ВВЕДЕНИЕ В КОМПЬЮТЕРНУЮ ВИРУСОЛОГИЮ.

Ивонина Марина Викторовна
Опубликовано 19.04.2016 - 14:14 - Ивонина Марина Викторовна

Скачать:

ВложениеРазмер
Файл ssylka.docx37.42 КБ

Предварительный просмотр:

http://www.studfiles.ru/preview/1840028/page:5/

ВВЕДЕНИЕ В КОМПЬЮТЕРНУЮ ВИРУСОЛОГИЮ

3.1. Примеры из истории компьютерных вирусов

1945 год. Рождение термина. Вице-адмирал ВМФ США Грейс Мюррей Хоппер (Grace Murray Hopper), руководившая информационным отделом военно-морского штаба, столкнулась с тем, что электронно-счетные машины (прототипы современных компьютеров) начали давать сбои. Причиной стал мотылек, залетевший внутрь одного из реле. Адмирал назвала эту проблему «жуком» (bug), используя термин, применявшийся физиками США и Великобритании с конца XIX века (он обозначал любого рода неполадку в электрических устройствах). Адмирал также впервые использовала термин «избавление от жука» (debugging), который ныне применяется для описания действий, ставящих своей целью устранение неполадок в компьютере.

Примерно 1950 год. Математики, работающие в исследовательском подразделении корпорации Bell, придумали игру: они создают программы, отбирающие друг у друга компьютерное пространство. Это были предвестники вирусов.

1959 год. Л.С. Пенроуз опубликовал статью о самовоспроизводящихся механических структурах в американском журналом "Scientific American". В этой статье наряду с примерами чисто механических конструкций была приведена некая двумерная модель подобных структур, способных к активации, захвату и освобождению. Под влиянием этой статьи Ф.Ж. Шталь запрограммировал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При N передвижениях без пищи существо умирало от голода, а после съедания определенного количества слов порождало новое. При размножении была предусмотрена возможность мутаций, в ходе которых существа могли приобретать способность пожирать себе подобных и терять возможность к размножению. В ходе пробного прогона один бесплодный мутант съел единственного, способного к размножению.

Конец 1960-х годов. Появление первых вирусов. В ряде случаев это были ошибки в программах, приводившие к тому, что программы копировали сами себя, засоряя жесткие диски компьютеров, что снижало их производительность, однако считается, что в большинстве случаев вирусы сознательно создавались для разрушения. Вероятно, первой жертвой настоящего вируса, написанного программистом для развлечения, стал компьютер Univax 1108. Вирус назывался Pervading Animal и заразил только один компьютер, на котором и был создан.

1974 год. Написана программа Rabbit (Кролик), которая размножалась на трех соединенных между собой машинах IBM, причем появление новых подзадач вызывало замедление реакции, а затем и полное зависание машин.

1975 год. Через Telenet распространяется сетевой вирус The Creeper. По некоторым данным эта программа была написана Бобом Томасом из BBN. Она путешествовала по сети, обнаруживая свое появление сообщением:

"I'M THE CREEPER ... CATCH ME IF YOU CAN"

Для борьбы с ней была создана программа The Reeper, которая также путешествовала по сети и уничтожала встретившиеся экземпляры Creeper. Эта идея, представляющая собой вариацию подхода, распространенного в среде знахарей - "подобное лечится подобным", позднее неоднократно использовалась и в других программах борьбы с ранними вирусами, однако в целом оказалась неудачной.

Конец 1970-х годов. Параллельно с массовой продажей компьютеров Apple на Западе отмечается бурное развитие сетей для передачи информации на базе обычных телефонных каналов. Появляются первые банки свободно распространяемых программ и данных - BBS (Bulletin Board System - буквально "доска объявлений" для программ). В этот банк любой программист мог загрузить свою программу, и любой пользователь мог ее считать и запустить на своем компьютере.

С появлением BBS получил распространение и новый вид компьютерного хулиганства: загрузка в нее программы, выводящей какие-то привлекательные картинки или претендующей на выполнение какой-либо полезной функции, которая сразу после запуска или через некоторое время, или при выполнении некоторого условия уничтожала данные на компьютере пользователя, переписавшего и запустившего ее.

Октябрь 1980 года. В сети APRAnet была обнаружена программа, по некоторым описаниям вызывавшая "перепутывание" адресов посылаемых по сети сообщений, что вызывало появление множества сообщений. В результате систему пришлось выключить, и она была восстановлена только через три дня. Это можно считать первыми сетевыми вирусами.

1981 год. Появился первый, получивший некоторое распространение, загрузочный вирус на ПЭВМ Apple II, названый Elk Cloner. Вирус распространялся через «пиратские» компьютерные игры и обнаруживал свое присутствие сообщением, содержавшим небольшое стихотворение. Поскольку жестких дисков тогда еще не было, борьба с ним состояла в использовании защитных наклеек на дискетах.

1982 год:

  • студентом Техасского университета создан вирус для Apple II. Он был рассчитан на операционную систему DOS 3.3 для этой ПЭВМ. He до конца отлаженная версия этого вируса "ускользнула" от автора и начала распространяться по университету. Ошибка в вирусе вызывала подавление графики популярной игры под названием Congo, и в течение нескольких недель все ("пиратские") копии этой игры перестали работать;
  • сотрудниками исследовательского центра фирмы Xerox в Пало Альто была создана программа-червь и проведен ряд экспериментов. При проведении эксперимента по ее запуску в сеть наблюдалось его неконтролируемое распространение и зависание части зараженных машин.

1983 год:

  • Кену Томпсону - создателю всемирно известной операционной системы Unix, была присуждена самая престижная в мире программирования премия - премия имени Тьюринга Американской ассоциации компьютерной техники (Association for computing machinery) - самой старой и наиболее массовой организации американских программистов. Свою замечательную тьюринговскую лекцию Кен Томпсон посвятил не истории создания системы Unix, а проблеме внесения тонких ошибок в код компилятора, которые невозможно обнаружить путем анализа исходного текста последнего. Хотя в то время тема казалась чем-то незначительным, Томпсон затронул важную проблему, ставшую актуальной только с появлением компьютерных вирусов;
  • ученый Фред Кохен (Fred Cohen) из Университета Северной Каролины вводит термин «компьютерный вирус».

Сентябрь 1984 года. Опубликована статья Ф.Коэна, в которой автор исследовал разновидность файлового вируса. Это фактически второе академическое исследование проблемы вирусов.

1985-86 гг. Быстрый рост производства и резкое снижение цен на ПЭВМ серии IBM PC ознаменовал начало нового этапа развития компьютерных вирусов.

Массовое распространение клонов IBM PC привело к резкому увеличению количества людей, активно занимающихся программированием на компьютере, а следовательно, и прослойки компьютерных "фанатов".

1986 год. Создан вирус для IBM PC – The Brain. Два брата-программиста Амджат и Базит Алви из Пакистана написали программу, которая должна была «наказать» местных «пиратов», ворующих ПО у их фирмы. В программе значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру. Успех вируса был обеспечен тем, что компьютерное сообщество было абсолютно не
готово к подобному развитию событий.

1987 год:

  • программист Ральф Бургер (Ralph Burger) написал книгу об искусстве создания вирусов и борьбы с ними – «Компьютерные вирусы. Болезнь высоких технологий» (Computer Viruses. The Decease of High Technologies);
  • появился Лехайский вирус, в одноименном университете США. В течение нескольких дней этот вирус уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет студентов;
  • обнаружен вирус в Иерусалимском Университете (Израиль). Хотя существенного вреда этот вирус не принес, он быстро распространился по всему миру но, по-видимому, он является первым вирусом, распространение которого приобрело характер эпидемии.

2 ноября 1988 года. 23-летний американский программист Роберт Моррис-младший, аспирант факультета информатики Корнельского Университета, инфицировал с помощью написанного им вируса большое количество компьютеров (по ориентировочным оценкам порядка 6000), подключенных к американской национальной сети ARPANET. Хотя никакой потери или изменения данных не произошло, многие тысячи часов рабочего времени были потеряны пользователями Internet. И впервые суд приговорил автора вируса к $10 тыс. штрафа и 3 годам испытательного срока.

1989 год.

  • панику в США и западноевропейских странах вызвали вирусы серии DATACRIME, которые запрограммированы так, что, начиная с 12 октября, они форматируют первые дорожки жесткого диска, разрушая файловую систему, а до этой даты просто размножаются;
  • создано антивирусное ПО для IBM PC.
  • создан вирус для противодействия антивирусному ПО («Темный Мститель» – The Dark Avenger). Он заражал новые файлы, пока антивирусная программа проверяет жесткий диск компьютера.
  • распространилась так называемая AIDS Information Trojan - троянская программа, в составе пакета с базой данных о заболевании синдромом приобретенного иммунодефицита (СПИД). Как программа, так и база данных были записаны на дискете, разосланной 20 тысячам заказчиков, включая ряд медицинских и общественных организаций США, Франции, Великобритании, ФРГ, Дании, Норвегии, Швеции и многих других стран. Сопроводительное письмо извещало, что на дискете содержатся новые сведения по проблемам СПИДа, но в письме условия использования дискет не указывались. После записи на жесткий диск, они действительно начали выдавать информацию по обещанной тематике. Однако затем вся информация на жестком диске перекодировалась и на экранах появлялось требование перечислить сумму в 378 долларов на счет незарегистрированной фирмы в Панаме. В этом случае пользователю якобы будет выслана программа восстановления перекодированной информации. Среди пострадавших были как индивидуальные владельцы компьютеров, так и лаборатории, научные центры, больницы. В некоторых случаях заблокированным оказался итог работы целых научных коллективов. Автор программы был арестован в момент обналичивания денег и осужден за вымогательство.

1990 год:

  • компьютерный журнал PC Today разослал подписчикам инфицированную дискету;
  • написана программа, предназначенная исключительно для создания вирусов – VCS v 1.0.

1993 год. Вирус SatanBug поражает сотни компьютеров в столице США, Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора, – им оказался 12-летний подросток.

1994 год. В Великобритании, США, Норвегии арестованы несколько авторов вирусов. Они отделываются штрафами.

1995 год. Появление макровирусов, рассчитанных на поражение программной платформы определенной программы. Макровирус Concept поразил программу MS Word.

1996 год. Появились первые Win32-вирусы для Windows 95.

1997 год. Вирусы впервые стали использовать для распространения сообщения электронной почты и появились первые вирусы, работающие в защищенном режиме процессоров Intel (впервые этот режим появился в i286).

1998 год:

  • два калифорнийских подростка создали вирус, который поразил более 500 компьютеров Пентагона. После этого инцидента в Министерстве обороны США пришли к выводу, что атаки в киберпространстве не менее опасны, чем традиционные виды ведения боевых действий, и создали термин «гонка компьютерных вооружений»;
  • создан первый вирус, нарушающий работу аппаратной части компьютеров. Это был Win95.CIH, который "сработал" 26 апреля 1999 г. на миллионах компьютеров по всему миру. В России этот вирус стал известен под именем "Чернобыль";
  • появился первый вирус для Windows NT.

1999 год.

  • получили массовое распространение e-mail-черви (вирусные программы-черви, которые используют для распространения сообщения электронной почты). Эпидемия вируса Win95.Spanska. 10000 ("Нарру99") началась 1 января 1999 г. и продолжается до сих пор. Другой e-mail червь Melissa в марте 1999 г. парализовал работу нескольких тысяч почтовых серверов в Европе и Америке. После этого инцидента в мире начался обвальный спрос на антивирусные программы. В 2002 году автор Melissa – 33-летний программист Дэвид Смит (David L. Smith) приговорен к 20 месяцам тюремного заключения;
  • стали очень популярны троянские программы, дающие удаленный доступ к инфицированному компьютеру через Интернет и позволяющие воровать информацию, например, пароли. Троянские системы семейств Back Orifice, NetBus, Trojan Stealth можно свободно найти в Интернете, чем и пользуются злоумышленники.

2000 года.

  • рекорд Melissa побил вирус I Love You!, поразивший миллионы компьютеров в течение нескольких часов. Расследование показало, что вирус создал филиппинский студент, который не был осужден из-за отсутствия соответствующих законов в законодательстве Филиппин. В том же году подписано первое международное соглашение о противодействии компьютерным вирусам;
  • несколько десятков популярных сайтов (в том числе Yahoo!, eBay, Amazon) на некоторое время были выведены из работы в результате DOS-атаки (настолько большая перегрузка Интернет-сервера запросами на обслуживание, что тот вынужден отказывать нормальным пользователям). Вирусом были заражены десятки тысяч компьютеров, которые и «выбили» пострадавшие сайты из Сети. Атаку организовали с компьютеров учебного центра Калифорнийского университета, однако злоумышленники остались необнаруженными.

2001 год. 20-летний голландец Ян Де Вит (Jan De Wit) был приговорен к 150 часам исправительных работ за создание вируса Anna Kournikova. Суд пришел к выводу, что он не может точно определить размер ущерба, который нанесла «Анна Курникова» экономике Нидерландов. У Де Вита также была конфискована коллекция из 7,5 тыс. вирусов. Де Вит заявил суду, что не имел представления, что написанная им программа окажется вирусом и нанесет кому-либо ущерб.

2002 год. Вирус поразил 13 узловых Интернет-серверов, обеспечивающих функционирование Всемирной Сети. Аналитики предупреждают, что хорошо подготовленная и проведенная компьютерная атака может на недели уничтожить Интернет.

2003 год. Рекорды быстроты распространения побил «червь» Slammer, заразивший 75 тыс. компьютеров за 10 минут. Вирус поразил компьютеры Госдепартамента США, где повредил базу данных. Консульства США по всему миру вынуждены были на 9 часов прервать процесс выдачи виз. 22-летний Саймон Вэллор приговорен британским судом к двум годам тюремного заключения за создание вирусов Gokar, Redesi и Admirer, которые инфицировали 27 тыс. компьютеров в 42 странах мира.

3.2. Классификация вирусов

Вирусы можно разделить на классы по следующим основным признакам:

  • среде «обитания»;
  • способу заражения;
  • деструктивным (разрушительным) воздействиям;
  • особенностям алгоритма.

Среда обитания

ВИРУСЫ

Файловые

Загрузочные

Сетевые

Макро

Flash

Файлово-загрузочные

Файловые вирусы заражают исполняемые файлы. Эти вирусы дописывают свое тело в начало, середину или конец файла и изменяют его таким образом, что при запуске последнего первыми получают управление. Часть этих вирусов остается в памяти резидентно.

Загрузочные вирусы записывают себя в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик жесткого диска (Master Boot Record), либо меняют указатель на активный boot-сектор. Часто вирус целиком не помещается в загрузочной части и записывает туда только свое начало, при этом продолжение тела вируса сохраняется в другом секторе диска. После запуска остаются в памяти резидентно.

Сетевые вирусы распространяются по компьютерным сетям, т.е. при передаче информации с одного компьютера на другой, соединенных между собой сетью, например, Интернет.

Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.

Flash-вирусы - вирусы поражающие микросхемы FLASH памяти, содержащей программу BIOS.

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные секторы дисков.

Способ заражения

ВИРУСЫ

Резидентные

Нерезидентные

Резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.д.) и внедряются в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Активизируются в определенные моменты, например при обработке документов текстовым процессором.

Деструктивное (разрушительное) воздействие

ВИРУСЫ

Безвредные

Неопасные

Опасные

Очень

опасные

Безвредные вирусы никак не влияют на работу компьютера. Проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.

Неопасные вирусы не мешают работе компьютера. Их влияние ограничивается уменьшением объема памяти на диске, а также порождением графических, звуковых и других эффектов.

Опасные вирусы могут привести к различным нарушениям в работе компьютера, например, зависанию или неправильной печати документа.

Очень опасные вирусы могут привести к потере программ, уничтожению данных, стиранию необходимой для работы компьютера информации в системных областях памяти, и даже приводить к быстрому износу движущихся частей механизмов, посредством ввода их в резонанс.

Особенности алгоритма построения

Паразитические - это одни из самых простых вирусов. Они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

Вирусы-репликаторы (черви) распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

ВИРУСЫ

Паразитические

Невидимки

Спутники

Студенческие

Мутанты

Троянские

Репликаторы

Вирусы невидимки (стелс-вирусы) очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо себя незараженные участки диска.

Спутники (компаньоны) - это вирусы, которые не изменяют файлы, а для исполняемых файлов (.ехе) создают одноименные, но типа .com, которые при выполнении исходного файла запускаются первыми, а затем передают управление исходному выполняемому файлу.

Студенческие вирусы самые простые и легко обнаруживаемые.

Мутанты (призраки, полиморфные вирусы) содержат алгоритм шифровки-расшифровки, благодаря которому копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Такие вирусы самые сложные в обнаружении.

Троянские программы (квазивирусы) не способны к саморазмножению, но очень опасны. Они маскируются под полезные программы, при этом осуществляют сбор информации и ее передачу злоумышленнику, разрушают загрузочные секторы и файловые системы дисков и используют ресурсы компьютера в неблагоприятных целях.

3.3. Антивирусные средства защиты

Антивирусные программы можно разделить на виды в соответствии с выполняемыми ими функциям.

Сканеры (детекторы, полифаги). Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Антивирусы

Фаги

Ревизоры

Сторожа

Иммунизаторы

Доктора-

ревизоры

Сканеры

Поведенческие

блокираторы

Резидентные

Нерезидентные

Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также можно разделить на две категории:

  1. универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер;
  2. специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например, макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Сканеры также делятся на:

резидентные (мониторы), производящие сканирование «налету». Резидентные мониторы - это программы, постоянно находящиеся в оперативной памяти и контролирующие операции, которые производятся с диском и оперативной памятью. Именно эти программы позволяют обнаружить вирус до момента реального заражения системы, поскольку они немедленно реагируют на его появление. Один из их недостатков - замедление работы, поскольку мониторы работают в интерактивном режиме, постоянно сообщая пользователю о том, что происходит, и спрашивая, что делать дальше. Кроме того, мониторы могут вступать в конфликт с другими программами, загруженными в оперативную память.

нерезидентные, обеспечивающие проверку системы только по запросу.

Как правило, «резидентные» сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшая скорость поиска вирусов.

Ревизоры (CRC-сканеры, инспекторы изменений). Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть недостаток, который заметно снижает их эффективность: они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус распространился по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.

Сторожа (фильтры). Программы-фильтры или сторожа представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: