реферат по токб1. Компьютерные вирусы
 Скачать 37.11 Kb.
|
|
РЕФЕРАТ Тема: «Компьютерные вирусы» СодержаниеВведение 3 Глава 1 Классификация вирусов 5 Глава 2 Современные компьютерные вирусы 10 Глава 3 Способы противодействия компьютерным вирусам 21 Заключение 23 Список используемой литературы 24 ВведениеКомпьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), А также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки DOS, в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере. Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу. Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить. Глава 1 Классификация вирусовВирусы можно разделить на классы по следующим основным признакам: среда обитания; операционная система (OC); особенности алгоритма работы; деструктивные возможности. По среде обитания вирусы можно разделить на: файловые, загрузочные, макро и сетевые. Файловые - внедряются в выполняемые файлы или процессы (наверное, одни из самых распространенных типов вирусов) или создают своих 'двойников'. Загрузочные - записывают себя либо в загрузочный сектор диска (т. е. boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Макро - заражают файлы-документы популярных редакторов (Word, Excel). Среди алгоритма работы вирусов выделяются следующие виды: резидентность; использование стелс-алгоритмов; самошифрование и полиморфичность; использование нестандартных приемов. Резидентный - при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие 'перезагрузка операционной системы трактуется как выход из редактора. Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо подставляют вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов - вирус Frodo, первый загрузочный стелс-вирус - 'Brain'. Самошифрование и полиморфичность - используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (уничтожения) вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Различные нестандартные приёмы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус '3APA3A'), защитить от обнаружения свою резидентную копию (вирус 'Trout2'), затруднить лечение вируса (например, поместив свою копию в Flash-BIOS) и т. д. По деструктивным возможностям вирусы можно разделить на: безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения путём клонирования самих себя); неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами (появление логических ошибок); опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; очень опасные, в алгоритм работы, которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров. (Пример, 'ЧЕРНОБЫЛЬ', посылающий ОГРОМНОЕ количество операций в Bios, что приводит, практически, полному краху компьютера). Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word/HTML. Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма, т. е. в теле заложен код, благодаря чему вирус отправляет заражённые письма, адреса, которых хранятся на компьютере жертве. Файл-серверы общего пользования и электронные конференции также служат одним из основных источников распространения вирусов. При этом часто зараженные файлы закладываются автором вируса на несколько BBS/ftp или рассылаются по нескольким конференциям одновременно, и эти файлы маскируются под новые версии какого-либо программного обеспечения (иногда - под новые версии антивирусов), так же известны случаи когда, к примеру, какая-либо крупная организация, по разработке ПО, предоставляет новую версию продукта (патч\релиз) на свободную закачку, не зная того, что файл заражён вирусом. Третий путь быстрого заражения - локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере. Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных зон риска. Часто пиратские копии на дискетах и даже на CD-дисках содержат файлы, зараженные самыми разнообразными типами вирусов. Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередную заразу получат и дискеты всех остальных студентов, работающих на этом компьютере. То же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда сын-студент (или дочь), работая на многопользовательском компьютере в институте, перетаскивают оттуда вирус на домашний компьютер, в результате чего вирус разносится на другие компьютеры (путём записи информации на накопители и другие компьютеры). Кроме вирусов принято выделять еще, по крайней мере, три вида вредоносных программ: Троянские программы - по основному назначению троянские программы совершенно безобидны или даже полезны. Но когда пользователь запишет программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения. Логические бомбы - программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия, например, может сработать по достижении определенной даты или тогда, когда в базе данных появится или исчезнет запись, и т. д. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы. Программы-черви нацелены на выполнение определенной функции, например, на проникновение в систему и модификацию данных, могут подсматривать пароль для доступа к банковской системе и изменять базу данных. Некоторые вирусы-черви (например, CodeRed) существуют не внутри файлов, а в виде процессов в памяти зараженного компьютера. Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера. Вирусы в системах документооборота- документы, хранящиеся в базах данных таких систем документооборота, как LotusNotes и MicrosoftExchange, тоже могут содержать вирусы, точнее, вредоносные макрокоманды. Они могут активизироваться при выполнении каких-либо действий над документом (например, когда пользователь щелкает кнопку мышью). Поскольку такие вирусы расположены не в файлах, а в записях баз данных, для защиты от них требуются специализированные антивирусные программы; новые и экзотические вирусы. По мере развития компьютерных технологий совершенствуются и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. Новые вирусы могут использовать неизвестные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компьютерные системы. Глава 2 Современные компьютерные вирусыЛето 2000 г. действительно выдалось жаркое, особенно применимо к компьютерным вирусам. Хотя это время считается временем отпусков как у вирусописателей, так и у антивирусных экспертов, первые, по всей видимости, решили сделать неожиданный сюрприз вторым. В июле группа Cult of Death Cow представила новую версию известной утилиты несанкционированного удаленного администрирования Back Orifice 2000 (BO2K). Это произошло на ежегодной конференции DefCon (названной в пику DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности, новая версия программы представляла никак не большую опасность, нежели ее предшественница и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой BO2K стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже видимой инсталляцией. Несмотря на это она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как "Троянец" класса "Backdoor". В июле же появились сразу три исключительно интересных вируса. "Star" стал первым вирусом для пакета AutoCAD. "Dilber" отличился тем, что содержал коды сразу пяти вирусов, среди которых "CIH", "SK", "Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище "Шаттл, полный вирусов". Третьим стал Интернет-червь "Jer", использующий "топорный" метод проникновения на компьютер. На Web сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на человеческий фактор, т. е. что пользователь автоматически ответит 'да', чтобы отвязаться от назойливой скрипт-программы. Появление этого червя свидетельствует о вхождении в моду новой технологии "раскрутки" вируса в Интернет. Сначала червь помещается на Web сайт, а потом проводится массированная рекламная компания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто пропустит его на свой компьютер. В августе был обнаружен "Liberty" - первая вредоносная программа класса "Троянский конь" для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске он стирал файлы, но не имел никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS - "Phage". Он представлял собой классический вирус-паразит, который вместо внедрения в заражаемые файлы стирал их и на их место записывал свой код. В начале сентября был обнаружен первый известный компьютерный вирус ("Stream"), способный манипулировать дополнительными потоками (ADS) файловой системы NTFS. Данный вирус нельзя рассматривать как нечто, представляющее собой реальную угрозу. Гораздо большую опасность представляет сама технология проникновения в дополнительные потоки, поскольку ни один антивирусный сканер не в состоянии обнаружить там вредоносный код. К сожалению, история вызвала неадекватную реакцию у некоторых западных антивирусных компаний, которые обвинили "Лабораторию Касперского" в запугивании пользователей. Тем не менее, кроме голословных обвинений оппоненты не смогли представить сколько-нибудь вескую аргументацию в подтверждение выдвинутой ими теории безопасности дополнительных потоков NTFS. Проблема антивирусной защиты NTFS до сих пор остается насущной, поскольку с момента обнаружения Stream, всего несколько антивирусных сканеров научились искать вирусы в ADS. В октябре появились первый вирус, срывающийся в информационных файлах PIF ("Fable") и первый вирус, написанный на скрипт-языке PHP ("Pirus"). Оба вируса на данный момент так и остались достоянием вирусных коллекций и не были обнаружены в "диком виде". Тогда же произошел громкий скандал, когда стало известно, что внутренняя сеть Microsoft была взломана и в течение нескольких месяцев открыта для неких неизвестных хакеров, предположительно из Санкт-Петербурга. Проникновение было совершено тривиальным способом, посредством сетевого червя QAZ. Курьезность ситуации придавал тот факт, что на момент обнаружения факта взлома, этот червь уже многие месяцы находился в базах данных практически всех антивирусных программ. Это обстоятельство дало основания сомневаться как в компетентности служащих Microsoft, так и, возможно, в их злом умысле. Однако, на момент написания этой книги виновник случившегося так и не был найден. В ноябре происходит знаменательное событие: основной проект "Лаборатории Касперского", сумевшей всего за три года стать одним из основных игроков антивирусной индустрии, - семейство антивирусных продуктов AntiViral Toolkit Pro (AVP) меняет свое название на "Антивирус Касперского" (Kaspersky Anti-Virus) и принимает новый логотип. В этом месяце также был обнаружен опасный и технологически совершенный вирус "Hybris", автором которого стал известный бразильский вирусописатель по прозвищу Vecna. Он развил идею своего первого самообновляющегося вируса "Babylonia" и учел ранее допущенные ошибки. Главным нововведением было использование как Web сайтов, так и электронных конференций (в частности alt. comp. virus) для загрузки новых модулей вируса на зараженные компьютеры. Если Web сайт можно было оперативно закрыть, то электронная конференция стала идеальным вариантом для распространения обновлений - уж ее-то закрыть не так просто. Кроме того, для идентификации настоящих вирусных модулей, т. е. действительно выпущенных автором, Hybris использовал 128-битных электронный ключ RSA для их шифрования. В целом в 2000 году электронная почта еще раз доказала, что именно она стала основным средством транспортировки вредоносных кодов. Согласно статистике службы технической поддержки "Лаборатории Касперского", около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Этот год также был отмечен всплеском активности создателей вирусов к Linux. В целом было зарегистрировано появление 37 новых вирусов и троянских программ для этой операционной системы. Таким образом, общее количество Linux-вирусов достигло 43, причем только за 2000 г. их рост составил более чем 7 раз. Наконец, произошли существенные изменения в вирусных "чартах". Если раньше все верхние места наиболее распространенных вирусов прочно удерживали макро-вирусы, то в 2000 г. их место заняли скрипт-вирусы. 2001 год был отмечен определенными успехами антивирусных компаний в разработке новых и совершенствовании существующих технологий защиты от вредоносных программ. В то же время в этом году наблюдался дальнейший рост числа пострадавших от вирусных атак. Основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, CodeRed, Nimda, Aliz, BadtransII и др. ). Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam. Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam. Традиционное доминирование традиционных файловых вирусов постепенно сходит на нет и основным способом размножения для вредоносных программ становится передача своего тела по локальным и глобальным сетям. Ошибки в системах безопасности. Брешь - это ошибка в обычной программе, через которую злоумышленник может незаметно внедрить на компьютер вредоносный код. Опасность вирусов, использующих бреши, в том, что их активация происходит автоматически и практически не зависит от действий пользователя. Например, для заражения червем Nimda достаточно открыть письмо даже в окне предварительного просмотра. Червь CodeRed не требует и такого вмешательства - он самостоятельно находит через интернет уязвимые компьютеры и заражает их. По статистике 'Лаборатории Касперского' доля подобных вредоносных программ в общем объеме вирусных инцидентов 2001 года составила около 55%. Столь пристальное внимание компьютерного андерграунда к брешам в системах безопасности вполне логично. Традиционный способ проникновения вируса на компьютер, при котором пользователь самостоятельно запускает зараженный файл, уже не является столь эффективным, как раньше. Учитывая это, вирусописатели начали поиск нового, более эффективного способа заражения компьютеров и нашли его в использовании уязвимостей в системах безопасности. 2002 год В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др. ). В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию. NET. Однако развитие событий показало, что оба вируса оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Лучшим опровержением распространенного мнения, что эта операционная система защищена от любых вредоносных программ, стал червь Slapper, который всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение. Нельзя не отметить стремительный рост так называемых коммерческих вредоносных программ, которые преследуют конкретные коммерческие цели - похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям. Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет- червь Klez. Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и на ближайшие два года его модификации стали завсегдатаями списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях десятки. Однако в течение 2002 года свирепствовали лишь две из десяти существующих разновидностей этого червя - Klez. H (обнаружен 17. 04. 2002) и Klez. E (обнаружен 11. 01. 2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez. По масштабам и продолжительности эпидемия Klez не имела себе равных. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года. Тенденция 2001 года, когда для своего распространения черви использовали различные бреши в программных продуктах Microsoft, была продолжена в 2002 г. Все вышеназванные черви (Klez, Lentin, Tanatos), а также BadTrans - использовали для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом на них пришлось более 85% всех инцидентов. В конце года наметилась интересная тенденция в качественном составе самых распространенных вредоносных программ. Если раньше почти 100% всех инцидентов приходилось на один, два, максимум три вируса, то начиная с сентября 2002 года ситуация коренным образом изменилась. С этого момента наблюдается так называемая диверсификация - все больше заражений приходится на вирусы, не вошедшие в хит-парады: в декабре этот показатель достиг 62%. Это свидетельствует о том, что пользователи наконец обратили внимание на главные угрозы и предприняли необходимые меры защиты. Грамотные действия пользователей повлекли за собой сокращение числа инцидентов с участием, например, Klez, Lentin и Tanatos. Однако снижения общего количества заражений отмечено не было. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ (например, Bridex). По отдельности доля заражений, вызванных каждой из них, была невелика, но в совокупности они составили достаточно внушительный объем. 2003 год Рекорды быстроты распространения побил "червь" Slammer, заразивший 75 тысяч компьютеров в течение 10 минут. Вирус поразил компьютеры Госдепартамента США\State Department, где повредил базу данных. Консульства США по всему миру вынуждены были на 9 часов прервать процесс выдачи виз. Впервые автор вируса приговорен к тюремному заключению в Европе. 22-летний Саймон Вэллор\Simon приговорен британским судом к двух годам тюремного заключения за создание вирусов Gokar, Redesi и Admirer, которые инфицировали 27 тысяч компьютеров в 42 странах мира. Январь. Червь SQL Slammer, также известный как червь Sapphire, использует уязвимости в Microsoft SQL Server и создает большие помехи в Интернете. Август. Запущен червь Sobig, который быстро распостраняется через электронную почту и ресурсы, открытые для коллективного доступа в локальных сетях. Одновременная эпидемия червей Blaster и Sobig наносит ощутимый вред пользователям сети по всему миру. Запущен червь Welchia— один из самых известных «белых червей». Он следует по пятам червя Blaster, пытаясь удалить его с зараженных компьютеров и установить на них заплатку ОС. Делается это, однако, по-прежнему без согласия пользователей, и многие системные администраторы жалуются, что червь Welchia замусоривает сети, создавая ещё больше проблем — таким образом, сам по себе являясь вредоносной программой. Червь Blaster, также известный как Lovesan, распостраняется по всему миру, также засоряя сеть большим количеством мусорного трафика. Червь содержит оскорбления в адрес Билла Гейтса и ошибочно запрограммированную DoS-атаку на сервер обновления ОС Windows. Октябрь. Запущен червь Sober. 2004 год Наиболее важные изменения по сравнению с прошлыми годами: Криминализация Интернета, миграция вирусописателей и хакеров в разработку принудительных рекламных систем, а с другой стороны - более высокая оперативность антивирусных компаний, активизация "полицейских мероприятий", которые часто завершаются поимкой и осуждением виновных. Основные тенденции этого года: - Так называемые AdWare (рекламные системы) становятся одной из основных проблем компьютерной безопасности. - Почтовый трафик переполнен спамом, работа с почтой без антиспама в большинстве случаев становится просто невозможной. - Массовые успешные атаки на интернет-банки. - Многочисленные случаи интернет-рэкета. - Антивирусные компании вынуждены подключать средства защиты от AdWare. - Скорость реакции антивирусных компаний становится одним из основных критериев качества предоставляемой защиты. - Появление многочисленных антиспамовых решений; стандартом de-facto для почтовых провайдеров становится использование каких-либо подобных решений. - Успешные расследования и аресты (около 100 хакеров арестовано, трое - в двадцатке самых разыскиваемых ФБР преступников). Январь. Запущен червь Mydoom, который на тот момент становится самым быстрым червем, распространяющимся по электронной почте. Появился первый червь для мобильных телефонов Cabir. Февраль. Обнаружен червь Netsky, признанный в дальнейшем самым опасным вирусом 2004 года. Март. Обнаружен червь Witty— первый сразу в нескольких категориях. Этот червь атаковал несколько версий IIS; он появился в рекордное время после объявления уязвимости; он стал первым интернет-червем, несущим по-настоящему вредоносный код; и, наконец, он стал первым червем, который изначально был разослан по заранее составленному списку уязвимых компьютеров. Май. Появляется червь Sasser, эксплуатировавший ОС Microsoft Windows и вызвавший многочисленные проблемы в сети, иногда даже парализуя работу организаций. Декабрь. Запущен червь Santy — первый червь, использующий для распространения веб-сайты, и к тому же использующий Google для нахождения своих жертв. 2005 год Август. Червь Zotob несмотря на относительно небольшой масштаб эпидемии, привлекает повышенное внимание западных СМИ после того, как некоторые из них были атакованы и понесли определенный ущерб. 2006 год 20 января 2006 был обнаружен червь Nyxem. Он распространяется с помощью массовой рассылки e-mail. Его нагрузка, которая активируется 3-го числа каждого месяца, начиная с 3 февраля, делает попытку отключить ПО связанное с безопасностью и раздачей файлов, а также уничтожить файлы определённых типов, таких как документы Microsoft Office. 15 марта 2006 года в СМИ появляются сообщения о создании первого вируса для RFID-меток. 2007 год Январь. Червь Storm начинает захватывать заражённые компьютеры, формируя Сеть Storm, которая в сентябре достигла размера от 1 до 10 миллионов компьютеров. 2008 год Новая версия GPCode шифрует пользовательские файлы с расширениями DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др. на жестких дисках посредством алгоритма RSA с ключом длиной 1024 бита. В настоящее время возможности восстановить зашифрованную зловредом информацию, не поддаваясь на требования шантажиста, не существует. Теоретически на расшифровку алгоритма шифрования понадобится работа кластера из 15'000'000 ПК на протяжении одного года. В работе вируса была замечена особенность, которая позволяет восстановить зашифрованные данные. Перед шифрацией файла вирус создаёт его копию, которую затем удаляет. Единственная на данный момент возможность восстановления данных - это попытка восстановления копии файла, которую создаёт вирус. "Лаборатория Касперского" рекомендует для этой цели использовать утилиту PhotoRec, а также в помощь PhotoRec рекомендуется использовать утилиту StopGpcode. Июнь. Червь, получивший название Email-Worm. Win32. Lover. a, распространяется по каналам электронной почты - пользователю приходит письмо с вложенным файлом to_my_love. scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс". Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими). Механизм сокрытия присутствия червя Email-Worm. Win32. Lover. a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело, и далее записывает в папке Windows файл с именем ia*. cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Червь Email-Worm. Win32. Lover. a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, дает основания предположить, что автор червя является русскоговорящим. На сегодняшний день зарегистрировано более 100000 вредоносных программ или компьютерных вирусов. Если раньше преобладали файловые вирусы и Boot-вирусы, то теперь основная масса вредоносных программ приходится на "почтовые черви" и шпионские программы ("троянские кони") с функциями удалённого управления поражённым компьютером. Для борьбы с вирусами создаются антивирусные программы. Глава 3 Способы противодействия компьютерным вирусамСпособы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса. Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус). Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства — Фред Коэн. Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ: «Ложное срабатывание» (False positive) — детектирование вируса в незараженном объекте (файле, секторе или системной памяти). Обратный термин — «False negative», т.е. недетектирование вируса в зараженном объекте. «Сканирование по запросу» («on-demand») — поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания (system scheduler). «Сканирование на-лету» («real-time», «on-the-fly») — постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объекты без запроса пользователя. ЗаключениеВирусы – были и остаются серьёзной проблемой в компьютерном мире, но все проблемы, которые были ими созданы были решены и антивирусы помогают избежать повтора таких “критических ситуаций”. Борьбой с вирусами занимается множество специалистов в сотнях компаний, и они успешно решают проблему вирусов. Так что если вы используете у себя на компьютере антивирус и своевременно обновляете его базы, то 95% что проблемы вирусов у вас не возникнет вообще. Список используемой литературы1. Антивирусная защита ПК. От "чайника" к пользователю: Александр Жадаев — Санкт-Петербург, БХВ-Петербург, 2010 г.- 224 с. 2. Антивирусы: , , — Санкт-Петербург, Наука и техника, 2010 г.- 80 с. 3. В мире науки, №1, январь 2004: — Москва, В мире науки, 2004 г.- 333 с. 4. Вирусы сознания. Принципы и методы исцеления души и тела: Сан Лайт — Санкт-Петербург, Вектор, 2008 г.- 160 с. 5. Защита компьютера на 100 %. Сбои, ошибки и вирусы: Петр Ташков — Москва, Питер, 2011 г.- 288 с. 6. Как защитить компьютер (+ CD-ROM): Василий Леонов — Санкт-Петербург, Эксмо, 2010 г.- 240 с. 7. Компьютерные вирусы и борьба с ними: — Санкт-Петербург, Диалог-МИФИ, 2011 г.- 104 с. 8. Компьютерные технологии в экономике: — Москва, КноРус, 2009 г.- 224 с. 9. Лечение хронических и онкологических заболеваний. Часть 1. Инфекция и вирусы - угроза жизни человека: — Санкт-Петербург, ИГ "Весь", 2006 г.- 192 с. 10. Обслуживание ПК своими руками: Вера Васильева — Москва, БХВ-Петербург, 2003 г.- 320 с. |