трусики женские украина

На головну

Комп'ютерні віруси і боротьба з ними - Інформатика

Зміст

Введення.................................... 3

1. Історія комп'ютерних вірусів - від древності до наших днів.................................. 4

1.1. Небагато археології.................. 4

1.2. Початок шляху......................... 4

1.3. Поліморфізм - мутація вірусів....... 5

1.4. Автоматизація виробництва і конструктори вірусів.................................. 6

2. Хронологія подій....................... 7

3. Перспективи: що буде завтра і післязавтра 16

3.1. Що буде завтра?.................. 16

3.2. Що буде післязавтра?............. 16

4. Класифікація комп'ютерних вірусів...... 18

5. Методи боротьби з вірусами................ 20

5.1. Методи виявлення і видалення комп'ютерних вірусів................................. 20

5.2. DOCTOR WEB - одна з найпопулярніших антивірусних програм................... 20

Висновок................................. 22

Список літератури.......................... 23

Введення

Комп'ютерні віруси. Що це таке і як з цим боротися? На цю тему вже написані десятки книг і сотні статей, боротьбою з комп'ютерними вірусами професіонально займаються сотні (або тисячі) фахівців в десятках (а можливо, сотнях) компаній. Здавалося б, тема ця не настільки складна і актуальна, щоб бути об'єктом такої пильної уваги. Однак це не так. Комп'ютерні віруси були і залишаються однієї з найбільш поширених причин втрати інформації. Відомі випадки, коли віруси блокували роботу організацій і підприємств. Більш того декілька років тому був зафіксований випадок, коли комп'ютерний вірус став причиною загибелі людини - в одному з госпіталів Нідерландів пацієнт отримав летальну дозу морфію по тій причині, що комп'ютер був заражений вірусом і видавав невірну інформацію.

Незважаючи на величезні зусилля конкуруючих між собою антивірусних фірм, збитки, що приносяться комп'ютерними вірусами, не падають і досягають астрономичсеских величин в сотні мільйонів доларів щорічно. Ці оцінки явно занижені, оскільки відомо стає лише про частину подібних інцидентів.

При цьому потрібно мати на увазі, що антивірусні програми і «залізо» не дають повної гарантії захисту від вірусів. Приблизно так само погано йдуть справи на іншій стороні тандему «людина-комп'ютер». Як користувачі, так і професіонали-програмісти часто не мають навіть навиків «самооборони», а їх уявлення про вірус часом є настільки поверхневими, що краще б за їх (уявлень) і не було.

Небагато чим краще йдуть справи на Заході, де і літератури побільше (видається аж три щомісячних журнали, присвячених вірусам і захисту від них), і вірусів поменше (оскільки «ліві» китайські компакт-диски особливо на ринок не поступають), і антивірусні компанії поводяться активніше (проводячи, наприклад, спеціальні конференції і семінари для фахівців і користувачів).

У нас же, на жаль, все це не зовсім так. І одним з найменше »пророблених» пунктів є література, присвячена проблемам боротьби з вірусами. На сьогоднішній день що є на прилавках магазинів друкарська продукція антивірусного глузду або давно застаріла, або написана непрофесіонал, або авторами типу Хижняка, що набагато гірше.

Досить неприємним моментом є також випереджальна робота Російського комп'ютерного «андеграунда»: тільки за два роки було випущено більше за десяток електронних номерів журналу вирусописателей «Infected Voice», з'явилося трохи станцій BBS і WWW-сторінок, орієнтовані на поширення вірусів і сопутсвующей інформації.

Все це і послужило поштовхом до того, щоб зібрати воєдино весь матеріал, який скупчився у мене за вісім років професійної роботи з комп'ютерними вірусами, їх аналізу і розробці методів виявлення і лікування.

Обов'язковою (необхідним) властивістю комп'ютерного вірусу є можливість створювати свої дублікати (не обов'язково співпадаючі з оригіналом) і впроваджувати їх в обчислювальні мережі і/або файли, системні області комп'ютера і інші об'єкти, що виконуються. При цьому дублікати зберігають здібність до подальшого поширення.

1. Історія комп'ютерних вірусів - від древності до наших днів 1.1. Небагато археології

Думок з приводу дати народження першого комп'ютерного вірусу дуже багато. Мені напевно відоме тільки одне: на машині Беббіджа його не було, а на Univac 1108 і IBM-360/370 вони вже були («Pervading Animal» і «Christmas tree»). Таким чином, перший вірус з'явився десь на самому початку 70-х або навіть в кінці 60-х років, хоч «вірусом» його ніхто ще не називав. На цьому розмову про вимерлі копалини пропоную вважати завершенным.1.2. Початок шляху

Поговоримо про новітню історію: «Brain», «Vienna», «Cascade» і далі. Ті, хто почав працювати на IBM-PC аж в середині 80-х, ще не забули поголовну епідемію цих вірусів в 1987-89 роках. Букви сипалися на екранах, а натовпи користувачів мчали до фахівців з ремонту дисплеїв (зараз все навпаки: вінчестер здох від старості, а валять на невідомий передовій науці вірус). Потім комп'ютер заграв чужоземний гімн «Yankee Doodle», але лагодити динаміки вже ніхто не кинувся - дуже швидко розібралися, що це - вірус, так не один, а цілий десяток.

Так віруси почали заражати файли. Вірус «Brain» і кулька вірусу «, що скаче по екрану Ping-pong» ознаменували перемогу вірусу і над Boot-сектором. Все це дуже не подобалося користувачам IBM-PC, і - з'явилися протиотрути. Першим антивірусом, що попався мені був вітчизняний ANTI-KOT: це легендарний Олег Котик випустив в світло перші версії своєї програми, яка знищувала цілих 4 (чотири) віруси (американський SCAN з'явився у нас в країні декілька пізніше). До речі, всім, хто досі зберіг копію цього антивіруса, пропоную негайно її стерти (так пробачить мене Олег Котик!) як програму шкідливу і нічого, крім витрати зайвих нервів і непотрібних телефонних дзвінків, що не приносить. На жаль, ANTI-KOT визначає вірус «Time» («Єрусалимський») по комбінації «MsDos» в кінці файла, а деякі інші антивіруси ці самі букви акуратно причіплюють до всіх файлів з розширенням COM або EXE.

Потрібно звернути увагу на те, що історії завоювання вірусами Росії і Заходу розрізнюються між собою. Першим вірусом, таким, що стрімко розповсюдився на Заході був завантажувальний вірус «Brain», і тільки потім з'явилися файлові віруси «Vienna» і «Cascade». У Росії ж навпаки, спочатку з'явилися файлові віруси, а роком пізніше - завантажувальні.

Час йшов, віруси плодилися. Всі вони були чимсь схожі один на одну, лізли в пам'ять, чіплялися до файлів і секторів, періодично вбивали файли, дискети і вінчестери. Одним з перших «прозрінь» став вірус «Frodo.4096» - перший з відомих мені файлових вирусов-невидимок (стелс). Цей вірус перехоплював INT 21h і, при звертанні через DOS до заражених файлів, змінював інформацію таким чином, що файл з'являвся перед користувачем в незараженому вигляді. Але це була тільки надбудова вірусу над MS-DOS. Не пройшло і року, як електронні таргани полізли всередину ядра DOS (вирус-невидимка «Beast.512»). Ідея невидимості продовжувала приносити свій плоди і далі: влітку 1991 року промайнув, косячи комп'ютери як бубонну чуму, вірус «Dir_II». «Так-а-а!» сказали всі, хто в ньому копався.

Але боротися з невидимками було досить просто: почистив RAM - і будь спокійний, шукай гада і лікуй його на здоров'ї. Побільше турботи доставляли самошифрующиеся віруси, які іноді всречались в чергових надходженнях в колекції. Адже для їх ідентифікації і видалення доводилося писати спеціальні підпрограми, налагоджувати їх. Але на це ніхто тоді не обертав уваги, поки... Поки не з'явилися віруси нового покоління, ті, які носять назву полиморфик-віруси. Ці віруси використовують інший підхід до невидимості: вони шифруються (в більшості випадків), а в расшифровщике використовують команди, які можуть не повторюватися при зараженні різних файлов.1.3. Поліморфізм - мутація вірусів

Перший полиморфик-вірус з'явився на початку 90-х кодів - «Chameleon», але по-теперішньому часу серйозної проблема полиморфик-вірусів стала лише рік опісля - в квітні 1991-го, коли практично весь світ був охоплений епідемією полиморфик-вірусу «Tequila» (наскільки мені відомо, ця епідемія практично не торкнулася Росію, а перша Російська епідемія, викликана полиморфик-вірусом, сталася аж три роки опісля - рік 1994, це був вірус «Phantom1»).

Популярність ідеї самошифрующихся полиморфик-вірусів вилилася в появу генераторів полиморфик-коду - на початку 1992 з'являється славнозвісний вірус «Dedicated», що базується на першому відомому полиморфик-генераторі MtE і що відкрив серію MtE-вірусів, а через досить короткий час з'являється і сам полиморфик-генератор. Представляє він з себе об'єктний модуль (OBJ-файл), і тепер для того щоб з самого звичайного нешифрованого вірусу отримати полиморфик-мутанта досить лише слинковать їх об'єктні модулі - OBJ-файл полиморфик-генератора і OBJ-файлом вірусу. Тепер автору вірусу, якщо він бажає створити справжній полиморфик-вірус, не доведеться длубатися над кодами власного за/расшифровщика. При бажанні він може підключити до свого вірусу полиморфик-генератор і викликати його з кодів вірусу.

На щастя, перший MtE-вірус не попав в «живу природу» і не викликав епідемії, а розробники антивірусних програм, відповідно, мали деякий запас часу для підготовки до відображення нової напасті.

Усього рік через виробництво полиморфик-вірусів стає вже «ремеслом», і в 1993 році стався їх «обвал». У поступаючих в колекцію вірусах питома вага самошифрующихся полиморфик-вірусів стає все більше і більше. Створюється враження, що одним з основних напрямів у важкій справі створення вірусів стає розробка і відладка полиморфик-механізму, а конкуренція серед авторів вірусів зводиться не до того, хто з них напише самий крутий вірус, а чий полиморфик-механізм виявиться кручі всіх.

Ось далеко не повний список тих з них, які можна назвати стопроцентно полиморфичными (кінець 1993):

Bootache, CivilWar (чотири версії), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Moctezuma (дві версії), MVF, Necros, Nukehard, PcFly (три версії), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (вісім версій).

Для виявлення цих вірусів доводиться використати спеціальні методи, до яких можна віднести емуляцію виконання коду вірусу, математичні алгоритми відновлення дільниць коду і даних у вірусі і т.д. До не-стопроцентным полиморфикам (тобто які шифрують себе, але в расшифровщике вірусу завжди існують постійні байти) можна віднести ще десяток нових вірусів:

Basilisk, Daemaen, Invisible (дві версії), Mirea (декілька версій), Rasek (три версії), Sarov, Scoundrel, Seat, Silly, Simulation.

Однак і вони вимагають розшифровки коду для їх детектування і відновлення уражених об'єктів, оскільки довжина постійного коду в рассшифровщике цих вірусів дуже мала.

Паралельно з полиморфик-врусами розвиваються полиморфик-генератори. З'являється трохи новіших, що використовують більш складні методи генерації полиморфик-коду, вони розповсюджуються по станціях BBS у вигляді архівів, вмісних об'єктні модулі, документацію і приклади використання. У кінці 1993 року було відомо вже сім генераторів полиморфик-коду. Це:

MTE 0.90 (Mutation Engine), чотири різні версії TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel's Multiple Encryptor)

Відтоді нові поліморфні генератори з'являлися по декілька штук в рік, і приводити їх повний список навряд чи має смысл.1.4. Автоматизація виробництва і конструктори вірусів

Лінь - рушійна сила прогресу. Ця народна мудрість не потребує коментарів. Але тільки в середині 1992 року прогрес у вигляді автоматизації виробництва дійшов і до вірусів. П'ятого липня 1992 року оголошений до випуску в світло перший конструктор вірусного коду для IBM-PC сумісних комп'ютерів - пакет VCL (Virus Creation Laboratory) версії 1.00.

Цей конструктор дозволяє генерувати початкові і добре откомментированные тексти вірусів (файли, вмісні асемблерний текст), об'єктні модулі і безпосередньо заражені файли. VCL забезпечений стандартним віконним інтерфейсом. За допомогою системи меню можна вибрати тип вірусу, об'єкти (COM і/або EXE), що уражаються, наявність або відсутність самошифровки, протидію відладчику, внутрішні текстові рядки, підключити до десяти ефектів, супроводжуючих роботу вірусу і т.п. Віруси можуть використати стандартний спосіб поразки файлів в їх кінець, або записувати себе замість файлів, знищуючи їх первинний вміст, або бути вірусами-супутниками (міжнародний термін - компаньйон-віруси [companion]).

І все відразу стало значно простіше: захотів напакостить ближньому - сідай за VCL і, за 10-15 хвилин настрогав 30-40 різних вірусів, запусти їх на ворожому комп'ютері(ах). Кожному комп'ютеру - окремий вірус!

Далі - більше. 27 липня з'явилася перша версія конструктора PS-MPC (Phalcon/Skism Mass-Produced Code Generator). Цей конструктор не містить в собі віконного інтерфейса і генерує початкові тексти вірусів по файлу конфігурації. Цей файл містить в собі опис вірусу: тип файлів, що уражаються (COM або EXE); резидентность (PS-MPC створює також і резидентні віруси, чого не дозволяє конструктор VCL); спосіб інсталяції резидентної копії вірусу; можливість використання самошифрования; можливість поразки COMMAND.COM і масу іншої корисної інформації.

На основі PS-MPC був створений конструктор G2 (Phalcon/Skism's G2 0.70 beta), який підтримує файли конфігурації стандарту PS-MPC, однак при генерації вірусу використовує більшу кількість варіантів кодування одних і тих же функцій.

Версія, що Є у мене G2 помічена першим січня 1993 року. Видимо, новорічну ніч автори G2 провели за комп'ютерами. Краще б вони замість цього попили шампанського, хоч одне іншому не заважає.

Отже, яким же чином вплинули конструктори вірусів на електронну фауну? У колекції вірусів, яка зберігається на моєму «складі», кількість «сконструйованих» вірусів наступне: на базі VCL і G2 - по декілька сотень;

на базі PS-MPC - більше за тисячу.

Так виявилася ще одна тенденція в розвитку комп'ютерних вірусів: все більшу частину в колекціях починають займати «сконструйовані» віруси, а в ряди їх авторів починають вливатися відверто ліниві люди, які зводять творчу і шановну професію вирусописания до вельми рядового ремесла.

2. Хронологія подій

Час перейти до більш детального опису подій. Почнемо з самого початку.

кінець 1960 - початок 1970-х

На мейнфреймах цього часу періодично з'являлися програми, які отримали назву «кролик» (the rabbit). Ці програми клонували себе, займали системні ресурси і таким чином знижували продуктивність системи. Швидше усього «кролики» не передавалися від системи до системи і були суто місцевими явищами - помилками або витівками системних програмістів, що обслуговували комп'ютер. Перший же інцидент, який сміливо можна назвати епідемією «комп'ютерного вірусу», стався на системі Univax 1108. Вірус, що отримав назву «Pervading Animal», дописував себе до файлів, що виконуються - робив практично те ж саме, що тисячі сучасних комп'ютерних вірусів.

перша половина 1970-х

Під операційну систему Tenex створений вірус «The Creeper», що використав для свого поширення глобальні комп'ютерні мережі. Вірус був в стані самостійно увійти в мережу через модем і передати свою копію видаленій системі. Для боротьби з цим вірусом була створена програма «The Reeper» - перша відома антивірусна програма.

Початок 1980-х

Комп'ютери стають все більш і більш попуярными. З'являється все більше і більше програм, авторами яких є не софтверные фірми, а приватні особи, причому ці програми мають можливість вільного ходіння по різних серверах загального доступу - BBS. Результатом цього є поява великого числа різноманітних «троянских коней» - програм, які при їх запуску шкодять системі яку-небудь.

1981

Епідемія завантажувального вірусу «Elk Cloner» на комп'ютерах Apple II. Вірус записувався в завантажувальні сектори дискет, до яких йшло звертання. Виявляв він себе вельми багатосторонньо - перевертав екран, примушував блимати текст на екрані і виводив різноманітні повідомлення.

1986

Пандемія першого IBM-PC вірусу «Brain». Вірус, що заражає 360Kб дискети, практично вмить розійшовся по всьому світу. Причиною такого «успіху» була швидше усього неготовність комп'ютерного суспільства до зустрічі з таким явищем, як комп'ютерний вірус.

Вірус був написаний в Пакистані братами Basit і Amjad Farooq Alvi, що залишили у вірусі текстове повідомлення, вмісне їх імена, адресу і телефонний номер. Як затверджували автори вірусу, вони були власниками компанії по продажу програмних продуктів і вирішили з'ясувати рівень піратського копіювання в їх країні. На жаль, їх эсперимент вийшов за межі Пакистана.

Цікаво, що вірус «Brain» був також і першим стелс-вірусом - при спробі читання зараженого сектора він «підставляв» його незаражений оригінал.

У тому ж 1986 році програміст на ім'я Ральф Бюргер (Ralf Burger) виявив, що програма може робити власні копії шляхом додавання свого коду до DOS-файлів, що виконуються. Його перший вірус, названий «VirDem», демонстрував цю можливість. Цей вырус був проаннонсирован в грудні 1986 на форумі комп'ютерного «андеграунда» - хакерів, що спеціалізувалися в той час на зломі VAX/VMS-система (Chaos Computer Club in Hamburg).

1987

Поява вірусу «Vienna». Копія цього вірусу попадає в руки всі того ж Ральфа Бюргера, який дизассемблирует вірус і вміщує результат в свою книгу «Computer Viruses: А High Tech Desease» (російський аналог - «Пишемо вірус і антивірус» м. Хижняка). Книга Бюргера популяризовала ідею написання вірусів, пояснювала як це відбувається і служила таким чином поштовхом до написению сотень або навіть тисяч комп'ютерних вірусів, що частково використали ідеї з цієї книги.

У тому ж році незалежно один від одного з'являється ще декілька вірусів для IBM-PC. Це славнозвісні в минулому «Lehigh», що заражає тільки COMMAND.COM, «Suriv-1» (інша назва - «April1st»), що заражає COM-файли, «Suriv-2», що заражає (уперше) ЕХЕ-файли, і «Suriv-3», що заражає як COM-, так і ЕХЕ-файли. З'являються також трохи завантажувальних вірусів («Yale» в США, «Stoned» в Новій Зеландії і «PingPong» в Італії) і перший самошифрующийся файловий вірус «Cascade».

Не залишилися збоку і не-IBM-комп'ютери: було виявлено декілька вірусів для Apple Macintosh, Commodore Amiga і Atari ST.

У грудні 1987 сталася перша відома поголовна епідемія мережевого вірусу «Cristmas Tree», написаного на мові REXX і распрастранявшего себе в сперационной середовищі VM/CMS. 9-го грудня вірус був запущений в мережу Bitnet в одному з університетів Західної Німеччини, проник через шлюз в European Academic Research Network (EARN) і потім - в мережу IBM VNet. Через чотири дні (13 грудня) вірус паралізував мережу - вона була забита його копіями (див. приклад про клерка декількома сторінками вище). При запуску вірус виводив на екран зображення новогодей (вірніше, різдвяної) елочки і розсилав свої копії всім користувачам мережі, чиї адреси були присутні у відповідних системних файлах NAMES і NETLOG.

1988

У п'ятницю 13-го травня 1988-го року відразу декілька фірм і університетів декількох країн світу «познайомилися» з вірусом «Jerusalem» - в цей день вірус знищував файли при їх запуску. Це, мабуть, один з перших MS-DOS-вірусів, що став причиною справжньої пандемії - повідомлення про заражені комп'ютери поступали з Європи, Америки і Ближнього Сходу. Назва, до речі, вірус отримав по місцю одного з інцидентів - університету в Ієрусаліме.

Разом з декількома іншими вірусами («Cascade», «Stoned», «Vienna»), вірус «Jerusalem» розповсюдився по тисячах комп'ютерів, залишаючись непоміченим - антивірусні програми ще не були поширені в той час так само широко як сьогодні, а багато які користувачі і навіть професіонали ще не вірили в існування комп'ютерних вірусів. Показовий той факт, що в тому ж році комп'ютерний гуру і чоловік-легенда Пітер Нортон висловився проти існування вірусів. Він оголосив їх неіснуючим міфом і порівняв з казками про крокодилів, мешкаючих в каналізації Нью-Йорка. Цей казус, однак, не перешкодив фірмі Symantec через деякий час почати власний антивірусний проект - Norton Anti-Virus.

Почали з'являтися явно помилкові повідомлення про комп'ютерні віруси, ніякої реальної інформації не вмісні, але що вносили паніку в стрункі ряди комп'ютерних користувачів. Один з перших таких «злих жартів» (сучасний термін - «virus hoax») належить нікому Mike RoChenle (псевдонім схожий на «Microchannel»), який розіслав на станції BBS велику кількість повідомлень про ніби існуючий вірус, який передається від модему до модему і використовує для цього швидкість 2400 бод. Як це ні смішне, багато які пользоватеили відмовилися від стандарту тих днів 2400 і знизили швидкість своїх модемів до 1200 бод. Подібні «hoax»-ы з'являються і зараз. Найбільш відомі на сьогоднішній день - GoodTimes і Aol4Free.

Листопад 1988: поголовна епідемія мережевого вірусу Морріса (інша назва - Internet Worm). Вірус заразив більше за 6000 комп'ютерних систем в США (включаючи NASA Research Institute) і практично паралізував їх роботу. Внаслідок помилки в коді вірусу він, як і вірус-черв'як «Cristmas Tree», необмежено розсилав свої копії по іншим компьютьерам мережі і, таким чином, повністю забрало під себе її ресурси. Загальні збитки від вірусу Морріса були оцінені в 96 мільйонів доларів.

Вірус використав для свого розмноження помилки в операційній системі Unix для VAX і Sun Microsystems. Крім помилок в Unix вірус використав трохи інших оригінальних ідей, наприклад, підбір паролів користувачів. Детальніше про цей вірус і пов'язаним з ним інцидентом можна прочитати в досить докладній і цікавій статті Ігоря Моїсеєва в журналі КомпьютерПресс, 1991, N8,9.

Грудень 1988: сезон вірусів-черв'яків продовжується, на цей раз в мережі DECNet. Вірус-черв'як HI.COM виводив на екран зображення елочки і сповіщав користувачів, що їм слідує «stop computing and have а good time at home!!!»

З'являються нові антивірусні програми, наприклад, Dr.Solomon's Anti-Virus Toolkit, що є на сьогоднішній день одним з самих могутніх антивірусів.

1989

З'являються нові віруси - «Datacrime», «FuManchu» і цілі сімейства - «Vacsina» і «Yankee». Перший мав надто небезпечний вияв - з 13 жовтня по 31 грудня він форматував вінчестер. Цей вірус вирився «на свободу» і викликав поголовну істерію в засобах масової інформації в Голландії і Великобританії.

Вересень 1989: на ринок виходить ще одна антивірусна програма - IBM Anti-Virus.

Жовтень 1989: в мережі DECNet зафіксована ще одна епідемія вірусу-черв'яка - «WANK Worm».

Грудень 1989: інцидент з «троянским конем» «Aids». Було розіслано 20.000 його копій на дискетах, помічених як «AIDS Information Diskette Version 2.0». Після 90 завантажень системи «троянець» шифрував імена всіх файлів на диску, робив їх невидимими (атрибут «hidden») і залишав на диску тільки один файл, що читається - рахунок на 189 доларів, який потрібно було послати на адресу PO Box 7, Panama. Автор «троянца» був спійманий і засуджений до в'язничного висновку.

Потрібно відмітити той факт, що 1989 рік був початком поголовної епідемії комп'ютерних вірусів в Росії - всі ті ж віруси «Cascade», «Jerusalem» і «Vienna» заполонили комп'ютери російських користувачів. На щастя, російські програмісти досить швидко розібралися з принципами їх роботи і практично відразу з'явилося декілька вітчизняних протиотрут-антивірусів.

Моє перше знайомство з вірусом (це був вірус «Cascade») сталося в жовтні 1989 року - вірус виявився виявленим на моєму робочому комп'ютері. Саме це і послужило поштовхом для моєї професійної переорієнтації на створення програм-антивірусів. До речі, той перший вірус я вилікував популярною в ті часи антивірусною програмою ANTI-KOT Олега Котика. Місяцем пізніше другий інцидент (вірус «Vacsina») був закритий за допомогою першої версії мого антивіруса -V (який декількома роками пізніше був перейменований в AVP - AntiViral Toolkit Pro). До кінця 1989 року на просторах Росії паслося вже біля десятка вірусів (перераховані в порядку їх появи): дві версії «Cascade», декілька вірусів «Vacsina» і «Yankee», «Jerusalem», «Vienna», «Eddie», «PingPong».

1990

Цей рік приніс декілька досить помітних подій. Першою з них є поява перших полиморфик-вірусів «Chameleon» (інша назва - «V2P1», «V2P2» і «V2P6»). До цього моменту антивірусні програми для пошуку вірусів користувалися так званими «масками» - шматками вірусного коду. Після появи вірусів «Chameleon» розробники антивірусних програм були вимушені шукати інші методи їх виявлення.

Другою подією була поява болгарського «заводу по виробництву вірусів»: безліч нових вірусів мали болгарське походження. Це були цілі сімейства вірусів «Murphy», «Nomenclatura», «Beast» (або «512», «Number-of-Beast»), нові модифікації вірусу «Eddie» і інш. Особливу активність виявляв хтось Dark Avenger, що випускав в рік по декілька нових вірусів, що використали принципово нові алгоритми зараження і утаєння себе в системі. У Болгарії ж уперше появлась і перша BBS, орієнтована на обмін вірусами і інформацією для вирусописателей.

У липні 1990 стався інцидент з комп'ютерним журналом PC Today (Велікобретанія). Він містив флоппи-диск, заражений вірусом «DiskKiller». Було продано більше за 50.000 копій журналу.

У другій половині 1990-го з'явилися два стелс-монстри - «Frodo» і «Whale». Обидва віруси використали надто складні стелс-алгоритми, а девятикилобайтный «Whale» до того ж застосовував декілька рівнів шифровки і антивідлагоджувальний прийомів.

З'явилися і перші відомі мені вітчизняні віруси: «Peterburg», «Voronezh» і ростовский «LoveChild».

1991

Популяція комп'ютерних вірусів безперервно зростає, досягаючи вже трохи сотень. Зростає і антивірусна активність: відразу два софтверных монстри (Symantec і Central Point) випускають власні антивірусні програми - Norton Anti-Virus і Central Point Anti-Virus. Слідом з'являються менш відомі антивіруси від Xtree і Fifth Generation.

У квітні вибухнула справжня епідемія файлово-завантажувального полиморфик-вірусу «Tequila», а у вересні подібна ж «історія» сталася з вірусом «Amoeba». Росію ці події практично не порушили.

Літо 1991: епідемія вірусу «Dir_II», що використав принципово нові способи зараження файлів (link-вірус).

Загалом, рік 1991 був досить спокійним - отаке затишшя перед бурею, що вибухнула в 1992-м.

1992

Віруси для не і не практично забуті: «діри» в глобальних мережах закрыти, помилки виправлені, і мережеві віруси-черв'яки втратили можливість для поширення. Все більшу і велику значущість починають придбавати файлові, завантажувальні і файлово-завантажувальні віруси для найбільш поширеної операційної системи (MS-DOS) на самому популярному комп'ютері (IBM-PC). Кількість вірусів зростає в геометричній прогресії, різні інциденти з вірусами відбуваються ледве чи не щодня. Розвиваються різні антивірусні програми, вийдуть десятки кних і декілька регулярних журналів, присвячених вірусам. На цьому фоні виділяються декілька основних моментів:

Початок 1992: перший полиморфик-генератор MtE, на базі якого через деякий час з'являється відразу декілька полиморфик-вірусів. MtE з'явився також прообразом декількох подальших полиморфик-генераторів.

Березень 1992: епідемія вірусу «Michelangelo» («March6») і пов'язана з цим істерія. Напевно, це перший відомий випадок, коли антивірусні компанії роздували галас навколо вірусу не для того, щоб захистити користувачів від якої-небудь небезпеки, а для того, щоб привернути увагу до свого продукту, тобто з метою видобування комерційної вигоди. Так одна американська антивірусна компанія заявила, що 6-го березня буде зруйнована інформація більш ніж на п'яти мільйонах комп'ютерів. Внаслідок галасу, що піднявся після цього прибутки різних антивірусних фірм піднялися в декілька разів, а від вірусу в дейтсвительности постраждали усього біля 10.000 машин.

Липень 1992: поява перших конструкторів вірусів VCL і PS-MPC, які збільшили і без того немаленький потік нових вірусів і, як і MtE в своїй області, підштовхнули вирусописателей до створення інших, більш могутніх конструкторів.

Кінець 1992: перший вірус для Windows, що заражає файли цієї операційної системи, що виконуються, відкрив нову сторінку у вирусописательстве.

1993

Вирусописатели серйозно взялися за роботу: крім сотень рядових вірусів, принципово не відмінних від своїх побратимів, крім цілого ряду нових полиморфик-генераторів і конструкторів, крім нових електронних видань врусописателей з'являється все більше і більше вірусів, що використовують надто незвичайні способи зараження файлів, проникнення в систему і т.д. Основними прикладами є:

«PMBS», працюючий в захищеному режимі процесора Intel 80386.

«Strange» (або «Hmm») - сольний виступ на тему «стелс-вірус», однак виконане на рівні апаратних переривань INT 0Dh і INT 76h.

«Shadowgard» і «Carbuncle», що значно розширили діапазон алгоритмів компаньйона-вірусів;

«Emmie», «Metallica», «Bomber», «Uruguay» і «Cruncher» - використання принципово нових прийомів «спрятывания» свого коду в заражених файлах.

Весною 1993 Microsoft випустив свій власний антивірус MSAV, основою якого послужив CPAV від Central Point.

1994

Все більше значення придбаває проблема вірусів на компакт-дисках. Швидко ставши популярними, ці диски виявилися одним з основних шляхів поширення вірусів. Зафіксовано відразу декілька інцидентів, коли вірус попадав на майстра-диск при підготовці партії компакт-дисків. У результаті на комп'ютерний ринок були випущені досить великі тиражі (десятки тисяч) заражених дисків. Природно, що про їх лікування говорити не доводиться - їх доведеться просто знищити.

На початку року в Великобританії з'явилися два надто складних полиморфик-вірусу - «SMEG.Pathogen» і «SMEG.Queeg» (досі не всі антивірусні програми спроможний досягнути 100%-го результати при їх детектуванні). Автор вірусів вміщував заражені файли на станції BBS, що з'явилося причиною справжньої епідемії і паніки в засобах масової інформації.

Ще одну хвилю паніки викликало повідомлення про ніби існуючий вірус «GoodTimes», що розповсюджує себе по мережі Інтернет і що заражає комп'ютер при отриманні електронної пошти. Накакого такого вірусу насправді не існувало, однак через деякий час з'явився звичайний DOS-вірус з текстом «Good Times», вірус цей отримав назву «GT-Spoof».

Активізуються правоохоронні органи: літом 1994 автор SMEG був «обчислений» і арештований. Приблизно в той же самий час в тій же Великобританії арештована ціла група вирусописателей, що називала себе ARCV (Assotiation for Really Cruel Viruses). Деякий час опісля ще один автор вірусів був арештований в Норвегії.

З'являються декілька нових досить незвичайних вірусів:

Січень 1994: «Shifter» - перший вірус, що заражає об'єктні модулі (OBJ-файли). «Phantom1» - епідемія першого полиморфик-вірусу в Москві.

Квітень 1994: «SrcVir» - сімейство вірусів, що заражають початкові тексти програм (З і Pascal).

Червень 1994: «OneHalf» - початок поголовної епідемії вірусу, досі що є самим популярним вірусом в Росії.

Вересень 1994: «3APA3A» - епідемія файлово-завантажувального вірусу, що використовує надто незвичайний спосіб впровадження в MS-DOS. Жоден антивірус не виявився готовим до зустрічі з подібного типу монстром.

У 1994 році (весна) перестав існувати один з антивірусних лідерів того часу - Central Point. Він був придбаний фірмою Симантек, яка до того вже встигла «проковтнути» декілька невеликих фірм, що займалися антивірусними розробками - Peter Norton Computing, Certus International і Fifth Generation Systems.

1995

Нічого дійсно помітного в області DOS-вірусами не сталося, хоч з'являється трохи досить складних вірусів-монстрів типу «NightFall», «Nostradamus», «Nutcracker» і таких забавних вірусів, як «двостатевий» вірус «RMNS» і ВАТА-вірус «Winstart». Широке поширення отримали віруси «ByWay» і «DieHard2» - повідомлення про заражені комп'ютери були отримані практично з всього світу.

Лютий 1995: стався інцидент з Microsoft: на диску, вмісному демонстраційну версію Windows95, виявлений вірус «Form». Копії цього диска Microsoft розіслав беті-тестер, один з яких не полінувався перевірити диск на віруси.

Весна 1995: аннонсирован альянс двох антивірусних компаній - ESaSS (ThunderBYTE anti-virus) і Norman Data Defence (Norman Virus Control). Ці компанії, що випускають досить сильні антивіруси, об'єднали зусилля і приступили до розробки єдиної антивірусної системи.

Серпень 1995: один з поворотних моментів в історії вірусів і антивірусів: в «живому вигляді» виявлений перший вірус для Microsoft Word («Concept»). Буквально за місяць вірус «облетів» всю земну кулю, заполонив комп'ютери користувачів MS-Word і міцно помістився першу в статистичних дослідженнях, що проводяться різними комп'ютерними виданнями.

1996

Січень 1996: два досить помітних події - з'явився перший вірус для Windows95 («Win95.Boza») і епідемія надто складного полиморфик-вірусу «Zhengxi» в Санкт-Петербурге.

Березень 1996: перша епідемія вірусу для Windows 3.x. Його ім'я - «Win.Tentacle». Цей вірус заразив комп'ютерну мережу в госпіталі і декількох інших установах у Франції. Интересность цієї події полягала в тому, що це був ПЕРШИЙ Windows-вірус, що вирився на свободу. До тієї пори (наскільки мені відомо) всі Windows-віруси жили тільки в колекціях і електронних журналах вирусописателей, а в «живому вигляді» зустрічалися тільки завантажувальні, DOS- і Macro-віруси.

Червень 1996: «OS2.AEP» - перший вірус для OS/2, що коректно заражає ЕХЕ-файли цієї операційної системи. До цього в OS/2 зустрічалися тільки віруси, які записувалися замість файла, знищуючи його або діючи методом «компаньйон».

Липень 1996: «Laroux» - перший вірус для Microsoft Excel, до того ж спійманий в «живому вигляді» (практично одночасно в двох нафтовидобувних компаніях на Аляське і в ПАРІ). Як і у MS-Word-вірусів, принцип дії «Laroux» засновується на наявності в файлах так званих макросів - програм на мові Basic. Такі програми можуть бути включені в електронні таблиці Excel так само, як і в документи MS-Word. Як виявилося, вбудований в Excel мову Basic також дозволяє створювати віруси. Цей же вірус в квітні 1997 став причиною епідемії в комп'ютерних фірмах Москви.

Грудень 1996: «Win95.Punch» - перший «резидентний» вірус для Win95. Завантажується в систему як VxD-драйвер, перехоплює звернення до файлів і заражає їх.

Загалом рік 1996 можна вважати початком широкомасштабного наступу комп'ютерного андеграунда на операційну систему Windows32 (Windows95 і Windows NT) і на додатки Microsoft Office. За цей і наступний рік з'явилося декілька десятків вірусів для Windows95/NT і декілька сотень макро-вірусів. У багатьох їх них вирусописатели застосовували абсолютно нові прийоми і методи зараження, додавали стелс- і полиморфик-механізми і т.п. Таким чином комп'ютерні віруси вийшли на новий виток свого розвитку - на рівень 32-битных операційних систем. За два роки віруси для Windows32 повторили приблизно всі ті ж стадії, що рівне 10 років до того пройшло DOS-віруси, однак на абсолютно новому технологічному рівні.

1997

Лютий 1997: «Linux.Bliss» - перший вірус для Linux (різновид юникса). Так віруси зайняли ще одну «біологічну» нішу.

Лютий-квітень 1997: Макро-віруси перебралися і в Office97. Перші з них виявилися всього лише «отконвертированными» в новий формат макро-вірусами для Word 6/7, однак практично відразу з'явилися віруси, орієнтовані тільки на документи Office97.

Березень 1997: «ShareFun» - макро-вірус, що вражає MS Word 6/7. Для свого розмноження використовує не тільки стандартні можливості MS Word, але також розсилає свої копії по електронній пошті MS-Mail.

Квітень 1997: «Homer» - перший мережевий вірус-черв'як, що використовує для свого розмноження File Transfer Protocol (ftp).

Червень 1997: Поява першого самошифрующегося вірусу для Windows95. Вірус, що має російське походження, був розісланий на декілька BBS в Москві, що стало причиною епідемії.

Листопад 1997: Вірус «Esperanto». Спроба створення (на щастя, невдала) многоплатформенного вірусу, який працює не тільки під DOS і Windows, але спроможний заражати і файли Mac OS (Макінтош).

Грудень 1997: з'явилася нова форма вірусу - черв'яки mIRC. Виявилося, що найбільш популярна утиліта Windows IRC (Internet Relay Chat), відома як mIRC, містила «діру», що дозволяє вірусним скриптам передавати себе по IRC-каналах. У черговій версії IRC діра була закрита, і mIRC-черв'яки канули в літу.

Основною антивірусною подією в 1997 році стало, звичайно ж, відділення антивірусного підрозділу фірми КАМИ в незалежну компанію «Лабораторія Касперського», що зарекомендувала себе на сьогоднішній день як визнаний технічний лідер антивірусної індустрії. Починаючи з 1994 року основний продукт компанії - антивірусний сканер AntiViral Toolkit Pro (AVP) - стабільно показує високі результати в численних тестах, що проводяться різними тестовими лабораторіями всього світу. Відділення в незалежну компанію дозволило по початку невеликій групі розробників стати першою по значущості антивірусною компанією на отечетсвенном ринку і досить помітною фігурою на ринке світовому. За короткі терміни були розроблені і випущені версії для практично всіх популярних платформ, запропоновані нові антивірусні рішення, створена мережа міжнародної дистрибуції і технічна поддрежки.

У жовтні 1997 року було підписано угода про ліцензування технологій AVP фінською компанією DataFellows для використання в своїй новій розробці FSAV (F-Secure Anti-Virus). До цього компанія DataFellows була відома як виробник антивіруса F-PROT.

Рік 1997 також заметений по декількох скандалах, що вибухнули між основними виробниками антивірусів в США і Європі. На початку року фірма McAfee оголосила про те, що її фахівці виявили «закладку» в програмах одного з своїх основних конкурентів - в антивірусі фірми Dr.Solomon. Заява від McAfee свідчила, що якщо антивірус Dr.Solomon при скануванні виявляє декілька вірусів різних типів, то подальша його робота відбувається в посиленому режиму. Тобто якщо в звичайних умовах на незаражених комп'ютерах антивірус від Dr.Solomon працює в звичайному режимі, то при тестуванні колекцій вірусів перемикається в посилений режим (по термінології McAfee «cheat mode» - «режим обману»), що дозволяє детектировать віруси, невидимі для Dr.Solomon при скануванні в звичайному режимі. У результаті при тестуванні на незаражених дисках антивірус від Dr.Solomon показує хороші швидкісні результати, а при тестуванні вірусних колекцій показує непогані результати детектування.

Через деякий час Dr.Solomon наніс удар у відповідь, що довівся на некоректно побудовану рекламну кампанію McAfee. Конкретно претензії пред'являлися тексту «The Number One Choice Worldwide. No Wonder The Doctor's Left Town». Одночасно з цим компанія McAfee вела юридичні тяжби з іншою антивірусною компанією Trend Micro з приводу порушення патенту на технологію сканування даних, що передаються по Інтернет і електронній пошті. У цей же конфлікт з Trend Micro виявилася втягнута фірма Symantec. Потім Symantec пред'явив позов McAfee по обвинуваченню у використанні кодів Symantec в продуктах McAfee. Ну і т.д.

Закінчився рік ще однією помітною подією, пов'язаною з ім'ям McAfee: фірми McAfee Associates і Network General оголосили про об'єднання в єдину компанію Network Assotiates і про позиціонування зусиль не тільки в області антивірусних захистів, але і в розробці універсальних систем комп'ютерної безпеки, шифрування і мережевого адміністрування. Починаючи з цього моменту вірусної і антивірусної історії McAfee потрібно читати як NAI.

1998

Вірусна атака на MS Windows, MS Office і мережеві додатки не слабшає. З'являються віруси, що використовують все більш складні прийоми зараження комп'ютерів і нові методи проникнення через комп'ютерні мережі. Крім вірусів на арену вийдуть також численні троянские програми, що крадуть паролі доступу в Інтернет, і декілька утиліт прихованого адміністрування. Зафіксовані інциденти із зараженими CD-дисками: декілька комп'ютерних журналів розповсюджували на своїй обкладинці диски з програмами, зараженими Windows-вірусами «CIH» і «Marburg».

Початок року: Епідемія цілого сімейства вірусів «Win32.HLLP.DeTroie», що не тільки заражають файли, що виконуються Windows32, але і здатні передати своєму «господарю» інформацію про заражений комп'ютер. Внаслідок використання специфічних бібліотек, присутніх тільки у французькій версії Windows, епідемія торкнулася тільки франко-говорячі країни.

Лютий 1998: виявлений ще один тип вірусу, що заражає таблиці Excel - «Excel4.Paix» (або «Formula.Paix»). Даний тип макро-вірусу для свого впровадження в таблиці Excel використовує не звичайну для вірусів область макросів, а формули, які, як виявилося, також можуть містити саморазмножающийся код.

Лютий-березень 1998: «Win95.HPS» і «Win95.Marburg» - перші поліморфні Windows32-віруси, виявлені до того ж «в живому вигляді». Розробникам антивірусних програм довелося спішно адаптувати до нових умов методики детектування поліморфних вірусів, розрахованих до того тільки на DOS-віруси.

Березень 1998: «AccessiV» - перший вірус для Microsoft Access. Причиною галасу, як це було з вірусами «Word.Concept» і «Excel.Laroux», він не став, оскільки все вже звикли до того, що додатки MS Office падають одне за іншим.

Березень 1998: Макро-вірус «Cross» - перший вірус, що заражає два різних додатки MS Office: Access і Word. Слідом за ним з'явилися ще декілька макро-вірусів, що переносять свій код з одного Office-проложения в інше.

Травень 1998: вірус «RedTeam». Заражає ЕХЕ-файли Windows, розсилає заражені файли за допомогою електронної пошти Eudora.

Червень: епідемія вірусу «Win95.CIH», що стала спочатку масовою, потім глобальної, а потім поголовної - повідомлення про зараження комп'ютерних мереж і домашніх персональних комп'ютерів обчислювалися сотнями, якщо не тисячами. Початок епідемії зареєстрований на Тайвані, де невідомий хакер заслав заражені файли в місцеві Інтернет-конференції. Звідти вірус пробрався в США, де через недогляд зараженими виявилися відразу декілька популярних Web-серверів - вони розповсюджували заражені вірусом ігрові програми. Швидше усього, саме ці заражені файли на ігрових серверах і послужили причиною поголовної епідемії вірусу, що не слабшала в течії всього року. За результатами рейтингів «популярності» вірус «посунув» таких вірусних суперзвезд, як «Word.CAP» і «Excel.Laroux». Потрібно звернути увагу також на небезпечний вияв вірусу: в залежності від поточної дати вірус стирав Flash BIOS, що в деяких випадках могло привести до необхідності заміни материнської плати.

Серпень 1998: поява гучного «BackOrifice» («Backdoor.BO») - утиліти прихованого (хакерского) адміністрування видалених комп'ютерів і мереж. Слідом за «BackOrifice» з'явилися трохи інших аналогічних програм: «NetBus», «Phase» і інші.

Також в серпні з'явився перший вірус, що заражає модулі, що виконуються Java - «Java.StangeBrew». Даний вірус не представляв якій-небудь небезпеці для користувачів Інтернет, оскільки на видаленому компьтере неможливо використати необхідні для розмноження функції. Однак він проілюстрував той факт, що атаковані вірусами також можуть бути і додатки, що активно використовуються при перегляді Web-серверів.

Листопад 1998: «VBScript.Rabbit» - інтернет-експансія комп'ютерних паразитів продовжилася трьома вірусами, що заражають скрипты VisualBasic (VBS-файли), які активно застосовуються при написанні Web-сторінок. Як логічне слідство VBScript-вірусів стало поява повноцінного HTML-вірусу («HTML.Internal»). Стає досить очевидним, що зусилля вирусописателей починають концентруватися навколо мережевих додатків, і справа йде до появи повноцінного мережевого вірусу-черв'яка, що використовує можливості MS Windows, Office і що заражає видалені комп'ютери, Web-сервера і/або активно распростряняющегося по електронній пошті.

Сталися також помітні перестановки в антивірусному світі. У травні 1998 компанії Symantec і IBM оголосили про об'єднання своїх зусиль на антивірусному фронті: спільний продукт при цьому розповсюджується фірмою Symantec під тієї ж мазкої Norton Anti-Virus, а IBM Anti-Virus (IBMAV) припиняє своє існування. На це вмить відреагували основні конкуренти: Dr.Solomon і NAI (раніше - McAfee) тут же випустили пресс-релизы з пропозиціями об пільговому опдейте колишніх користувачів IBMAV своїми власними антивірусами.

Не пройшло і місяця, як припинив своє існування і саму Dr.Solomon. Він був куплений компанією NAI (McAfee) за 640 мільйонів доларів шляхом обміну акцій. Дана подія викликала шок в антивірусному світі: конфлікт між двома найбільшими гравцями антивірусного бізнесу закінчився купівлею/продажем, внаслідок якої з ринку зник один з найбільш помітних і технологічно сильних виробників антивірусного програмного обеспеечения.

1999

Все на світі повинне происходть повільно і неправильно, щоб не зуміла загордитися людина, щоб людина була сумна і растерян. (Венедикт Ерофеєв. «Москва - Півники»)

3. Перспективи: що буде завтра і післязавтра

А що ж буде далі? І як довго віруси будуть нас непокоїти? - питання, який в тій або інакшій мірі непокоїть практично всіх пользователей.3.1. Що буде завтра?

Чого чекати від комп'ютерного андеграунда в подальші роки? Швидше усього основними проблемами залишаться: 1) полиморфик-DOS-віруси, до яких додадуться проблеми поліморфізму в макро-вірусах і вірусах для Windows і OS/2; 2) макро-віруси, які будуть знаходити всі нові і нові прийоми зараження і утаєння свого коду в системі; 3) мережеві віруси, що використовують для свого поширення протоколи і команди комп'ютерних мереж.

Пункт 3) знаходиться поки тільки на самої ранній стадії - віруси роблять перші боязкі спроби самостійно розповсюджувати свій код по MS Mail і користуючись ftp, однак все ще попереду.

Не виключено, що з'являться і інші проблеми, які принесуть немало прикрощів користувачам і достатня кількість неурочної роботи розробникам антивірусних програм. Однак я дивлюся на майбутнє з оптимізмом: всі проблеми, що коли-або вставали в історії розвитку вірусів, були досить успішно вирішені. Швидше усього так само успішно будуть вирішуватися і майбутні проблеми, поки що ще тільки витають ідеями в запаленому розумі вирусописателей.3.2. Що буде післязавтра?

Що буде післязавтра і як довго взагалі будуть існувати віруси? Для того, щоб відповісти на це питання потрібно визначити, де і при яких умовах водяться віруси.

Основна живляча середа для масового поширення вірусу в ЕОМ, на мій погляд, зобов'язана містити наступні необхідні компоненти:

· незахищеність операційної системи (ОС);

· наявність різноманітної і досить повної документації по OC і «залозу»;

· широке поширення цієї ОС і цього «заліза».

Слудует відмітити, що поняття операційної системи досить розтяжне. Наприклад, для макро-вірусів операційною системою є редактори Word і Excel, оскільки саме редактори, а не Windows надають макро-вірусам (тобто програмам на бейсике) необхідні ресурси і функції.

Якщо в операційній системі присутні елементи захисту інформації, як це зроблене практично у всіх ОС, вірусу буде надто важко уразити об'єкти свого нападу, оскільки для цього зажадається (як мінімум) зламати систему паролів і привілеїв. У результаті робота, необхідна для написання вірусу, виявиться під силу тільки професіоналам високого рівня (вірус Морріса для VAX - приклад цьому). А у професіоналів, на мій погляд, рівень порядності все-таки набагато вище, ніж в середовищі споживачів їх продукції, і, отже, число створених і запущених у велике життя вірусів ще більш скоротиться.

Для масового виробництва вірусів також необхідно і достатня кількість інформації про середовище їх мешкання. Який відсоток від числа системних програмістів, працюючих на мини-ЕОМ в операционках UNIX, VMS і т.д. знає систему управління процесами в оперативній пам'яті, повні формати файлів, що виконуються і завантажувальних записів на диску? (тобто інформацію, необхідну для створення вірусу). І отже, який відсоток від їх числа спроможний виростити справжнього повноцінного звіра? Інший приклад - операційна система Novell NetWare, досить популярна, але надто слабо документована. У результаті мені поки не відомо жодного вірусу, що вразив файли, що виконуються Novell NetWare, незважаючи на численні обіцянки вирусописателей випустити такий вірус найближчим часом.

Ну а з приводу широкого поширення ОС як необхідної умови для вірусного нашестя і говорити набридло: на 1000 програмістів тільки 100 здатні написати вірус, на цю сотню доводиться один, який цю ідею доведе до завершення. Тепер отриману пропорцію множимо на число тисяч програмістів - і отримуємо результат: з одного боку 15.000 або навіть 20.000 повністю IBM-сумісних вірусів, з іншою - декілька стільники вірусів для Apple-Macintosh. Така ж невідповідність пропорцій спостерігається і в порівнянні загальної кількості вірусів для Windows (декілька десяктов) і для OS/2 (декілька штук).

Приведеним вище трьом умовам «розквіту» комп'ютерних вірусів задовольняють відразу декілька OS (включаючи редактори), вироблюваних фірмою Microsoft (DOS, Windows, Win95/NT і Word, Excel, Office97), що дає благодатний грунт для існування самих різноманітних файлових і макро-вірусів. Задовольняють приведеним умовам також і стандарти разбиения жорстких дисків. Результат - різноманітні варіанти завантажувальних вірусів, що вражають систему в момент її завантаження.

Для того, щоб прикинути тривалість нашестя комп'ютерних вірусів в який-небудь OC, треба оцінити час співіснування приведених вище необхідних умов.

Досить очевидно, що в обозримом майбутньому фірми IBM і Apple не мають намір поступатися масовим ринком своїм конкурентам (на радість Apple- і IBM-програмістам), навіть якщо для цього цим фірмам доведеться об'єднати зусилля. Не представляється можливим і усікання потоку інформації по найбільш поширених системах, оскільки це ударить по числу додатків для них, а отже, і по їх «продаваемости». Залишається тільки одне - захист ОС. Однак, захищеність ОС вимагає виконання деяких правил (паролів і т.п.), що приводить до ряду незручностей. Тому мені здається малоймовірним, що такі ОС стануть популярними в середовищі звичайних користувачів - секретарок, бухгалтерів, на домашніх комп'ютерах, і т.д., і т.п., або функції захисту будуть отлючаться користувачем ще при установці ОС.

Виходячи з вищесказаного можна зробити єдиний висновок: віруси успішно впровадилися в повсякденне комп'ютерне життя і покидати її в обозримом майбутньому не збираються.

4. Класифікація комп'ютерних вірусів

Віруси можна розділити на класи по наступних основних ознаках:

· середовище мешкання;

· операційна система (OC);

· особливості алгоритму роботи;

· деструктивні можливості.

По СЕРЕДОВИЩУ МЕШКАННЯ віруси можна розділити на:

· файлові;

· завантажувальні;

· макро;

· мережеві.

Файлові віруси або різними способами впроваджуються в файли (найбільш поширений тип вірусів), що виконуються, або створюють файли-двійники (компаньйон-віруси), або використовують особливості організації файлової системи (link-віруси).

Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, вмісний системний завантажувач вінчестера (Master Boot Record), або міняють покажчик на активний boot-сектор.

Макро-віруси заражають файли-документи і електронні таблиці декількох популярних редакторів.

Мережеві віруси використовують для свого поширення протоколи або команди комп'ютерних мереж і електронної пошти.

Існує велика кількість поєднань - наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і полиморфик-технології. Інший приклад такого поєднання - мережевий макро-вірус, який не тільки заражає длокументы, що редагуються, але і розсилає свої копії по електронній пошті.

ОПЕРАЦІЙНА СИСТЕМА (вірніше, ОС, об'єкти якої схильні до зараження), що Заражається є другим рівнем ділення вірусів на класи. Кожний файловий або мережевий вірус заражає файли який-небудь однієї або декількох OS - DOS, Windows, Win95/NT, OS/2 і т.д. Макро-віруси заражають файли форматів Word, Excel, Office97. Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних в завантажувальних секторах дисків.

Серед ОСОБЛИВОСТЕЙ АЛГОРИТМУ РОБОТИ вірусів виділяються наступні пункти:

· резидентность;

· використання стелс-алгоритмів;

· самошифрование і полиморфичность;

· використання нестандартних прийомів.

РЕЗИДЕНТНИЙ вірус при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звертання операційної системи до об'єктів зараження і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимкнення комп'ютера або перезавантаження операційної системи. Нерезидентні віруси не заражають пам'ять комп'ютера і зберігають активність обмежений час. Деякі віруси залишають в оперативній пам'яті невеликі резидентні програми, які не розповсюджують вірус. Такі віруси вважаються нерезидентними.

Резидентними можна вважати макро-віруси, посколько вони постійно присутні в пам'яті комп'ютера на весь час роботи зараженого редактора. При цьому роль операційної системи бере на себе редактор, а поняття «перезавантаження операційної системи» трактується як вихід з редактора.

У багатозадачних операційних системах час «життя» резидентного DOS-вірусу також може бути обмежений моментом закриття зараженого DOS-вікна, а активність завантажувальних вірусів в деяких операційних системах обмежується моментом інсталяції дискових драйверів OC.

Використання СТЕЛС-алгоритмів дозволяє вірусам повністю або частково приховати себе в системі. Найбільш поширеним стелс-алгоритмом є перехоплення запитів OC на читання/записи заражених об'єктів. Стелс-віруси при цьому або тимчасово лікують їх, або «підставляють» замість себе незаражені дільниці інформації. У разі макро-вірусів найбільш популярний спосіб - заборона викликів меню перегляду макросів. Один з перших файлових стелс-вірусів - вірус «Frodo», перший завантажувальний стелс-вірус - «Brain».

САМОШИФРОВАНИЕ і ПОЛИМОРФИЧНОСТЬ використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру детектування вірусу. Полиморфик-віруси (polymorphic) - це досить труднообнаружимые віруси, що не мають сигнатур, тобто не вмісні жодної постійної дільниці коду. У більшості випадків два зразки одного і того ж полиморфик-вірусу не будуть мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями программы-расшифровщика.

Різні НЕСТАНДАРТНІ ПРИЙОМИ часто використовуються у вірусах для того, щоб як можна глибше сховати себе в ядрі OC (як це робить вірус «3APA3A»), захистити від виявлення свою резидентну копію (віруси «TPVO», «Trout2»), утруднити лікування від вірусу (наприклад, вмістивши свою копію в Flash-BIOS) і т.д.

По ДЕСТРУКТИВНИХ МОЖЛИВОСТЯХ віруси можна розділити на:

· нешкідливі, тобто що ніяк не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску внаслідок свого поширення);

· безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими і пр. ефектами;

· небезпечні віруси, які можуть привести до серйозних збоїв в роботі комп'ютера;

· дуже небезпечні, в алгоритм роботи яких явно закладені процедури, які можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і навіть, як свідчить одна з неперевірених комп'ютерних легенд, сприяти швидкому зносу рухомих частин механізмів - вводити в резонанс і руйнувати головки некотоорых типів вінчестерів.

Але навіть якщо в алгоритмі вірусу не знайдено гілок, що наносять збиток системі, цей вірус не можна з повною упевненістю назвати нешкідливим, оскільки проникнення його в комп'ютер може викликати непередбачувані і часом катастрофічні наслідки. Адже вірус, як і всяка програма, має помилки, внаслідок яких можуть бути зіпсовані як файли, так і сектори дисків (наприклад, цілком нешкідливий на перший погляд вірус «DenZuk» досить коректно працює з 360K дискетами, але може знищити інформацію на дискетах більшого об'єму). Досі попадаються віруси, що визначають «COM або EXE» не по внутрішньому формату файла, а по його розширенню. Природно, що при неспівпаданні формату і розширення імені файл після зараження виявляється непрацездатним. Можливе також «заклинення» резидентного вірусу і системи при використанні нових версій DOS, при роботі в Windows або з іншими могутніми програмними системами. І так далі. Завантажувальні віруси; Макро-віруси; Поліморфік-віруси; Інші «шкідливі програми»; Резидентні віруси; Мережеві віруси; Стелс-віруси; Файлові віруси; IRC-черв'яки.

5. Методи боротьби з вірусами. 5.1. Методи виявлення і видалення комп'ютерних вірусів

Способи протидії комп'ютерним вірусам можна розділити на декілька груп: профілактика вірусного зараження і зменшення передбачуваного збитку від такого зараження; методика використання антивірусних програм, в тому числі знешкодження і видалення відомого вірусу; способи виявлення і видалення невідомого вірусу.

· Аналіз алгоритму вірусу

· Антивірусні програми

· Відновлення уражених об'єктів

· Виявлення невідомого вірусу

Профілактіка зараження компьютера5.2. DOCTOR WEB - одна з найпопулярніших антивірусних програм.

Останнім часом стрімко зростає популярність антивірусної програми Doctor Web. Dr.Web також, як і Aidstest відноситься до класу детекторів - лікарів, але на відміну від останнього має так званий "евристичний аналізатор" - алгоритм, що дозволяє виявляти невідомі віруси. "Лікувальна павутина", як переводиться з англійського назва програми, стала відповіддю вітчизняних програмістів на нашестя самомодифицирующихся вірусів-мутантів, які при розмноженні модифікують своє тіло так, що не залишається жодній характерного ланцюжка байт, що була присутньої в початковій версії вірусу. Dr.Web можна назвати антивірусом нового покоління в порівнянні з Aidstest і його аналогами. На користь цієї програми говорить той факт, що велику ліцензію (на 2000 комп'ютерів) придбало Головне управління інформаційних ресурсів при Президентові РФ, а другий по величині покупець "павутини" - "Інкомбанк".

Управління режимами також як і в Aidtest здійснюється за допомогою ключів. Користувач може указати програмі тестувати як весь диск, так і окремі підкаталоги або групи файлів, або ж відмовитися від перевірки дисків і тестувати тільки оперативну пам'ять. У свою чергу можна тестувати або тільки базову пам'ять, або, додатково, ещ_ і розширену (вказується за допомогою ключа /Н). Як і Aidstest Doctor Web може створювати звіт про роботу (ключ /Р), завантажувати знакогенератор Кирилиця (ключ /R), підтримує роботу з програмно-апаратним комплексом Sheriff (ключ /Z).

Але, звісно, головною особливістю "Лікувальної павутини" є наявність евристичного аналізатора, який підключається ключем /S. Баланса між швидкістю і якістю можна добитися, указавши ключу рівень евристичного аналізу: 0 - мінімальний, 1 - оптимальний, 2 - максимальний; при цьому, природно, швидкість меншає пропорціонально збільшенню якості. До того ж Dr.Web дозволяє тестувати файли, вакциновані CPAV, а також упаковані LZEXE, PKLITE, DIET. Для цього потрібно указати ключ /U (при цьому розпаковування файлів буде зроблене на поточному пристрої) або /Uдиск: (де диск: - пристрій, на якому буде проводитися розпаковування), якщо дискета, з якою запущений Doctor Web захищена від запису. Багато які програми упаковані таким способом, хоч користувач може і не підозрювати про це. Якщо ключ /U не встановлений, то Doctor Web може пропустити вірус, що забрався в запаковану програму.

Важливою функцією є контроль зараження файлів, що тестуються резидентним вірусом(ключ /V). При скануванні пам'яті немає стопроцентной гарантії, що "Лікувальна павутина" виявить всі віруси, що знаходяться там. Так ось, при завданні функції /V Dr.Web намагається перешкодити резидентним вірусам, що залишилися заразити файли, що тестуються.

Тестування вінчестера Dr.Web-ом займає на багато більше часу, ніж Aidstest-ом, тому не кожний користувач може собі дозволити тратити стільки часу на щоденну перевірку усього жорсткого диска. Таким користувачам можна порадити більш ретельно (з опцією /S2) перевіряти принесені ззовні дискети. Якщо інформація на дискеті знаходиться в архіві (а останнім часом програми і дані переносяться з машини на машину тільки в такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують свою продукцію), потрібно розпакувати його в окремий каталог на жорсткому диску і відразу ж, не відкладаючи, запустити Dr.Web, задавши йому як параметр замість імені диска повний шлях до цього підкаталогу. І все ж треба хоч би раз в два тижні проводити повну перевірку "вінчестера" на віруси із завданням максимального рівня евристичного аналізу.

Так само як і у випадку з Aidstest при початковому тестуванні не варто дозволяти програмі лікувати файли, в яких вона виявить вірус, оскільки не можна виключити, що послідовність байт, прийнята в антивірусі за шаблон може зустрітися в здоровій програмі. Якщо по завершенні тестування Dr.Web видасть повідомлення про те, що знайшов віруси, треба запустити його з опцією /Р (якщо ця опція не була вказана) для того, щоб подивитися, який файл заражений. Після цього треба скопіювати файл на дискету або на електронний диск і спробувати видалити, указавши "Лікувальній павутині" ключ /F. Прі невдалому лікуванні потрібно поступити так само, як в аналогічній ситуації, описаной вище для програми Aidstest.

Для щоденної роботи з дискетами можна порадити наступну конфігурацію: web <ім'я диска>А/S2/V/Про/U/Н, де /А - перевіряти всі файли, /S2 - евристичний аналізатор, /V - перевіряти зараження резидентним вірусом, /Про - виводити повідомлення OK для незаражених файлів, /U - перевіряти запаковані (але не архівовані!) файли, /Н - тестувати верхню пам'ять.

Щоб весь час не набирати одну і ту ж послідовність ключів, можна включити в меню користувача (USER MENU) оболонки NORTON COMMANDER (або ДОС-НОВИГАТОР, якщо використовується остання) пункти виклику Dr.Web і Aidstest, або створити командний файл. Це не тільки зекономить час, але і дозволить зменшити об'єм змінних оточення DOS, оскільки тепер не треба буде вказувати в команді PATH файла AUTOEXEC.BAT підкаталог з антивірусними програмами (деякі роблять це для оперативного звернення до антивірусів).

Висновок

При роботі з сучасним персональним комп'ютером користувача (а особливо початківця) може підстерігати безліч прикрощів: втрата даних, зависання системи, вихід з ладу окремих частин комп'ютера і інші. Однієї з причин цих проблем нарівні з помилками в програмному забезпеченні) і невмілими діями самого оператора ПЭВМ можуть бути комп'ютерні віруси, що проникли в систему. Ці програми подібно біологічним вірусам розмножуються, записуючись в системні області диска або приписуючись до файлів і виконують різні небажані дії, які, часто, мають катастрофічні наслідки. Щоб не стати жертвою цієї напасті, кожному користувачу потрібно добре знати принципи захисту від комп'ютерних вірусів.

З давніх часів відомо, що до будь-якої отрути рано або пізно можна знайти протиотруту. Такою протиотрутою в комп'ютерному світі стали програми, звані антивірусними. Дані програми можна класифікувати по п'яти основних групах: фільтри, детектори, ревізори, лікарі і вакцинаторы.

Антивіруси-фільтри - це резидентні програми, які оповіщають користувача про всі спроби якої-небудь програми записатися на диск, а уже тим більше отформатировать його, а також про інші підозрілі дії (наприклад про спроби змінити установки CMOS). При цьому виводиться запит про дозвіл або заборону даної дії. Принцип роботи цих програм заснований на перехопленні відповідних векторів переривань. До переваги програм цього класу в порівнянні з програмами-детекторами можна віднести універсальність по відношенню як до відомих, так і невідомим вірусам, тоді як детектори пишуться під конкретні, відомі на даний момент програмісту види. Це особливо актуальне зараз, коли з'явилася безліч вірусів-мутантів, що не мають постійного коду. Однак, програми-фільтри не можуть відстежувати віруси, обіговій безпосередньо до BIOS, а також ВООТ-віруси, що активізуються ще до запуску антивіруса, в початковій стадії завантаження DOS, До недоліків також можна віднести часту видачу запитів на здійснення якої-небудь операції: відповіді на питання віднімають у користувача багато часу і діють йому на нерви. При установці деяких антивірусів-фільтрів можуть виникати конфлікти з іншими резидентними програмами, що використовують ті ж переривання, які просто перестають працювати.

Найбільше поширення в нашій країні отримали програми-детектори, а вірніше за програму, об'єднуючі в собі детектор і лікаря. Найбільш відомі представники цього класу - Aidstest, Doctor Web, MicroSoft AntiVirus далі будуть розглянуті детальніше. Антивіруси-детектори расчитаны на конкретні віруси і засновані на порівнянні послідовності кодів що містяться в тілі вірусу з кодами програм, що перевіряються. Такі програми треба регулярно оновлювати, оскільки вони швидко застарівають і не можуть виявляти нові види вірусів. Ревізори - програми, які аналізують поточний стан файлів і системних областей диска і порівнюють його з інформацією, збереженою раніше в одному з файлів даних ревізора. При цьому перевіряється стан ВООТ-сектори, таблиці FAT, а також довжина файлів, їх час створення, атрибути, контрольна сума. Аналізуючи повідомлення програми-ревізора, користувач може вирішити, чим викликані зміни: вірусом чи ні. При видачі такого роду повідомлень не треба вдаватися паніці, оскільки причиною змін, наприклад, довжини програми може бути зовсім і не вірус. Так був випадок, коли один початківець користувач не на жарт перелякався, коли антивірус AVSP видав йому повідомлення про зміни в файлі CONFIG.SYS. Виявилося, що до цього на комп'ютер була здійснена инсталяция менеджера пам'яті QEMM, який пише свій драйвер в CONFIG.SYS.

До останньої групи відносяться самі неефективні антивіруси - вакцинаторы. Вони записують в програму, що вакцинується ознаки конкретного вірусу так, що вірус вважає її вже зараженої.

Список літератури

1. "В.Е.Фігурнов IBM PC для користувача". Уфа, "ПК Дегтярев і син", 1993 р.

2. Ф.Файтс, П.Джонстон, М.Кратц "Комп'ютерний вірус: проблеми і прогноз". Москва, "Мир", 1993 р.

3. Н.Н.Безруков "Класифікація комп'ютерних вірусів MS-DOS і методи захисту від них". Москва, СП "ICE", 1990 р.

4. "Йорг Шиб MS-DOS 6.22 за 5 хвилин". Москва, "Біном", 1995 р.

5. Газета "Компьютерра" за 26 вересня 1994 р.

6. Документація на антивірусні програми.

7. Власний досвід.

Авіація і космонавтика
Автоматизація та управління
Архітектура
Астрологія
Астрономія
Банківська справа
Безпека життєдіяльності
Біографії
Біологія
Біологія і хімія
Біржова справа
Ботаніка та сільське господарство
Валютні відносини
Ветеринарія
Військова кафедра
Географія
Геодезія
Геологія
Діловодство
Гроші та кредит
Природознавство
Журналістика
Зарубіжна література
Зоологія
Видавнича справа та поліграфія
Інвестиції
Інформатика
Історія
Історія техніки
Комунікації і зв'язок
Косметологія
Короткий зміст творів
Криміналістика
Кримінологія
Криптологія
Кулінарія
Культура і мистецтво
Культурологія
Логіка
Логістика
Маркетинг
Математика
Медицина, здоров'я
Медичні науки
Менеджмент
Металургія
Музика
Наука і техніка
Нарисна геометрія
Фільми онлайн
Педагогіка
Підприємництво
Промисловість, виробництво
Психологія
Психологія, педагогіка
Радіоелектроніка
Реклама
Релігія і міфологія
Риторика
Різне
Сексологія
Соціологія
Статистика
Страхування
Будівельні науки
Будівництво
Схемотехніка
Теорія організації
Теплотехніка
Технологія
Товарознавство
Транспорт
Туризм
Управління
Керуючі науки
Фізика
Фізкультура і спорт
Філософія
Фінансові науки
Фінанси
Фотографія
Хімія
Цифрові пристрої
Екологія
Економіка
Економіко-математичне моделювання
Економічна географія
Економічна теорія
Етика

8ref.com

© 8ref.com - українські реферати


енциклопедія  бефстроганов  рагу  оселедець  солянка