Компьютерные вирусы

То, что люди, животные и растения могут болеть, известно каждому. Когда-то люди ломали головы пытаясь обнаружить возбудителей некоторых заболеваний, и лишь в XIX веке человечество открыло для себя такой феномен как вирусы.

Слово «вирус» означает «яд» и применялось для обозначения заразного начала. Выяснилось, что вирусы могут поражать людей, животных, растения и даже бактерии. Но даже и фантастам, которые успешно предсказали создание вычислительных машин, роботов и прочей техники, не пришло в голову «наградить» их вирусами, как человека. Описание технических вирусов в фантастических произведениях появилось уже позже, с настоящим их появлением.

Итак, с появлением компьютеров, появились компьютерные вирусы. У них много общего с биологическими вирусами и они похожи на вредоносные микроорганизмы, которые способны к размножению, приспособлению и движению, могут быть двуполыми и многоклеточными. Разница состоит лишь в том, что они обитают в электронной среде. Вирусы являются одной из самых распространенных причин потери информации, что в определенных случаях может нанести большой ущерб, например, заблокировать работу целой организации. В случае проникновения вирусов в компьютеры медицинских учреждений, это грозит нанесением вреда здоровью, и были даже зафиксированы случаи гибели пациентов.

Что же такое компьютерный вирус? Попробуем разобраться на простом примере. Представим себе некого работника, который пунктуально выполняет все задания начальства, поступающих к нему в виде письменных приказов. Тут тайком прокрадывается некий злоумышленник и подсовывает в папочку с приказами свое собственное распоряжение: «Скопировать данный текст и передать задание в другой отдел». Приказ послушно выполняется, копии передаются в другой отдел, оттуда в следующий, где снова копируются и т.д., пока не распространятся по всей организации. Вот примерно по такой схеме работает вирус-злоумышленник. Компьютер послушно выполняет команды программы, и если приказано скопировать данные в другие программы, задание будет с точностью выполнено, а вирус будет распространяться по всему компьютеру. Разные вирусы программируют разные задания, в этом состоит их определение по видам. Отличительная черта вирусов от обычных программ – это способность создавать свои копии и распространяться.

Откуда же берутся вирусы? Следует знать, что вирусы не возникают сами по себе, их придумывают люди (тоже различные злоумышленники и хакеры, которым скучно жить под мирным небом и главное их развлечение «как насолить соседу»). Вирусы можно назвать вполне удавшимся экспериментом создания искусственной жизни. Эксперимент удался, но является ли он полезным? Вирусы похожи на вредных насекомых, которые наносят только ущерб. Но, в отличие от борьбы с насекомыми, борьба с вирусами не что иное, как борьба человеческих умов. Одни люди придумывают всяких компьютерных монстров, другие придумывают способы защиты от них и борьбы с ними. Причем и изобретатели, и вирусологи – люди, не уступающие друг другу в своей гениальности.

Первый вирус был создан в конце 60-х и действовал на поражение, для чего ему «на съедение» был отдан компьютер, на котором он был создан. Очевидно, создание вируса было всего лишь развлечением программистов, но с появлением сети интернет, превратилось в настоящую опасность. Уже в 1975 году в сети Telenet появился первый вирус под названием «The Creeper», обладающий способностью проникнуть в сеть через модем и передать свою копию удаленной системе. В то же время была создана программа «Reeper» для защиты от этого вируса. Но уже в начале 80-х Фред Коэн начал серию экспериментов по созданию программ, способных к размножению и распространению. Позже, в 1984, он выступил на конференции по безопасности информации США, где высказал свои идеи по поводу новой опасности и средствах защиты, тогда и появился официально термин «компьютерный вирус». Но настоящий прорыв в истории вирусов осуществили в 1986 году братья Базит и Амджад Фарух Альви из Пакистана, которые занимались тем, что довольно успешно создавали и продавали программное обеспечение. Но однажды, братья заметили, что кто-то тайком от них копирует их программы. Пакистанцы не могли смириться с таким положением дел и лишиться честно заработанных денег, поэтому в ответ на ход злоумышленников, изобрели специальную программу «The Brain», которая включалась при попытке копирования и содержала в себе имена и телефоны ее создателей. Это программа и была прообразом будущих вирусов. Когда она распространилась за пределы Пакистана, это повергло общественность в шок от подобного явления. «The Brain» был первым вирусом, который было невозможно обнаружить, так как при считывания зараженного сектора, он подставлял «здоровый» оригинал. Тогда же, в 1987 году, появились первые книги о компьютерных вирусах и средствах защиты и борьбы с ними. В том же 1987 году случилась первая глобальная эпидемия, вызванная вирусом «Cristmas Tree», который через 4 дня после его проникновения в Интернет, буквально парализовал сеть, заполонив ее своими копиями. В 1989 году началась эпидемия компьютерных вирусов в России. Вирусы, уже известные на Западе, заполонили российские компьютеры. В том же году появились первые отечественные антивирусные программы. А в 1990 году русские решили внести свой вклад в историю вирусологии и создали первые отечественные вирусы «Peterburg», «Voronezh» и « LoveChild».

С течением времени, становилось все больше видов вирусов, они все больше совершенствовались и распространялись, совсем как эволюция микроорганизмов, в данном случае электронных. Одни люди создавали вирусы, придумывая как сделать их еще коварнее и придать им новые качества, другие люди ломали головы над противоядием, изобретая антивирусные программы. Затем, вирусописателям по-видимому, стало лень делать всю «черную» работу вручную и они решили этот процесс автоматизировать. В 1992 году был создан первый конструктор для создания вирусов VCL ( Virus Creation Laboratory). В меню VCL предлагалось выбрать вид создаваемого вируса, тип поражаемого объекта, выбрать определенный качества вируса и способы заражения. Позже, были созданы еще более совершенные инструменты для написания вирусов: PS-MPC (Phalcon/Skism Mass-Produced Code Generator), а затем G2 (Phalcon/Skism's G2 0.70 beta). Процесс написания вирусов стал легким и удобным, а количество «сконструированных» вирусов уже исчислялось сотнями.

А теперь рассмотрим, какими могут быть вирусы. Вирусы различаются средой обитания (файловые, загрузочные, макро-вирусы, сетевые). Заражаемой операционной системой (DOS, Windows, Win95/NT, OS/2 и т.д.). Особенностями поведения (резидентность, стелс-алгоритмы, самошифрование). Разрушительными способностями (безвредные, неопасные, опасные). Существуют также вирусы, попадающие сразу под несколько видов. Такие вирусы называются комплексными и являются самыми мощными. Немного подробнее о «вирусных» терминах и видах вирусов:

Файловые вирусы. К самому распространенного виду относятся вирусы, которые внедряются в выполняемые файлы, добавляя в программу свои куски кода, в следствие чего, программа становится неработоспособной, или вовсе вредоносной. Сюда же относятся перезаписывающие вирусы и вирусы-компаньоны.

Перезаписывающие вирусы. Частично или полностью стирает информацию файла, в который внедряется, из-за чего файл становится неработоспособным. В данном случае, единственный способ ликвидации вируса - удаление зараженного файла. В качестве примера можно привести такие вирусы, как: «Trj.Reboot», «Way», «Trivial.88.D».

Вирусы-компаньоны. В отличии от перезаписывающих вирусов внедряются не внутрь файла, а прикрепляются к нему. То есть, вирус создает вредоносный клон заражаемого файла, попутно переименовывая оригинальный файл, во что-нибудь другое. Естественно при попытке пользователем запустить файл, запускается вредоносная копия, которая делает свои грязные дела. Вирусы этого вида, могут копировать себя и распространяться очень быстро. («Asimov.1539», «Terrax.1069»)

Загрузочные вирусы. Записывают себя на диск или винчестер в сектор отвечающий за загрузку при старте работы операционной системы. Или, например, при подключение flash накопителя к компьютеру, если на флешке есть загрузочный вирус, то именно он в первую очередь загрузится с нее. Естественно не спрашивая разрешения у владельца накопителя. («Elk Cloner», «Yale», «Stoned», «PingPong», «AntiEXE», «Polyboot.B»)

Макро-вирусы. Заражают файлы и электронные таблицы таких программ как Word, Excel, Office, PowerPoint, Access, Corel Draw и т.п. Обычно, активны до тех пор, пока открыта программа, под которую написан этот вирус. Заражение происходит, способом записывания своего кода в заражаемый файл. («Concept», «Laroux», «ShareFun», «Melissa.A», «O97M/Y2K»)

Сетевые вирусы. Для проникновения в систему, используют команды компьютерных сетей, ошибки и «дыры» в различных интернет протоколах, в том числе электронную почту. В настоящее время сюда можно отнести большую часть существующих ныне вирусов.

Резидентные вирусы. Обитают в оперативной памяти, откуда передают заражение в другие системы. Остаются активными до выключения компьютера или перезагрузки операционной системы. («Randex», «Meve» , «MrKlunky»)

Стелс-вирусы. Маскирующие свое присутствие, а также сам факт заражения. Делают весьма интересным, но простым способом - во время обращения, например антивируса к зараженному участку, вирус, вместо зараженного кода, подставляет оригинальный код, вследствие чего антивирусу не удается ничего обнаружить. («Brain», «Frodo», «Whale»)

Самошифрующиеся вирусы. Шифрующие свой программный код для максимальной скрытности и невозможности его обнаружения антивирусами. Потом они расшифровываются, заражают файлы и снова кодируются. («Elvira», «Trile»)

Полиморфные вирусы. Крайне опасные вирусы, не содержащие в себе ни одного постоянного участка кода, тем самым становится крайне затруднительно его идентифицировать. Т.е. такие вирусы шифруют себя каждый раз по-новому и для их обнаружения, используется специальные методы («Chameleon», «Tequila», «Phantom1», «Dedicated», « Tuareg», «Marburg»)

Неопасные вирусы. Не наносят особого вреда компьютеру. Кроме уменьшения свободной памяти на диске, мешают тем, что сопровождаются звуками, картинками и подобными эффектами, что отвлекает от работы. Информация останется нетронутой, но вы можете столкнуться с такими явлениями как выскакивающие картинки или сообщения, внезапно заигравшая мелодия или перезагрузка компьютера через определенные промежутки времени. («Yankee»)

Вирус-червь. Вирус способный к размножению, поражает систему, заполоняя ее своими многочисленными копиями. Эти вирусы не способны поражать программы путем изменения ее кода. Червя можно легко обнаружить с помощью антивирусной программы. («Internet Worm», «Cristmas Tree», «Homer», «Lovgate.F», «Trile.C», «Mapson»)

Троянский конь. Чаще этот вид вирусов именуют просто «троян». Вредоносная программа, которая поначалу «прикидывается» безвредной, но потом начинает свое разрушительное воздействие. А действие это заключается в в нескольких видах. Вид первый, занимается заражением и порчей файлов на диске. Вид второй, начинает высылать всю информация на определенный сервер через интернет. В высланной информации, может быть не только ваши файлы, но и пароли, адреса и прочая информация, которая вводилась в компьютер. Кроме этого, некоторые трояные, начинают загружать на ваш компьютер, различные не нужные вам файлы, музыку, картинки, видео и программы. Некоторые хакеры, могут удаленно управлять вашим компьютером, посредством «трояна». Троян не запуститься на компьютере, пока вы сами его не запустите, именно поэтому, часто он выглядит как обычная программа, которую вы скачали с интернета, например. («Aids»,«Trifor» , «IRC.Sx2»)

Анти-антивирусный вирус. Вредоносная программа, которая специализируется на поражении антивирусных программ.

Дроппер. Так называют файл содержащий вирус. Такой файл способен скрывать наличие вируса от антивирусных программ.

Итак, можно сделать выводы, что подхватить вирус возможно либо через съемные зараженные носители информации (диски, флешки и т.п.), либо через компьютерную сеть. В целях предосторожности не пользуйтесь непроверенными дисками и другими носителями, в сети не открывайте подозрительные ссылки. Следует знать, что вирусы могут поражать только компьютерные программы, при этом ваши колонки, мышь, клавиатура и монитор останутся нетронутыми. Вы можете подозревать наличие вируса в своем компьютере, если вдруг программы начинают вести себя странно, выполнять действия, команду которым вы не давали, некоторые программы перестают работать, выводится текст посторонних сообщений, компьютер начинает постоянно «виснуть» и замедляется ход работы. Что же делать в таком случае? Если вы обнаружили вирус, когда он уже активировался, нужно немедленно выключить компьютер. Для лечения зараженного компьютера лучше обратиться к профессионалам, если вы сами не обладаете достаточными знаниями в данной области. Всегда пользуйтесь антивирусными программами, которые помогают обнаружить вирус, а также вылечить пораженный объект, на самой ранней стадии, еще до активации вредоносной программы. Подробнее об антивирусных программах, в следующий раз, в другой теме.