме того, червь Code Red не существовал в виде файла. Он передавался на дру гой компьютер в виде TCP-пакета через Интернет, ис пользуя дыру в пакете Microsoft Internet Information Server. На компьютере жертвы вирус загружался в оперативную память, поэтому его не обнаруживали антивирусные программы, работа которых основы валась на сканировании жестких дисков и сменных носителей. Code Red работал следующим образом. Создавал 100 процессов, из которых 99 занимались дальнейшим распространением, пытаясь атаковать компьютеры, генерируя IP-адреса. Один процесс на десять часов подменял головную страницу локаль ного веб-сервера на надпись «HELLO! Welcome to www.worm.com. Hacked By Chinese!». Эту фразу мог ли увидеть только обладатели англоязычный версии Windows. В других языковых сборках сотый процесс тоже занимался размножением. Кстати, поражались только ПК на базе Windows NT/2000, имевшим непро- патченную Microsoft IIS 4.0 или 5.0. Заплатка была вы пущена месяцем ранее, но она была установлена на мизерном количестве машин.

В октябре 2001 года был обнаружен червь Klez, ко торый сумел в течение целого года остаться в спи ске самых популярных. Быстрота размножения обу славливалась механизмом заражения: файл, содер жащий вирус, автоматически запускался при просмо тре письма в Outlook Express, используя дыру в брау зере Internet Explorer.

Август 2003 года выдался поистине «жарким». Сна чала пошла эпидемия червя Blaster (известного так же как Lovescan и MSBIast). Потом для его удаления некие умельцы запустили «белый» червь Welchia, ко торый создал дополнительные проблемы, генерируя паразитный трафик. А несколькими днями позже по явился червь Sobig.

Следующий, 2004, год выдался не менее легким. Netsky, Bagle, MyDoom, Sasser - вот имена самых из вестных червей. В том же году появился первый вирус для мобильных телефонов: Cabir. Он заражал смарт фоны под управлением ОС Symbian.

Следующие несколько лет были относительно спо койными. В январе 2007 года, спустя несколько дней после пронесшегося по Европе урагана, появился червь Storm. К сентябрю оказались заражены несколько мил -лионов компьютеров. «Шторм» распространялся в виде вложенного в электронное письмо файла. Заманивали пользователей тем, что обещали показать смертель ные последствия разгулявшейся стихии. Доверчивые люди запускали файл вида Full Video.exe и инфициро вали свой ПК.

В начале прошлого года много шума наделал се тевой червь Conficker (Kido), инфицировавший около 15 млн. ПК с ОС Windows. Как обычно, заплатка, пре граждавшая вирусу путь, была выпущена еще в октя бре 2008 года, но большинство пользователей или ад министраторов не озаботились своевременным обнов лением Windows.

За более чем тридцатилетнюю историю цель ви-русописателей постепенно менялась. Теперь вре доносное ПО служит не только для самоудовлетво рения создателей, а активно крадет пароли, конфи денциальную информацию, узнает список самых по сещаемых сайтов и т.п. Все то, что может в конечном счете принести деньги. К примеру, в этом году поя вился вирус, блокирующий работу Windows и требу ющий для возвращения системы в исходное состоя ние некоторую сумму денег.

Ходят слухи, что вирусы пишут разработчики анти вирусных программ. Однако никаких доказательств в пользу этой теории нет. Конечно, не будь вирусов, не было бы и антивирусников. Но подобное справедливо и для пар «преступники-милиция», «больные-врачи». У создателей антивирусного ПО без этого работы хва тает.

Классификация вирусов

Вирусы различают:

1. по типу поражаемых объектов (файловые, загру зочные, скриптовые, макровирусы, сетевые черви);
2. по поражаемым операционным системам и плат  формам (DOS, Windows, MacOS, Linux и другие);

1. по используемым технологиям (полиморфные вирусы, стелс-вирусы);
2. по языку, на котором написан вирус (ассембле ры, высокоуровневый язык, скрипты).

По способу заражения вирусы, внедряющие свой код в исполняемые файлы, разделяют на перезаписываю щие, паразитические, вирусы, звенья, вирусы-черви, компаньон-вирусы, а также вирусы, изменяющие ис ходные тексты программ и компоненты ПО.

Перезаписывающие, например, записывают свое тело в код программы. В результате исполняемый файл отказывается запускаться или предварительно запу скает вирус. Файлы-компаньоны подменяют собой ори гинальный файл, который перемещают или переиме новывают. Распространенные в последнее время фай ловые черви размножаются с помощью схема автоза пуска (файл autorun.inf).

Способы распространения

Съемные накопители. Раньше роль распространи теля вредоносного ПО выполняли дискеты. Теперь их судьбу повторяют накопители на основе флеш-памяти: USB-флешки, карты памяти для мобильных телефо нов, фотоаппаратов, видеокамер, МРЗ-плейеров и т.п.

Стандартная схема заражения такова. Стоит только в «чистый» компьютер без должной антивирусной защи ты вставить зараженный флеш-накопитель, как он его инфицирует. Так как вирус и файл активации (autorun. inf) имеют атрибуты «скрытый», то большинство поль зователей о наличии вирусов даже не догадываются. Заражение происходит потому, что в ОС Windows XP по умолчанию включен автозапуск съемных носителей. Несмотря на удобство, опцию эту необходимо отклю чить. Как это сделать, чуть ниже.

Инфицированный компьютер сам становится источ ником распространения заразы. Ядро вируса прячет ся где-то в папке Windows/system32/, записывая во все доступные места (логические разделы жесткого дис ка, сетевые папки, съемные накопители) вирус и файл autorun.inf. Если пользователь найдет эти файлы и уда лит, они через некоторое время восстановятся. Поэ тому в первую очередь удалять надо ядро вируса, а не его продукты деятельности. Различными модификаци ями этого вируса заражено множество компьютеров и флеш-накопителей.

Компакт-диски. Вирусы на оптические диски запи саться не могут. Это могут сделать только пользова тели. Вредоносное ПО часто попадается в различных «кряках» и «кейгенах» к софту и играм.

Электронная почта. Представьте, вам приходит письмо от знакомого с новогодним поздравлением, ко торое находится во вложенном файле. Вы его открыва ете и... ваш компьютер заражается. Причем моменталь но по всем вашим контактам отправляются «вирусные» поздравления от вашего имени. Вместо праздничной открытки может быть что угодно. Вспомните, к приме ру, «фотографии» обнаженной Анны Курниковой. Ви рус оказался безвредным, но показал, как много лю дей попадаются в ловко расставленные лапы социаль ного инжиниринга. Вирус может содержаться не толь ко в исполняемом файле, но и в текстовых документах (макровирусы) или картинках. Для отвода глаз может использоваться двойное расширение. Вместо вложе ния может находиться ссылка на некий сайт, содержа щий в своем коде вирус.

Современные антивирусы проверяют входящую по чту, тем не менее будьте осторожны с подозрительны ми объектами.

Другие средства связи. В качестве альтернативы электронной почте вирусописатели используют систе мы обмена мгновенными сообщениями. Метод защи ты тот же - будьте бдительны.

Веб-страницы. На сайтах может содержаться вре доносный код (скрипты, Active-X-компоненты, Java-апплеты). К сожалению, взломаны могут быть и из вестные сайты.

Интернет и локальные сети. Сетевые черви заража ют компьютеры без участия пользователей, используя дыры в защите операционной системы и программно го обеспечения.

Я за безопасный от вирусов компьютер!

Но не все так страшно. Соблюдая некоторые меры предосторожности можно, долгие годы избегать вирус ного заражения. Посмотрим, что может сделать обыч ный пользователь на базе ОС Windows XP, используя минимум программ.

Итак, первым делом ставим антивирус. Если хоти те поменять антивирус, сначала удалите старый. Я уже больше трех лет использую Avast! Home Edition, бес платный для домашнего пользования. Лицензионный ключ для получения регулярных обновлений вам вы шлют на электронный ящик после регистрации. По сле установки Avast! предложит вам провести скани рование при следующей загрузке компьютера. Согла шайтесь, но перед этим желательно обновить антиви русную базу.

Сканирование будет проведено в DOS-режиме до загрузки Windows, что позволит эффективнее прове сти «санобработку». Впрочем, вы можете установить любой другой антивирус, которому доверяете. Един ственное, базы необходимо постоянно обновлять. Чем чаще, тем лучше.

Теперь включаем встроенный брандмауэр. Конечно, лучше использовать сторонние разработки, так как они обеспечивают более высокий уровень безопасности, но можно пользоваться и стандартным.

Браузером Internet Explorer я бы пользовать ся не рекомендовал: обратите внимание на Mozilla Firefox (хотя в нем в настоящий момент больше всего уязвимостей. - ред.), Opera или Google Chrome. Уже эта связка программ защитит и избавит вас от многих проблем в будущем. Впрочем, специалисты могут по советовать и другие программные средства.

Затем включим автоматическое обновление Windows. Заплатки, выпускаемые регулярно, нужно сразу же устанавливать, не дожидаясь, пока злоумыш ленники воспользуются незакрытыми дырами в вашей системе. Также нужно регулярно обновлять весь ис пользуемый вами софт. Обновления не только лата ют бреши в защите программ, но улучшают функцио нальность и исправляют ошибки (за редким исключе нием, когда патчи становятся источником новых дыр). Немало вирусных эпидемий стали возможны потому, что пользователи не позаботились о своевременном обновлении своего ПО. Хотя, конечно, вирусописате ли могут эксплуатировать дыры, еще не закрытые про изводителем.

Считается, что производители коммерческого софта быстрее реагируют на возможные угрозы и выпускают патчи. Это не так. Порой именно бесплатные утилиты обновляются чаще.

Теперь отключим автозапуск съемных дисков. Для этого выполните действие «Пуск > Выполнить > gpedit. msc > Конфигурация компьютера > Административные шаблоны > Система > Отключить автозапуск». Выбе рите «Включен» и установите «Отключить автозапуск на всех дисках». Для ОС Windows XP Home Edition при дется проделать другую процедуру. Зайти в реестр, да лее открыть новый раздел Explorer в HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies. В нем соз дать ключ NoDriveTypeAutoRun и установить значе ние OxFR

Для большей безопасности можете работать под ло гином с ограниченными правами, а под логином адми нистратора входить только для установки программно го обеспечения и изменения настроек.

На всякий случай сохраните на флешку антивирус, не требующий установки. Например, DrWeb Curelt!. Еще лучше иметь под рукой LiveCD с антивирусом. Только не забывайте, что антивирусные базы в подобных сбор ках постепенно устаревают.

Несколько советов напоследок

Если антивирус имеет модуль сканирования элек тронной почты, время получения почты может замед литься в несколько раз. Если вы срочно ждете пись мо, можете отключить этот модуль. Однако не забудь те потом его снова активировать. Никогда не забывай те, что вирус может прийти и от знакомого вам кон такта. Точно так же не пересылайте деньги на прось бы своих друзей, если они присылаются вам через аську, личную почту веб-сервисов «Одноклассники», «Вконтакте».

Несмотря на то что разработчики антивирусов по стоянно совершенствуют технологии антивирусной защиты, они все-таки находятся в роли догоняющих. За то время, пока появится «вакцина» от новейшего вируса, вирус может успеть заразить тысячи и тыся чи компьютеров.

Не стоит уповать на собственную благоразумность, пренебрегая правилами безопасности. Да, можно дли тельное время обходиться без антивируса, но стоит ли рисковать? Потерянное время или информация может обойтись вам очень дорого.