Основные методы предотвращения заражения вирусами включают в себя то, в чем заключается проблема заражения вирусами и как ее распознать

Какой вред наносят вирусы

Различные вирусы выполняют различные деструктивные действия:

• выводят на экран мешающие текстовые сообщения;
• создают звуковые эффекты;
• создают видео эффекты;
• замедляют работу ЭВМ, постепенно уменьшают объем оперативной памяти;
• увеличивают износ оборудования;
• вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;
• имитируют повторяющиеся ошибки работы операционной системы;
• уничтожают FAT-таблицу, форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;
• осуществляют научный, технический, промышленный и финансовый шпионаж;
• выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;
• делают незаконные отчисления с каждой финансовой операции и т.д.;

Главная опасность самовоспроизводящихся кодов заключается в том,
что программы-вирусы начинают жить собственной жизнью, практически не зависящей
от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный
процесс трудно остановить.

Что показывает на вирусное заражение

Основные симптомы вирусного заражения ЭВМ следующие:

• замедление работы некоторых программ;
• увеличение размеров файлов;
• появление не существовавших ранее файлов;
• уменьшение объема доступной оперативной памяти;
• появление сбоев в работе операционной системы;
• запись информации на диски в моменты, когда этого не должно происходить.

Какие бывают вирусы

Рассмотрим основные виды вирусов. Существует большое число различных классификаций вирусов:

Как защитить компьютер от вирусов

Рассмотрим основные меры по защите ЭВМ от заражения вирусами:

• Необходимо оснастить ЭВМ современными антивирусными
  программами и постоянно обновлять их версии.
• При работе в сети обязательно должна быть установлена программа-фильтр.
• Перед считыванием с дискет информации, записанной на
  других ЭВМ, следует всегда проверять эти дискеты на наличие вирусов.
• При переносе файлов в архивированном виде
  необходимо их проверять сразу же после разархивации.
• При работе на других компьютерах необходимо защищать
  свои дискеты от записи.
• Делать архивные копии ценной информации на других носителях.
• Не оставлять дискету в дисководе при включении или перезагрузке
  ЭВМ, это может привести к заражению загрузочными вирусами.
• Получив электронное письмо, к которому приложен исполняемый файл,
  не следует запускать этот файл без предварительной проверки.
• Необходимо иметь аварийную загрузочную дискету, с которой можно
  будет загрузиться, если система откажется сделать это обычным образом

Анатомия вируса

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Основными частями кода вируса являются infector и payload. Infector – это код, который ищет подходящие для заражения файлы и внедряет в них вирус, стараясь максимально скрыть факт внедрения и при этом не повредить функционалу файла. Payload – это код, который выполняет собственно необходимые вирмейкеру действия, например, рассылает спам, DoS-ит кого-нибудь, или просто оставляет на машине текстовой файлик «Здесь был Виря». Нам совершенно непринципиально, что там внутри payload, главное, что вирмейкер всячески старается скрыть его содержимое.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:

jmp message

the_back:
mov eax, 0x4
mov ebx, 0x1
pop ecx ; со стека будет взят адрес «Hello, World»
mov edx, 0xF
int 0x80. message:
call the_back ; после исполнения на стеке будет лежать адрес «возврата», т. адрес «Hello, World
»
db «Hello, World!», 0Dh, 0Ah

push 0x68732f2f ; “hs//”
push 0x6e69622f ; “nib/”
mov ebx, esp ; в ESP теперь адрес строки «/bin/sh»
mov al, 11
int 0x80

Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т. , его можно внедрять внутрь буфера с чужим кодом.

Предположим, вирмейкер имеет возможность написать код вируса в таком стиле, и теперь ему надо внедрить его в существующий исполняемый файл. Ему необходимо позаботиться о двух вещах:

• Куда положить вирус? Необходимо найти достаточно места, чтобы вирус туда поместился, записать его туда, по возможности не разломав файл и так, чтобы в области, в которой вирус окажется, было разрешено исполнение кода.
• Как передать управление на вирус? Просто положить вирус в файл недостаточно, надо еще совершить переход на его тело, а после завершения его работы вернуть управление программе-жертве. Или в другом порядке, но, в любом случае, мы же договорились не ломать ничего, да?

Итак, разберемся с внедрением в файл. Современные исполняемые форматы для платформы x86 в Windows и Linux – это PE (Portable Executable) и ELF (Executable and Linkable Format). Вы без проблем найдёте их спецификации в системной документации, и если будете заниматься вопросами защиты исполняемого кода, то точно не пропустите. Исполняемые форматы и системный загрузчик (код операционной системы, который занимается запуском исполняемого файла) являются одним из «слонов», на которых стоит операционная система. Процедура запуска. exe файла является очень сложным алгоритмически процессом с кучей нюансов, и рассказывать об этом можно в десятке статей, которые вы обязательно найдете сами, если тема вас заинтересует. Я ограничусь простым рассмотрением, достаточным для базового понимания процесса запуска. Чтобы в меня не кидались помидорами, далее под компилятором я буду иметь в виду весь комплекс программ, превращающий исходный код в готовый исполняемый файл, то есть, фактически, компилятор + линкер.

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

Так как адреса внутри всех этих секций связаны, просто шлепнуть кусок кода в середину секции, «перевязав» его JMP-ами не получится, исходный файл сломается. Поэтому популярными местами для внедрения кода вируса являются:

• основная кодовая секция (перезапись вирусом начала исполняемого кода начиная прямо с Entry Point).
• padding между окончанием заголовка и первой секцией. Там ничего нет и вполне можно уместить там небольшой вирус (либо его загрузчик) не сломав файл.
• новая секция, которую можно дописать в заголовок и разместить в файле после всех остальных. В этом случае никакие внутренние смещения не поломаются, и с местом проблем тоже нет. Правда последняя секция в файле, в которой разрешено исполнение, конечно же, обратит на себя внимание эвристика.
• padding между окончанием содержимого секции и ее выровненным концом. Это намного сложнее, так как сначала надо этот самый «конец» найти, и не факт, что нам повезет и места будет достаточно. Но для некоторых компиляторов это место можно обнаружить просто по характерным байтам

Есть способы и похитрее, некоторые я опишу во второй статье.

Теперь о передаче управления. Чтобы вирус отработал, его код должен каким-то способом получить управление. Самый очевидный способ: сначала управление получает вирус, а потом, после того, как он отработает – программа-хост. Это самый простой способ, но также имеют право на жизнь и варианты, когда вирус получает управление, например, после завершения работы хоста, или в середине исполнения, «замещая» исполнение какой-нибудь функции. Приведем несколько техник передачи управления (термин Entry Point или EP, используемый далее, – это точка входа, то есть адрес, на который системный загрузчик передаст управление после того, как подготовит исполняемый файл к запуску):

• JMP на тело вируса замещает первые байты, находящиеся в Entry Point файла. Затёртые байты вирус сохраняет в своём теле, и, по окончании собственной работы, восстанавливает их и передает управление на начало восстановленного буфера.
• Способ, похожий на предыдущий, но вместо байтов вирус сохраняет несколько полных машинных инструкций в Entry Point, тогда он может, ничего не восстанавливая (проследив только за корректной очисткой стека), выполнить их после окончания собственной работы и передать управление на адрес инструкции, следующей за «сворованными».
• Как и в случае с внедрением, есть способы и похитрее, но мы их тоже рассмотрим ниже, или отложим до следующей статьи.

Всё это – способы сделать корректную вставку буфера с кодом в некоторый исполняемый файл. При этом п. 2 и п. подразумевают функционал, позволяющий понять, какие байты являются инструкциями, и где находятся границы между инструкциями. Ведь мы не можем «разорвать» инструкцию пополам, в этом случае все сломается. Таким образом, мы плавно переходим к рассмотрению дизассемблеров в вирусах. Понятие принципа работы дизассемблеров нам понадобится для рассмотрения всех нормальных техник работы с исполняемым кодом, поэтому ничего страшного, если я немного опишу его сейчас.

Если мы внедрим свой код в позицию точно между инструкциями, то сможем сохранить контекст (стек, флаги) и, выполнив код вируса, восстановить все обратно, вернув управление программе-хосту. Конечно, с этим тоже могут быть проблемы, если используются средства контроля целостности кода, антиотладка и т. , но об этом тоже во второй статье. Для поиска такой позиции нам необходимо вот что:

• поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
• определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
• переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
• повторять, пока не решим остановиться

Это минимальный функционал, необходимый для того, чтобы не попасть в середину инструкции, а функция, которая принимает указатель на байтовую строку, а в ответ отдает длину инструкции, называется дизассемблером длин. Например, алгоритм заражения может быть таким:

• Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
• Читаем свой код (код тела вируса).
• Берем несколько первых инструкций из файла-жертвы.
• Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
• Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
• Создаем новую секцию, записываем туда код вируса и правим заголовок.
• На место этих первых инструкций кладем переход на код вируса.

Это вариант вполне себе корректного вируса, который может внедриться в исполняемый файл, ничего не сломать, скрыто выполнить свой код и вернуть исполнение программе-хосту. Теперь, давайте его ловить.

Анатомия детектора

Вдруг, откуда ни возьмись, появляется рыцарь на белом компе, в левой руке у него отладчик, а в правой – дизассемблер, программист антивирусной компании. Откуда он там взялся? Вы, конечно, догадались. С большой долей вероятности, он появился там из «смежной области». Антивирусная область в плане программирования весьма уважаема теми, кто в теме, ибо возиться этим ребятам приходится с весьма изощренными алгоритмами, причем в довольно стеснённых условиях. Сами посудите: у вас на входе сотня тысяч экземпляров всякой заразы и исполняемый файл, работать вы должны практически в реальном времени, а цена ошибки весьма высока.

Для антивируса, как и для любого конечного автомата, принимающего бинарное решение «да/нет» (инфицирован/здоров), существует два типа ошибок – false positive и false negative (ошибочно признал файл заразным, ошибочно пропустил зараженный). Понятно, что общее число ошибок надо снижать в любом раскладе, но false negative для антивируса куда более неприятна, чем false positive. «После скачивания торрента, перед установкой игры отключите антивирус» — знакомо? Это и есть «false positive» – crack. exe, записывающий что-то в исполняемый. exe файл для достаточно умного эвристического анализатора (см. ниже), выглядит как вирус. Как говорится: «лучше перебдеть, чем недобдеть».

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

XX XX XX XX XX XX ; начало вируса длиной N байт. 68 2F 2F 73 68 push 0x68732f2f ; “hs//”
68 2F 62 69 6E push 0x6e69622f ; “nib/”
8B DC mov ebx, esp ; в ESP теперь адрес строки «/bin/sh»
B0 11 mov al, 11
CD 80 int 0x80
XX XX XX XX ; конец вируса длиной M байт.

Сразу хочется просто взять пачку опкодов (68 2F 2F 73 68 68 2F 62 69 6E 8B DC B0 11 CD 80) и поискать эту байтовую строку в файле. Если нашли – попался, гад. Но, увы, оказывается эта же пачка байт встречается и в других файлах (ну мало ли кто вызывает командный интерпретатор), да еще и таких строк для поиска «стотыщ», если искать каждую, то никакая оптимизация не поможет. Единственный, быстрый и правильный способ проверить наличие такой строки в файле – это проверить ее существование по ФИКСИРОВАННОМУ смещению. Откуда его взять?

Вспоминаем «смежную область» — особенно места про то, куда вирус себя кладет и как передает себе управление:

• вирус внедряется в padding между заголовком и началом первой секции. В этом случае можно проверить существование этой байт-строки по смещению
  «длина заголовка» + N (где N – число байт от начала вируса до байт-строки)
• вирус лежит в новой, отдельной секции. В этом случаем можно проверить существование байт-строки от начала всех секций с кодом
• вирус внедрился в padding между концом кода и концом кодовой секции. Можно использовать отрицательное смещение от конца секции, типа «конец кодовой секции» — М (где M — число байт от конца байт-строки до конца кода вируса) – «длина байт-строки»

Теперь оттуда же про передачу управления:

• вирус записал свои инструкции прямо поверх инструкций в Entry Point. В этом случае ищем байт строку просто по смещению «Entry Point» + N(где N – число байт от начала вируса до байт-строки)
• вирус записал в Entry Point JMP на свое тело. В этом случае надо сначала вычислить куда смотрит этот JMP, а потом искать байт-строку по смещению «адрес перехода JMP» + N(где N – число байт от начала вируса до байт-строки)

Что-то я устал писать «байт-строка», она переменной длины, хранить ее в базе неудобно, и совершенно необязательно, поэтому вместо байт-строки мы будем использовать её длину плюс CRC32 от неё. Такая запись очень короткая и сравнение работает быстро, так как CRC32 алгоритм не из медленных. Гнаться за устойчивостью к коллизиям контрольных сумм смысла нет, так как вероятность коллизии по фиксированным смещениям мизерная. Кроме того, даже в случае коллизии ошибка будет типа «false positive», что не так уж и страшно. Обобщаем все вышеописанное, вот примерная структура записи в нашей антивирусной базе:

• ID вируса
• флаги, указывающие откуда считать смещение (от EP, от конца заголовка, от конца первой секции, от начала всех секций, от адреса перехода инструкции JMP в EP и т.п.)
• смещение (offset)
• длина сигнатуры (Lsig)
• CRC32 сигнатуры (CRCsig)

Оптимизируем вход (оставляем только сигнатуры, которые «влазят» в данный файл, сразу из заголовка подготавливаем набор необходимых смещений) и далее:

Сбор и каталогизация этой «гадости» является задачей весьма нетривиальной, но совершенно необходимой для качественного тестирования детектора. Сбор эталонной базы исполняемых файлов задача непростая: попробуйте найти все экземпляры зараженных файлов (для сложных случаев в нескольких экземплярах), каталогизировать их, перемешать с «чистыми» файлами и регулярно гонять по ним детектор с целью выявления ошибок детектирования. Такая база собирается годами, и является очень ценным активом антивирусных компаний. Возможно, я ошибаюсь, и её реально достать (всякие сервисы online-проверок на вирусы вполне в состоянии предоставить некоторый её аналог), но, когда я занимался этим вопросом, ничего похожего достать было нельзя (по крайней мере, под Linux).

Эвристический анализатор

Какое страшное слово – «эвристический анализатор», сейчас его и не увидишь в интерфейсах антивирусов (наверное, пугает пользователей). Это одна из самых интересных частей антивируса, так как в нее пихают все, что не укладывается ни в один из движков (ни сигнатурный, ни в эмулятор), и похож на доктора, который видит, что пациент кашляет и чихает, но определить конкретную болезнь не может. Это код, который проверяет файл на некоторые характерные признаки заражения. Примеры таких признаков:

• некорректный (испорченный вирусом, но работоспособный) заголовок файла
• JMP прямо в точке входа
• «rwx» на секции кода

Ну, и так далее. Помимо указания факта заражения, эвристик может помочь принять решение – запускать ли более «тяжелый» анализ файла? Каждый признак имеет разный вес, от «подозрительный какой-то» до «не знаю чем, но файл заражен точно». Именно эти признаки дают большинство ошибок «false positive». Не забудем также о том, что именно эвристик может предоставить антивирусной компании экземпляры потенциальных вирусов. Сработал эвристик, но ничего конкретного не было найдено? Значит файл точно является кандидатом на отправку в антивирусную компанию.

Межвидовое взаимодействие и эволюция

Как мы увидели, для быстрого и точного сравнения детектору необходимы сами байты сигнатуры и ее смещение. Или, другим языком, содержимое кода и адрес его расположения в файле-хосте. Поэтому понятно, как развивались идеи сокрытия исполняемого кода вирусов – по двум направлениям:

• сокрытие кода самого вируса;
• сокрытие его точки входа.

Сокрытие кода вируса в результате вылилось в появление полиморфных движков. То есть движков, позволяющих вирусу изменять свой код в каждом новом поколении. В каждом новом зараженном файле тело вируса мутирует, стараясь затруднить обнаружение. Таким образом, затрудняется создание содержимого сигнатуры.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Параллельно с развитием вирусных движков и противостоящих им детекторов активно развивались коммерческие защиты исполняемых файлов. Появилось огромное количество небольших коммерческих программ, и разработчикам нужны были движки, позволяющие взять EXE-файл и «завернуть» его в некоторый «конверт», который умеет защищенным образом генерировать валидный серийный номер. А кто у нас умеет скрывать исполняемый код, и внедрять его в исполняемые файлы без потери работоспособности? Правильно, те самые разработчики из «смежной области». Поэтому написание хорошего полиморфного вируса и навесной защиты исполняемого файла – это очень похожие задачи, с использованием одних и тех же алгоритмов и инструментов. Так же схожи и процесс анализа вирусов и создания сигнатур и взлом коммерческого ПО. В обоих случаях надо добраться до истинного кода и либо создать сигнатуру, либо достать из него алгоритм генерации серийного номера.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.

Глава 1. Немного из истории появления и развития компьютерных вирусов

Компьютер – это электронный аналог человека. Человек, как любой биологический организм, подвергается воздействию различных болезнетворных вирусов, а может ли «заболеть», «заразиться» вирусом компьютер? Как это происходит, как этого избежать и как «вылечить» его? Сколько существует компьютерных вирусов, что они делают в «организме» компьютера? И, главное — можно ли найти панацею их не создания? Ответам на эти вопросы посвящена моя работа.

Однако прежде чем выяснять, где и когда появился первый вирус, было бы неплохо узнать четкое определение термина «компьютерный вирус». Такое определение дал в 1986 году Фред Коэн: «Компьютерный вирус есть программа, способная заражать другие программы путем добавления в них собственной копии». Коэн вообще личность примечательная — первый человек в истории, защитивший докторскую диссертацию по теме компьютерных вирусов. Он доказал невозможность написания программы, которая, глядя на файл, могла бы со стопроцентной точностью сказать, вирус ли это.

Прежде чем приступить к рассмотрению различных классификаций вирусов, давайте вспомним их историю. Мнений по поводу рождения первого компьютерного вируса очень много, и вот некоторые из них.

Самый первый компьютерный вирус назывался демонстрационным для VAX 11/750 под управлением Unix. Руководителем был Леонард Элдман, известный в компьютерном мире как гуру этого направления. Сам Элдман известен благодаря самой распространенной на данный момент криптосистемы, которая используется для шифрования цифровых подписей. В истории развития компьютерных систем именно этот день принято считать первым днем появления информационного терроризма в новой форме. Но на самом деле, хоть данная дата считается официальной и утвержденной, первый компьютерный вирус появился гораздо раньше. Его создателем был американский ученый, выходец из Венгрии, Джон фон Нейман.

В 1949 году Нейман написан статью под названием «Теория и организации сложных автоматов». В этой статье он рассматривал возможность создания программы, которая могла бы размножаться. Первую модель такой программы описали супруги Пенроуз в статье для журнал Nature в 1957 году, после чего некий Ф. Шталь написал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в рамках которой виртуальные существа двигались, «питаясь» символами, вводимыми с клавиатуры. После «поедания» определённого количества символов существо размножалось, причём часть его функций могла «мутировать». Эта программа, однако, не была вирусом как таковым, поскольку не обладала способностью к заражению и не несла никаких деструктивных функций.

Первым «настоящими» вирусами стали программы для компьютеров Apple, появившихся в 1977 году, и умевшим объединяться в сеть. Эти вирусы «размножались» «вручную» – авторы выкладывали их под видом полезных программ на BBS (предшественники современных форумов и чатов) и после запуска уничтожали данные пользователей. Причём эти вирусов могли проявлять свою истинную сущность через определённое время или при определённых условиях. Они получили название ELK CLONER.

В том же году студент Техасского университета A&M Джо Деллинджер создал вирус для операционной системы компьютеров Apple II, который мешал нормальной работе популярной в то время игры CONGO. В течение нескольких недель копии этой игры, имеющиеся на компьютерах университета перестали работать. В 1981году появляется и вирус Elk Cloner, распространяющийся на дискетах тоже для Apple II. Вирус выводит на экран следующие строчки:It will get on all your disksIt will infiltrate your chipsYes it’s Cloner!It will stick to you like glueIt will modify ram tooSend in the Cloner!

В том же году Фред Коэн начинает работу в области исследования саморазмножающихся программ. Это первое академическое исследование проблемы вирусов. Термин «вирус» был предложен научным руководителем Коэна Леном Эдлманом, однако именно Коэна принято считать автором термина «компьютерный вирус».

Первый вирус, изначально ориентированный на заражение целых сетей, появился в 1988 году. Он не нёс никаких деструктивных действий и был создан неким Робертом Моррисом с единственной целью — заразить операционную систему UNIX Berkeley 4. 3 на всех компьютерах, подключенных к сети ARPANET, никак себя не обнаружив. Достигнув своей цели, этот вирус начинал размножаться и рассылать свои копии. Вирус поразил более 6 тысяч компьютеров, часть из которых вышла из строя на несколько дней. Двумя годами позже Моррис был признан виновным в причинении материального ущерба и был приговорён к условному заключению сроком на два года, 400 часам общественных работ и штрафу в 10 тысяч долларов.

На год позже, в 1989 году, появился первый «троянский конь». Вирус с названием AIDS (ВИЧ) блокировал доступ ко всей информации на жёстком диске, попутно отображая на экране надпись «Пришлите чек на $189 на такой-то адрес». Само собой, по точным координатам автора удалось быстро вычислить и в последствии он был осуждён за вымогательство. Но переломным моментом в истории развития можно считать 1990 год. Началось всё после первого полиморфного вируса Chameleon, который стал образцом для подражания, так как был предназначен прятаться от антивирусных программ. Когда же вирусописатели стали объединять в своих творениях различные методы сокрытия, проблема компьютерных вирусов приобрела по-настоящему глобальный масштаб.

Первые серьёзные эпидемии вирусов случились в 1987 год, когда широкое распространение получили дешёвые компьютеры IBM PC. Так, вирус Brain («Пакистанский вирус»), написанный братьями Амджатом и Базитом Алви был обнаружен летом 1987, когда эпидемия поразила 18 тысяч компьютеров в США. Этот вирус был своего рода «карой» для пользователей, использующих нелицензионные программы тех же разработчиков. Что интересно, этот вирус был первым, использующим маскировку — при попытке чтения заражённого сектора он «отдавал» вопрошающей программе незаражённый оригинал.

Вывод: изучив историю появления и развития первых компьютерных вирусов, я выяснила первые причины их создания — это заразить операционную систему, блокировать доступ к определённой информации и своеобразная «кара» для тех, кто пользовался нелицензированными программами, другими словами — для развлечения!

Глава 3. Наиболее распространённые компьютерные вирусы

По объективным причинам компьютерные вирусы создавались, создаются и будут создаваться ещё долгое время. С какими вирусами приходится сталкиваться простым и непростым пользователям? Существует стандартная классификация вирусов. Сейчас я с ней вас вкратце познакомлю.

1 Загрузочные вирусы

От английского Boot — virus — это  компьютерный вирус, записывающийся в первый сектор гибкого или жёсткого диска и выполняющийся при загрузке компьютера.

Загрузочные вирусы очень редко «уживаются» вместе на одном диске из-за того, что используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает, либо зацикливается при загрузке.

Заражение дискет производится единственным известным способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами — вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера.

При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

Вывод: простейшие загрузочные вирусы, находясь в памяти заражённого компьютера, обнаруживают в компьютере не заражённый диск и производят следующие действия:

• выделяют некоторую область диска и делают её недоступной операционной системе;
• замещают программу начальной загрузки в загрузочном секторе диска, копируя корректную программу загрузки, а также свой код, в выделенную область диска;
• организуют передачу управления так, чтобы вначале выполнялся код вируса и лишь затем — программа начальной загрузки.

Файловые вирусы

От английского File infector — компьютерный вирус, распространяющийся путем внедрения своего кода в тело исполняемых файлов. При каждом запуске такого заражённого файла сначала выполняется код вируса, и только потом — код самой программы. После того как вирус получил управление, он выполняет следующие действия:

• восстанавливает в оперативной памяти компьютера исходную программу для последующего её выполнения.
• осуществляет дальнейшее заражение, инфицируя другие файлы или оперативную память компьютера.

Выполняя иные действия, файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Они:

• различными способами внедряются в исполняемые файлы (наиболее распространенный тип вирусов);
• создают файлы-двойники (компаньон-вирусы);
• создают свои копии в различных каталогах;
• используют особенности организации файловой системы (link-вирусы).

Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных — документы или электронные таблицы, — однако эти вирусы настолько специфичны, что вынесены в отдельную группу:

Overwriting. Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

Parasitic. К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.

Вывод: после того как вирус получил управление, он выполняет следующие действия:

Макровирусы

Это разновидность компьютерных вирусов, разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.

Пользователи ПК зачастую недооценивают макровирусы, не учитывая, что макрос, написанный, например, на языке VBA и интегрированный в документ Word или Excel, обладает всеми теми же возможностями, что и обычная программа. Он может отформатировать ваш винчестер, удалить любые файлы по выбору, скопировать какую-либо конфиденциальную информацию (например, пароли) и отправить ее по электронной почте и т. Фактически вирусы этого класса способны парализовать работу целого офиса, а то даже и не одного. Макровирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. Большинство макровирусов являются резидентными вирусами: они активны не только в момент открытия или закрытия файла, но до тех пор, пока активен сам текстовый или табличный редактор (а некоторые могут оставаться в оперативной памяти до выключения ПК!). Легкость создания макровирусов поражает воображение, все находится буквально под рукой: достаточно запустить Word, выбрать меню Сервис – Макрос – Редактор Visual Basic – и запустится программная среда VBA (Visual Basic for Application)!

Опасность макровирусов заключается ещё и в том, что распространяется вирус целиком в исходном тексте. Если человек, к которому попал вирус, более-менее умеет писать на Visual Basic, то он без труда сможет модифицировать вирус, вложить в него свои функции и сделать его невидимым для антивирусов. Не забывайте, что авторы вирусов пользуются теми же антивирусными программами и модифицируют свои вирусы до тех пор, пока те не перестают детектироваться антивирусными программами. Фактически, таким образом, рождаются новые модификации уже известных вирусов, но для того, чтобы данный вирус обнаружился антивирусом, он сначала должен попасть в антивирусную лабораторию и только после этого будут добавлены функции детектирования и обезвреживания новой модификации.

Вывод: излюбленным местом обитания этих вирусов являются офисы с большим документооборотом. В таких организациях людям, работающим за компьютером (секретари, бухгалтеры, операторы ЭВМ), некогда заниматься такими мелочами как компьютерные вирусы. Документы лихо переносятся с компьютера на компьютер, без какого-либо контроля (особенно при наличии локальной сети).

Сетевые вирусы

Это чрезвычайная опасность со стороны локальных сетей и Интернета включительно. Вирусы, проникая на компьютер через сеть, могут привести не только к повреждению важной информации, но и самой системы в целом. Сетевые вирусы для распространения используют возможности и протоколы глобальных и локальных сетей. Самым главным принципом работы такого вируса является уникальная возможность передать свой код без сторонней помощи на рабочую станцию или удаленный сервер. Большинство сетевых вирусов, кроме возможности самостоятельно проникать через сеть на удаленные компьютеры, могут там же запустить на выполнение свой программный код, или, в некоторых случаях, немного «подтолкнуть» пользователя, что бы тот запустил инфицированный файл.

Многие думают, что сетевым является абсолютно любой вирус, который распространяется в компьютерной сети. Но если следовать такому утверждению, то практически все современные вирусы были бы сетевыми. Ведь самый обычный нерезидентный вирус во время заражения файлов абсолютно не разбирается – локальный это диск или сетевой (удаленный). Как результат, этот вирус будет заражать файлы в пределах сети, но при этом он не будет являться сетевым вирусом.

В прошлом, сетевые вирусы распространялись в сети и, обычно, так же как и компаньон-вирусы, во время заражения не изменяли сектора или файлы на дисках. Сетевые вирусы проникали в память компьютера из сети. По прибытию они моментально вычисляли сетевые адреса остальных компьютеров и моментально рассылали по найденным адресам свои копии. Иногда эти вирусы одновременно создавали на дисках системы рабочие файлы, но так же могли не обращаться вообще к системным ресурсам компьютера (оперативная память является исключением из правил).

Многие пользователи встречались с названиями «сетевой червь». Это одни из самых популярных сетевых вирусов, появились они в далеком 1980 году. Для своего распространения такие вирусы использовали различные недокументированные функции и ошибки глобальных сетей – они передавали свои зараженные копии с сервера на сервер и по прибытию запускали их на выполнение. Именно они представляют главную угрозу для всех пользователей глобальной сети.

Почтовые черви можно делить на подклассы по-разному, но для конечного пользователя они делятся на два основных класса:

• черви, которые запускаются сами, без ведома пользователя, они используют уязвимости (ошибки) почтовых клиентов;
• черви, которые активизируются, только если пользователь сохранит присоединённый к письму файл и запустит его; самый распространённый приём — выдать заражённый файл за какой-то важный документ, картинку или полезную программку.

Вывод: в любом случае, независимо от наличия или отсутствия вредоносных функций и их «опасности» почтовые черви вредны уже только потому, что они существуют. Это связано с тем, что при размножении они загружают каналы связи и нередко настолько, что полностью парализуют работу человека или целой организации.

Троянские программы

Их ещё называют троя́н, троя́нец, троя́нский конь — вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно. «Трояны» — самый простой вид вредоносных программ, сложность которых зависит исключительно от сложности истинной задачи и средств маскировки. Самые примитивные «трояны» (например, стирающие содержимое диска при запуске) могут иметь исходный код в несколько строк.

Троянские программы чаще всего разрабатываются для вредоносных целей. Существует классификация, где они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 5 основных типов:

Целью троянской программы может быть:

• закачивание и скачивание файлов;
• копирование ложных ссылок, ведущих на поддельные веб-сайты, чаты или другие сайты с регистрацией;
• создание помех работе пользователя;
• похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам, выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях;
• распространение других вредоносных программ, таких как вирусы;
• уничтожение данных (стирание или переписывание данных на диске, трудно замечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей;
• сбор адресов электронной почты и использование их для рассылки спама;
• шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов;
• регистрация нажатий клавиш с целью кражи информации такого рода как пароли и номера кредитных карточек;
• дезактивация или создание помех работе антивирусных программ и файервола.

Вывод: троянские программы выполняют активные действия, уничтожают данные, собирают данные  и отправляют через Internet, выполняя какие-либо действия в определённое время. Они не размножаются сами — они являются спутниками сетевых и почтовых червей. Они максимально «полезны» и незаметны. Они единоразово устанавливаются на компьютер и долгое время либо до момента обнаружения, либо до переустановки операционной системы по какой-либо причине выполняют свои функции.

Общий вывод: неважно, к какой классификации по среде обитания относится компьютерный вирус! Цель его одна! Согласно определению этого понятия, компьютерный вирус — это специально написанная, как правило, небольшая по размерам программа, которая может записывать (внедрять) свои копии (возможно, изменённые) в компьютерные программы, расположенные в исполняемых файлах,  системных областях дисков, драйверах, документах и т. , причём эти копии сохраняют возможность к «размножению».

Глава 4. Как уберечься от вирусов? Антивирусы — одна из причин создания компьютерных вирусов

Особенно опасным для пользователя является такое действие вируса, как форматирование жесткого диска, что сопряжено с быстрой потерей всей хранящейся там информации. Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы, позволяющие выявлять вирусы, лечить зараженные файлы и диски, обнаруживают и предотвращают подозрительные (характерные для вирусов) действия. Разумеется антивирусные программы надо применять на ряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.

Существует несколько типов антивирусных программ, различающихся выполняемыми функциями:

Детекторы ( полифаги)

Программы-детекторы выполняют эвристический анализ файлов и системных областей дисков, что часто позволяет( но отнюдь не всегда) обнаружить новые, не известные программе вирусы. Многие программы-детекторы позволяют также «лечить» зараженные файлы и диски, удаляя из них вирусы.

Программы-ревизоры запоминают сведения о состоянии файлов и системных областей дисков. При последующих запусках ревизоры сравнивают состояние данных, содержащихся в базе, при выявлении несоответствий об этом сообщают пользователю. Они также позволят»лечить»зараженные файлы и диски, удаляя из них вирусы.

Программы-сторожа располагаются в оперативной памяти компьютера  и проверяют на наличие вирусов запускаемые файлы и вставляемые в дисковод дискеты. При наличии вируса сообщают пользователю. Программы-сторожа позволяют обнаружить многие вирусы на самом ранней стадии, когда вирус ещё не успел размножиться и что-либо испортить.

Ни один тип антивирусных программ по отдельности не даёт, к сожалению, полной защиты от вирусов. Однако совместное использование антивирусных программ даёт неплохие результаты, так как они хорошо дополняют друг друга.

К сожалению, при создании программы-вируса у программистов есть возможность опробовать свое «детище» на самых распространенных антивирусах. В результате в Интернет запускаются вирусы, против которых большинство антивирусов на тот момент противостоять не могут, т. они попросту не располагают о новом вирусе никакой информацией, а его действия воспринимают как работу обычной программы. Оптимальный способ обезопасить себя от вирусов — использовать альтернативную операционную систему. Если у Вас компьютер фирмы Apple, то она у Вас уже есть (MAC OS). Для пользователей IBM PC-совместимых компьютеров рекомендуем выбрать Linux или любую другую операционную систему *nix. Можно установить альтернативную операционную систему, сохранив Windows, и использовать ее только для безопасной работы в сети Интернет.

Вывод: широко распространенное заблуждение, что достаточно установить на компьютер антивирусную программу, и про вирусы можно забыть. Если бы это было действительно так, распространению вредоносных программ (вирусов) давно бы пришел конец. Это не панацея от не создания компьютерных вирусов. А только одна из причин их создания!

Анкета.

«Компьютерный вирус. Что ты о нём знаешь?»

А) 10-11  лет            Б)12-13  лет          В)14-15 лет               Г)16-17 лет

Знакомо ли вам понятие «компьютерного вируса»?

А) да          Б) нет

Что вы понимаете под «компьютерным вирусом»?

Как вы относитесь к компьютерному вирусу?

А) отрицательно             Б) положительно                   В) мне всё равно

Где тебе кажется можно заразиться компьютерным вирусом?

А) социальные сети          Б) электронная почта    В) случайные сайты

Ты сможешь определить, что в компьютере имеется вирус?

А) да           Б) нет       В) не знаю

Какие проблемы у вас происходят из-за вируса?

А) взламывают        Б) поломка компьютера      В) нет никаких проблем

Как вы защищаетесь от  компьютерных  вирусов?

А) пользуюсь антивирусом

Б) регулярно хожу к программисту

Г) не пользуюсь чужими носителями информации

Считаете, что от компьютерных вирусов можно избавиться?

А) да                  Б) нет              В) не знаю

Как ты думаешь, какие причины вызывают создание компьютерных вирусов?

А) украсть важную информацию

Б) «заработать» деньги

Г) навредить пользователям

Ваши предложения по борьбе с ним:

Приложение 2. Результаты анкетирования

Приложение 3. УК РФ

Статья 273. Создание, использование и распространение вредоносных компьютерных программ

Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, —

наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, —

наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, —

наказываются лишением свободы на срок до семи лет.

Приложение 4. Рекомендации

1) Каждую свою дискету, если она «побывала» на другом компьютере, следует обязательно проверить любой доступной антивирусной программой. Программы такого рода могут не только обнаружить вирус, но и «вылечить» дискету. Особенно это касается игровых программ, т. большинство вирусов распространяется именно через них.

2) Аналогичные проверки необходимо устраивать для файлов, полученных через сеть.

3) Антивирусная программа очень быстро морально стареет. Поэтому рекомендуется ее периодически обновлять новой версией. Период обновления программ такого рода составляет от одной недели до одного квартала.

4) Не снимать защиту записи с дискеты в ходе повседневных работ, если это не предусмотрено технологией решения задач.

5) При обнаружении вируса не предпринимать необдуманных действий, т. это может привести к потере той информации, которую еще можно было бы спасти. Самое правильное в такой ситуации — это выключить компьютер, чтобы блокировать деятельность вируса. Затем загрузить компьютер с эталонной дискеты операционной системой. После этого запустить антивирусную программу, в функциях которой предусмотрено не только обнаружение инфицированных файлов, но и их лечение. Далее выполнить антивирусную программу повторно. Если все операции по удалению вируса были сделаны правильно, то результатом ее работы должно быть информирование пользователя о полном отсутствии вирусов. Но следует помнить, что программа не должна быть морально устаревшей.

В последнее время при работе в сетях, особенно при пользовании электронной почтой, участилось проникновение вирусов в компьютер пользователя посредством чтения почтовых сообщений. Поэтому здесь также следует соблюдать несколько простых правил:

1) Не открывать прикрепленные к письму файлы, кроме случая, когда есть предварительная договоренность с отправителем об их отправке.

2) Не открывать прикрепленные к письму файлы, пришедшие от антивирусных лабораторий, компании Microsoft и прочих. Компании никогда не занимаются рассылкой файлов.

3) Не открывать прикрепленные к письму файлы, если тема письма и само письмо пустые.

4) Удалять все подозрительные письма.

5) При длительном отсутствии следует прервать подписку на различные электронные рассылки.

Помимо чисто административных мер, для борьбы с вирусами и другими вредоносными программами необходимо использовать специальное антивирусное программное обеспечение (антивирусы).

Для защиты от вирусов, распространяющихся по электронной почте, можно установить антивирусы на компьютерах отправителя и получателя. Однако такой защиты часто оказывается недостаточно. Обычные антивирусы, установленные на компьютерах пользователей Интернета, рассчитаны на проверку файлов и не всегда умеют анализировать поток данных электронной почты. Если антивирус не выполняет автоматическую проверку всех открываемых файлов, то вирус или троянская программа может легко просочиться сквозь защиту на диск компьютера.

Кроме того, эффективность антивирусов очень сильно зависит от соблюдения правил их применения: необходимо периодически обновлять антивирусную базу данных, использовать правильные настройки антивирусного сканера и т. К сожалению, многие владельцы компьютеров не умеют правильно пользоваться антивирусами или не обновляют антивирусную базу данных, что неизбежно приводит к вирусному заражению.

Компьютерные вирусы и вредоносные программы План

Классификация компьютерных вирусов по
особенностям

Классификация
компьютерных вирусов по деструктивные
возможностям

Похожие работы

• Современные антивирусные системы
• Комплексная защита ПК антивирусными средствами при работе в сети
• Вирусная опасность и борьба с ней
• Современные антивирусные системы (вирусы, программы)