Так что же такой вирус?

Вирус — это саморазмножающаяся программа. Многие вирусы вообще ничего разрушительного не делают с вашим ПК, часть вирусов, например, делает небольшую пакость: выводит на экран какую-нибудь картинку, запускает ненужные сервисы, открывает интернет-странички для взрослых и пр.. Но есть и те, которые могут вывести ваш компьютер из строя, отформатировав диск, или испортив Bios материнской платы.

Для начала, наверное, стоит разобраться с самыми популярными мифами о вирусах, гуляющими по сети.

1. Антивирус — защита от всех вирусов

К сожалению, это не так. Даже имея навороченный антивирус с последней базой — вы не застрахованы от вирусной атаки. Тем не менее, от известных вирусов вы будете боле-менее защищены, угрозу будут представлять только новые, неизвестные антивирусной базе.

2. Вирусы распространяются с любыми файлами

Это не так. Например, с музыкой, видео, картинками — вирусы не распространяются. Но часто бывает так, что вирус маскируется под эти файлы, заставляя неопытного пользователя ошибиться и запустить зловредную программу.

3. Если вы заразились вирусом — ПК под серьезной угрозой

Это тоже не так. Большинство вирусов вообще ничего не делают. Им достаточно того, что они просто заражают программы. Но в любом случае, обратить на это внимание стоит: по крайней мере, проверить весь компьютер антивирусом с последней базой. Если заразились одним — то почему не могли вторым?!

4. Не пользоваться почтой — гарантия безопасности

Боюсь, это не поможет. Бывает такое, что по почте вам приходят письма с незнакомых адресов. Лучше всего просто не открывать их, сразу удаляя и очищая корзину. Обычно вирус идет в письме в качестве вложения, запустив которое, ваш ПК будет заражен. Защитится достаточно легко: не открывать письма от незнакомцев… Так же не лишним будет настроить антиспам-фильтры.

5. Если вы скопировали зараженный файл — вы заразились

Вообще, пока вы не запустите исполняемый файл, вирус, как и обычный файл, просто будет лежать у вас на диске и ничего плохого вам не сделает.

Виды компьютерных вирусов

Самые первые вирусы (история)

История эта началась примерно в 60-70 годах в некоторых лабораториях США. На ЭВМ, помимо обычных программ, были еще и те, которые работали сами по себе, никем не управляемые. И все бы ничего, если бы они сильно не нагружали ЭВМ и не расходовали ресурсы попусту.

Через какой-то десяток лет, к 80-м годам, таких программ было уже несколько сотен. В 1984 году появился и сам термин «компьютерный вирус».

Такие вирусы, обычно никак свое присутствие от пользователя не скрывали. Чаще всего мешали ему работать, показывая какие-нибудь сообщения.

В 1985 году появился первый опасный (и главное быстро распространяемый) компьютерный вирус Brain. Хотя, написан он был из благих намерений — наказать пиратов, незаконно копирующих программы. Вирус срабатывал только на нелегальных копиях софта.

Наследники вируса Brain просуществовали еще около десятка лет и потом их поголовье стало резко снижаться. Действовали они не хитро: просто записывали свое тело в файл программы, тем самым он увеличивался в размерах. Антивирусы быстро научились определять размер и находить зараженные файлы.

Программные вирусы

Вслед за вирусами, прикреплявшимися в тело программы, стали появляться новые виды — в виде отдельной программы. Но, основная сложность в том, как заставить пользователя запустить такую зловредную программу? Оказывается, очень просто! Достаточно назвать ее какой-нибудь ломалкой для программы и выложить в сеть. Многие просто скачают, и несмотря на все предупреждения антивируса (если такой имеется) — все равно запустят…

В 1998-1999 г. мир содрогнулся от опаснейшего вируса — Win95.CIH. Он выводил из строя Bios материнской платы. Тысячи компьютеров по всему миру были выведены из строя.

Вирус, распространяемый через вложения к письмам.

В 2003 г. вирус SoBig смог заразить сотни тысяч компьютеров, благодаря тому, что сам прикреплялся к письмам, отправляемые пользователем.

Основная борьба с такими вирусами: регулярное обновление ОС Windows, установка антивируса. Так же отказаться от запуска любых программ, полученных из сомнительных источников.

Макровирусы

Многие пользователи, наверное, и не подозревают, что кроме исполняемых файлов exe или com, вполне реальную угрозу могут нести и обычные файлы из Microsoft Word или Excel. Как такое возможно? Просто в эти редакторы в свое время был встроен язык программирования VBA, для того, чтобы можно было дописывать макросы в качестве дополнения к документам. Тем самым, если заменить их на свой макрос — вполне может получиться вирус…

Сегодня, почти все версии офисных программ, перед запуском документа из незнакомого источника, обязательно вас переспросят, а точно ли хотите запустить макросы из этого документа, и если нажать на кнопку «нет» — то ничего не произойдет, если даже документ был с вирусом. Парадокс заключается в том, что большинство пользователей сами нажимают на кнопку «да»…

Одним из самых известных макровирусов, можно считать Mellis’y, пик которой пришелся на 1999г. Вирус заражал документы и через почту Outlook отправлял вашим друзьям письмо с зараженной начинкой. Таким образом, за небольшой срок им оказалось заражены десятки тысяч компьютеров по всему миру!

Скриптовые вирусы

Макровирусы, как определенный вид, входят в группу скриптовых вирусов. Суть здесь в том, что не только Microsoft Office использует в своих продуктах скрипты, но и другие программные пакеты их содержат. Например, Media Player, Internet Explorer.

Большая часть таких вирусов распространяется посредством вложения в письма, через электронную почту. Часто вложения маскируются под какую-нибудь новомодную картинку или музыкальную композицию. В любом случае, не запускайте и лучше даже не открывайте вложения с незнакомых адресов.

Часто пользователей вводит в заблуждение расширение файлов… Ведь, давно известно, что картинки безопасны, тогда почему нельзя открыть на почте картинку, которую прислали… По умолчанию проводник не показывает расширения файлов. И если вы видите название картинки, вроде «interesnoe.jpg» — это не означает, что у файла именно такое расширение.

Для того, чтобы видеть расширения, включите следующую опцию.

Покажем на примере Windows 7. Если зайти в любую папку и нажать «упорядочить/параметры папок и поиска» можно попасть в меню «вид». Там то и есть наша заветная галочка.

Убираем галочку на опции «скрывать расширения для зарегистрированных типов файлов», а так же еще включите функцию «показа скрытых файлов и папок».

Теперь, если взглянуть на присланную вам картинку, вполне может оказаться, что «interesnoe.jpg» вдруг стала «interesnoe.jpg.vbs». Вот, собственно и весь фокус. Многие начинающие пользователи не раз попадались на эту ловушку, да и будут попадаться еще…

Основная защита от скриптовых вирусов заключается в своевременном обновлении ОС и антивируса. Так же отказ от просмотра подозрительных писем, тем более, которые содержат непонятные файлы… Кстати, не лишним будет регулярно делать резервное сохранение важных данных. Тогда вы на 99,99% будете защищены от любых угроз.

Троянские программы

Этот вид хоть и был отнесен к вирусам, но непосредственно им не является. Их проникновение на ваш ПК во многом схожа с вирусами, только задачи у них разные. Если у вируса задача заразить как можно больше компьютеров и выполнить действие по удалению, открытию окон и пр. — то у троянской программы, как правило, одна цель — скопировать ваши пароли от различных сервисов, узнать какую-нибудь информацию. Часто бывает так, что троянской программой могут управлять через сеть, и по приказу хозяина она вмиг может перезагрузить ваш ПК, или, что еще хуже, удалить какие-нибудь файлы.

Так же стоит отметить и еще одну особенность. Если вирусы частенько заражают другие исполняемые файлы, троянцы этим не занимаются, это самодостаточная отдельная программа, которая работает сама по себе. Часто она маскируется под какой-нибудь системный процесс, чтобы начинающему пользователю было трудно ее выловить.

Чтобы не стать жертвой троянов, во-первых, не качайте никаких файлов, вроде взлом интернета, взлом каких то программ и т.д. Во-вторых, помимо антивируса, понадобиться еще специальная программа, например: The Cleaner, Trojan Remover, AntiViral Toolkit Pro и др. В-третьих, не лишним будет установка фаервола (программа, контролирующая доступ в интернет других приложений), с ручной настройкой, где все подозрительные и неизвестные процессы будут блокироваться вами. Если троянская программа не получит выхода в сеть — пол дела уже сделано, по крайней мере, ваши пароли никуда не уплывут…

Подводя итог, хочется сказать, что все принятые меры и рекомендации будут бесполезны, если пользователь сам из любопытства будет запускать файлы, отключать антивирусные программы и пр. Парадокс в том и состоит, что заражение вирусами происходит в 90% случаев по вине самого владельца ПК. Ну а чтобы не стать жертвой тех 10% — достаточно иногда производить резервное сохранение файлов. Тогда можно быть уверенным практически на все 100, что все будет ОК!

История

Основная статья: История компьютерных вирусов

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.

Первыми известными вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты — CHK4BOMB и BOMBSQAD авторства Энди Хопкинса (англ. Andy Hopkins). В начале 1985 года Ги Вонг (англ. Gee Wong) написал программу DPROTECT — первый резидентный антивирус.

Первые вирусные эпидемии относятся к 1986-1989 годам: Brain (распространялся в загрузочных секторах дискет, вызвал крупнейшую эпидемию), Jerusalem (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске), червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток), DATACRIME (около 100 тысяч заражённых ПЭВМ только в Нидерландах).

Тогда же оформились основные классы двоичных вирусов: сетевые черви (червь Морриса, 1987), «троянские кони» (AIDS, 1989), полиморфные вирусы (Chameleon, 1990), стелс-вирусы (Frodo, Whale, 2-я половина 1990).

Параллельно оформляются организованные движения как про-, так и антивирусной направленности: в 1990 году появляются специализированная BBS Virus Exchange, «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига, первый коммерческий антивирус Symantec Norton AntiVirus.

В 1992 году появились первый конструктор вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а также готовые полиморфные модули (MtE, DAME и TPE) и модули шифрования для встраивания в новые вирусы.

В несколько последующих лет были окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а также испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II — 1991, PMBS, Shadowgard, Cruncher — 1993). Кроме того, появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Office получили распространение макровирусы (Concept, 1995).

В 1996 году появился первый вирус для Windows 95 — Win95.Boza, а в декабре того же года — первый резидентный вирус для неё — Win95.Punch.

С распространением сетей и Интернета файловые вирусы всё больше ориентируются на них как на основной канал работы (ShareFun, 1997 — макровирус MS Word, использующий MS-Mail для распространения; Win32.HLLP.DeTroie, 1998 — семейство вирусов-шпионов; Melissa, 1999 — макровирус и сетевой червь, побивший все рекорды по скорости распространения). Эру расцвета «троянских коней» открывает утилита скрытого удалённого администрирования BackOrifice (1998) и последовавшие за ней аналоги (NetBus, Phase).

Вирус Win95.CIH достиг апогея в применении необычных методов, перезаписывая FlashBIOS заражённых машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).

В конце 1990-x — начале 2000-x годов с усложнением ПО и системного окружения, массовым переходом на сравнительно защищённые Windows семейства NT, закреплением сетей как основного канала обмена данными, а также успехами антивирусных технологий в обнаружении вирусов, построенных по сложным алгоритмам, последние стали всё больше заменять внедрение в файлы на внедрение в операционную систему (необычный автозапуск, руткиты) и подменять полиморфизм огромным количеством видов (число известных вирусов растет экспоненциально).

Вместе с тем обнаружение в Windows и другом распространённом ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам. В 2004 году беспрецедентные по масштабам эпидемии вызывают MsBlast (по данным Microsoft, более 16 млн систем), Sasser и Mydoom (оценочные ущербы 500 млн и 4 млрд долл. соответственно).

Кроме того, монолитные вирусы в значительной мере уступают место комплексам вредоносного ПО с разделением ролей и вспомогательными средствами (троянские программы, загрузчики/дропперы, фишинговые сайты, спам-боты и пауки). Также расцветают социальные технологии — спам и фишинг — как средство заражения в обход механизмов защиты ПО.

В начале на основе троянских программ, а с развитием технологий p2p-сетей — и самостоятельно — набирает обороты самый современный вид вирусов — черви-ботнеты (Rustock, 2006, ок. 150 тыс. ботов; Conficker, 2008—2009, более 7 млн ботов; Kraken, 2009, ок. 500 тыс. ботов). Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.

Этимология названия

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения. По-видимому, впервые слово «вирус» по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford) в фантастическом рассказе «Человек в шрамах», опубликованном в журнале Venture в мае 1970 года.

Термин «компьютерный вирус» впоследствии не раз «открывался» и переоткрывался. Так, переменная в подпрограмме PERVADE (1975), от значения которой зависело, будет ли программа ANIMAL распространяться по диску, называлась VIRUS. Также вирусом назвал свои программы Джо Деллинджер, и, вероятно, это и было то, что впервые было правильно обозначено как вирус.

Формальное определение

Нет общепринятого определения вируса. В академической среде термин был употреблён Фредом Коэном в его работе «Эксперименты с компьютерными вирусами», где он сам приписывает авторство термина Леонарду Адлеману.

Формально вирус определён Фредом Коэном со ссылкой на машину Тьюринга следующим образом:

M : (SM, IM, OM : SM x IM > IM, NM : SM x IM > SM, DM : SM x IM > d)

с заданным множеством состояний SM, множеством входных символов IM и отображений (OM, NM, DM), которая на основе своего текущего состояния s ∈ SM и входного символа i ∈ IM, считанного с полубесконечной ленты, определяет: выходной символ o ∈ IM для записи на ленту, следующее состояние машины s’ ∈ SM и движения по ленте d ∈ {-1,0,1}.

Для данной машины M последовательность символов v : vi ∈ IM может быть сочтена вирусом тогда и только тогда, когда обработка последовательности v в момент времени t влечёт за собой то, что в один из следующих моментов времени t последовательность v′ (не пересекающаяся с v) существует на ленте, и эта последовательность v′ была записана M в точке t′, лежащей между t и t″:

∀ CM ∀ t ∀ j: SM(t) = SM0 ∧ PM(t) = j ∧ { CM(t, j) … CM(t, j + |v| — 1)} = v ⇒ ∃ v’ ∃ j’ ∃ t’ ∃ t»: t < t» < t’ ∧ {j’ … j’ +|v’|} ∩ {j … j + |v|} = ∅ ∧ { CM(t’, j’) … CM(t’, j’ + |v’| — 1)} = v’ ∧ PM(t») ∈ { j’ … j’ + |v’| — 1 }

где:

• t ∈ N число базовых операций «перемещения», осуществлённых машиной
• PM ∈ N номер позиции на ленте машины в момент времени t
• SM0 начальное состояние машины
• CM(t, c) содержимое ячейки c в момент времени t

Данное определение было дано в контексте вирусного множества VS = (M, V) — пары, состоящей из машины Тьюринга M и множества последовательностей символов V: v, v’ ∈ V. Из данного определения следует, что понятие вируса неразрывно связано с его интерпретацией в заданном контексте, или окружении.

Фредом Коэном было показано, что «любая самовоспроизводящаяся последовательность символов: одноэлементный VS, согласно которой существует бесконечное количество VS, и не-VS, для которых существуют машины, по отношению к которым все последовательности символов является вирусом, и машин, для которых ни одна из последовательностей символов не является вирусом, даёт возможность понять, когда любая конечная последовательность символов является вирусом для какой-либо машины». Он также приводит доказательство того, что в общем виде вопрос о том, является ли данная пара (M, X) : Xi ∈ IM вирусом, неразрешим (то есть не существует алгоритма, который мог бы достоверно определить все вирусы) теми же средствами, которыми доказывается неразрешимость проблемы остановки.

Другие исследователи доказали, что существуют такие типы вирусов (вирусы, содержащие копию программы, улавливающей вирусы), которые не могут быть безошибочно определены ни одним алгоритмом.

Классификация

Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через локальные и глобальные (Интернет) сети. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

• по поражаемым объектам (файловые вирусы, загрузочные вирусы, сценарные вирусы, макровирусы, вирусы, поражающие исходный код);
• файловые вирусы делят по механизму заражения: паразитирующие добавляют себя в исполняемый файл, перезаписывающие невосстановимо портят заражённый файл, «спутники» идут отдельным файлом.
• по поражаемым операционным системам и платформам (DOS, Windows, Unix, Linux, Android);
• по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
• по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, сценарный язык и др.);
• по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

Распространение

Через Интернет, локальные сети и съёмные носители.

Механизм

Вирусы распространяются, копируя своё тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск через реестр и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды, — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплойтом, использующим уязвимость.

После того как вирус успешно внедрился в коды программы, файла или документа, он будет находиться в состоянии сна, пока обстоятельства не заставят компьютер или устройство выполнить его код. Чтобы вирус заразил ваш компьютер, необходимо запустить заражённую программу, которая, в свою очередь, приведёт к выполнению кода вируса. Это означает, что вирус может оставаться бездействующим на компьютере без каких-либо симптомов поражения. Однако, как только вирус начинает действовать, он может заражать другие файлы и компьютеры, находящиеся в одной сети. В зависимости от целей программиста-вирусописателя, вирусы либо причиняют незначительный вред, либо имеют разрушительный эффект, например удаление данных или кража конфиденциальной информации.

Каналы

• Дискеты. Самый распространённый канал заражения в 1980—1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
• Флеш-накопители («флешки»). В настоящее время USB-накопители заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играют мобильные телефоны, особенно смартфоны (появились мобильные вирусы). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.
• Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
• Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.
• Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.
• Интернет и локальные сети (черви). Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удалённо загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Противодействие обнаружению

Во времена MS-DOS были распространены стелс-вирусы, перехватывающие прерывания для обращения к операционной системе. Вирус таким образом мог скрывать свои файлы из дерева каталогов или подставлять вместо заражённого файла исходную копию.

С широким распространением антивирусных сканеров, проверяющих перед запуском любой код на наличие сигнатур или выполнение подозрительных действий, этой технологии стало недостаточно. Скрытие вируса из списка процессов или дерева каталогов для того, чтобы не привлекать лишнее внимание пользователя, является базовым приёмом, однако для борьбы с антивирусами требуются более изощрённые методы. Для противодействия сканированию на наличие сигнатур применяется шифрование кода и полиморфизм. Эти техники часто применяются вместе, поскольку для расшифрования зашифрованной части вируса необходимо оставлять расшифровщик незашифрованным, что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяют полиморфизм — модификацию последовательности команд, не изменяющую выполняемых действий. Это возможно благодаря весьма разнообразной и гибкой системе команд процессоров Intel, в которой одно и то же элементарное действие, например сложение двух чисел, может быть выполнено несколькими последовательностями команд.

Также применяется перемешивание кода, когда отдельные команды случайным образом разупорядочиваются и соединяются безусловными переходами. Передовым фронтом вирусных технологий считается метаморфизм, который часто путают с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция — расшифровать основное тело вируса после внедрения, то есть после того, как его код будет проверен антивирусом и запущен. Он не содержит самого полиморфного движка, который находится в зашифрованной части вируса и генерирует расшифровщик. В отличие от этого, метаморфный вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код.

Профилактика и лечение

В настоящий момент существует множество антивирусных программ, используемых для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:

1. Не работать под привилегированными учётными записями без крайней необходимости (учётная запись администратора в Windows).
2. Не запускать незнакомые программы из сомнительных источников.
3. Стараться блокировать возможность несанкционированного изменения системных файлов.
4. Отключать потенциально опасную функциональность системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.).
5. Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.
6. Пользоваться только доверенными дистрибутивами.
7. Постоянно делать резервные копии важных данных, желательно на носители, которые не стираются (например, BD-R) и иметь образ системы со всеми настройками для быстрого развёртывания.
8. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

Криминализация

Создателю вируса Scores, нанесшего в 1988 ущерб пользователям компьютеров Macintosh, не было предъявлено обвинений, поскольку его действия не подпадали под имеющийся на тот момент в США закон Computer Fraud and Abuse Act либо другие законы. Этот случай привёл к разработке одного из первых законов, имеющих отношение к компьютерным вирусам: Computer Virus Eradication Act (1988). Сходным образом создатель самого разрушительного вируса ILOVEYOU в 2000 году избежал наказания из-за отсутствия на Филиппинах соответствующих ситуации законов.

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в некоторых странах как отдельный вид правонарушений: в России согласно Уголовному кодексу РФ (глава 28, статья 273), в США согласно Computer Fraud and Abuse Act, в Японии. Во многих странах, однако, создание вирусов само по себе не является преступлением, и нанесенный ими вред подпадает под более общие законы о компьютерных правонарушениях.

> См. также

• Троянская программа
• Хронология компьютерных вирусов и червей

Примечания

1. А.Савицкий. Опрос: Самая непонятная киберугроза. Лаборатория Касперского (10 февраля 2014).
2. McIlroy et al. Darwin, a Game of Survival of the Fittest among Programs Архивировано 9 августа 2005 года.
3. Вирус RCE-1813 (Jerusalem — Иерусалим)
4. George Smith. The Original Anti-Piracy Hack SecurityFocus, 12 августа 2002
5. AlgoNet — Эпидемия MSBlast оказалась гораздо обширнее, чем предполагалось
6. Cost of Sasser is $500m and counting… Silicon.com
7. The Scarred Man Архивная копия от 27 сентября 2011 на Wayback Machine (англ.)
8. Fred Cohen. Computer Viruses — Theory and Experiments (англ.) Архивировано 21 марта 2011 года.
9. Коэн Ф. Компьютерные вирусы — теория и эксперименты Архивная копия от 30 сентября 2007 на Wayback Machine (рус.)
10. Leonard Adleman. An Abstract Theory of Computer Viruses (англ.) Архивировано 29 октября 2005 года.
11. Цитируется по: Diomidis Spinellis. Reliable Identification of Bounded-length Viruses is NP-complete Архивировано 29 октября 2005 года. IEEE Transactions on Information Theory, 49(1), pp. 280—284, January 2003
12. 1 2 Fred Cohen. Computational aspects of computer viruses Архивировано 21 февраля 2006 года. Computers & Security, vol. 8, № 4, pp. 325—344, June 1989
13. Alan M. Turing. On computable numbers, with an application to the Entscheidungs Problem. Proceedings of the London Mathematical Society, vol. 2, № 42, pp. 230—265, 1936, Corrections in 2(43): pp. 544—546
14. Billy Belcebu. Метаморфизм Архивная копия от 5 июля 2011 на Wayback Machine Xine#4, перев. с англ. v0id
15. Виталий Камлюк. Ботнеты (недоступная ссылка — история ). Вирусная энциклопедия. Лаборатория Касперского (13 мая 2008). Дата обращения 13 декабря 2008.
16. Роман Боровко. Экономический ущерб от вирусов. Рынок информационной безопасности 2003. CNews-Аналитика. Дата обращения 13 декабря 2008. Архивировано 22 августа 2011 года.
17. Charles Ritstein. Virus Legislation // Executive Guide to Computer Viruses. — NCSA, 1992.
18. Jody R. Westby. Laws on Crimes against Computer Systems // International Guide to Combating Cybercrime. — ABA Publishing, 2003.
19. Legislation Criminalizing Creation of Computer Viruses Enacted
20. Авторы: Thomas J Holt,Adam M Bossler,Kathryn C Seigfried-Spellar. Legal challanges in dealing with malware // Cybercrime and Digital Forensics: An Introduction. — New York: Routledge, 2015. — С. 103.

Механизмы распространения

Все механизмы («векторы атаки») распространения червей делятся на две большие группы:

• Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. Червь Морриса использовал известные на тот момент уязвимости в программном обеспечении, а именно в почтовом сервере sendmail, сервисе finger и подбирал пароль по словарю. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.
• Используя средства так называемой социальной инженерии, провоцируется запуск вредоносной программы самим пользователем. Чтобы убедить пользователя в том, что файл безопасен, могут подключаться недостатки пользовательского интерфейса программы — например, червь VBS.LoveLetter использовал тот факт, что Outlook Express скрывает расширения файлов. Данный метод широко применяется в спам-рассылках, социальных сетях и т. д.

Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.

Скорость распространения

Скорость распространения сетевого червя зависит от многих факторов: от топологии сети, алгоритма поиска уязвимых компьютеров, средней скорости создания новых копий.

Для сетевых червей, распространяющихся по сети путём непосредственного использования протоколов TCP/IP, то есть, с любого IP-адреса на любой другой, характерно стремительное распространение. При условии, что каждый экземпляр червя достоверно знает адрес ранее незараженного узла сети, возможно экспоненциальное размножение. Например, если каждый экземпляр заражает один компьютер в секунду, все адресное пространство IPv4 будет заполнено червем за полминуты. Гипотетический червь, который был бы способен распространяться с такой скоростью, получил наименование «блицкриг-червя». Исследователем Н.Уивером из университета Беркли рассмотрены несложные субоптимальные алгоритмы, которые могли бы позволить червю, размножаясь несколько медленнее, тем не менее заразить Интернет за 15 минут. Червь такого типа получил наименование «червь Уорхола» — в честь Энди Уорхола, автора изречения:

В будущем каждый получит шанс на 15 минут славы

Эпидемия червя SQL Slammer, заразившего в 2003 г. более 75000 серверов за 10 минут, была близка к этой модели распространения.

Тем не менее, подавляющее большинство червей используют гораздо менее эффективные алгоритмы. Экземпляры типичного червя ищут уязвимые узлы сети методом проб и ошибок — случайным образом. В этих условиях кривая его размножения соответствует решению дифференциального уравнения Ферхюльста и приобретает «сигмовидный» характер. Корректность такой модели была подтверждена в 2001 году во время эпидемии червя CodeRed II. За 28 часов червь заразил около 350000 узлов сети, причем в последние часы скорость его распространения была довольно мала — червь постоянно «натыкался» на ранее уже зараженные узлы.

В условиях активного противодействия со стороны антивирусов, удаляющих экземпляры червя и вакцинирующих систему (то есть делающих её неуязвимой), кривая эпидемии должна соответствовать решению системы уравнений Кермака-Маккендрика с острым, почти экспоненциальным началом, достижением экстремума и плавным спадом, который может продолжаться неделями. Такая картина, действительно, наблюдается в реальности для большинства эпидемий.

Вид кривых размножения для червей, использующих почтовые протоколы (SMTP), выглядит примерно так же, но общая скорость их распространения на несколько порядков ниже. Связано это с тем, что «почтовый» червь не может напрямую обратиться к любому другому узлу сети, а только к тому, почтовый адрес которого присутствует на зараженной машине (например, в адресной книге почтового клиента Outlook Express). Продолжительность «почтовых» эпидемий может достигать нескольких месяцев.

Структура

Черви могут состоять из различных частей.

Часто выделяют так называемые резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик, как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивирусного программного обеспечения или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы по локальной сети, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (к примеру, DoS-атаки).

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или Интернет-браузера добровольно скачивает и запускает червя целиком.

Способы защиты

По причине того, что сетевые черви для своего проникновения в систему пользователя используют уязвимости в стороннем программном обеспечении или операционной системе, использования сигнатурных антивирусных мониторов недостаточно для защиты от червей. Также, при использовании методов социальной инженерии пользователя под благовидным предлогом вынуждают запустить вредоносную программу, даже несмотря на предупреждение со стороны антивирусного программного обеспечения. Таким образом, для комплексного обеспечения защиты от современных червей, и любых других вредоносных программ, необходимо использование проактивной защиты. Рассматривается также способ защиты от сетевых червей на основе «кредитов доверия». Ряд преимуществ дает применение межсетевых экранов и подобных им утилит (например, Windows Worms Doors Cleaner)

> См. также

• Хронология компьютерных вирусов и червей
• Многовекторный червь

1. Воронцов В. В., Котенко И. В. Анализ механизмов обнаружения и сдерживания эпидемий сетевых червей на основе «кредитов доверия» // Известия высших учебных заведений. Приборостроение. — 2015. — № (том 58).

Сетевой червь на Викискладе

• Климентьев К.Е. Компьютерные вирусы и антивирусы: взгляд программиста. — М.: ДМК-Пресс, 2013. С. 656. ISBN 978-5-94074-885-4
• John Shoch, Jon Hupp The ‘Worm’ Programs — Early Experience with a Distributed Computation» (англ.), Communications of the ACM, March 1982 Volume 25 Number 3, pp. 172–180, ISSN 0001—0782
• Nicholas C. Weaver Warhol Worms: The Potential for Very Fast Internet Plagues
• RFC 1135 (англ.)— The Helminthiasis of the Internet

Инфекционное вредоносное ПО

Методы сокрытия

Вредоносные программы
для прибыли

По операционным системам

Защита

Контрмеры

Распространение программного обеспечения

Лицензии

Модели дохода

Методы доставки

• On-premises
• Pre-installed
• Бандл
• SaaS (Software on-demand)
• Software plus services

Обманные/незаконные

Прочее

Классификация и способы

Основной признак различия между сетевыми червями – это способ, каким зловреды распространяются на удаленные компьютеры. Выделяют две группы механизмов распространения. К первой группе относятся способы, использующие ошибки администрирования и уязвимости в ПО. Вредоносы в автоматическом режиме выбирают компьютерные машины и атакуют их.

• Репликация на сетевые ресурсы. Червь находит удаленные ПК, повторяет себя в разных каталогах, в которых можно осуществлять запись. Поиск каталогов выполняется с помощью функций операционной системы. Возможно попадание в любой ноутбук или персональный компьютер, выбранный в Интернете, и попытки открытия дисков на полноценный доступ.
• Репликация через уязвимость операционной системы, программ и приложений. Черви ищут машины с уязвимым ПО, отправляют запрос/сетевой пакет, обеспечивая попадание кода в машину жертвы.
• Репликация в ресурсы общего пользования. Червь попадает на сервер, изменяет файлы и ожидает, пока пользователь их скачает и запустил уже на своем компьютере.
• Паразитирование на других вредоносах. Если черви находят для атаки ПК с другим вредоносом, например, бэкдором, то они используют его для собственного распространения.
• Вторую группу механизмов распространения составляет социальная инженерия. В результате пользователь сам запускает вредонос. Представителями этой группы являются:

• Почтовые черви – Email-Worm – расходятся по сети в виде приложений к сообщениям электронной почты. Это может быть копия вредителя или ссылка на файл, размещенный на хакерском веб-ресурсе. Для активации полученного кода достаточно открытия полученного файла, а при получении ссылки – нажатие на нее для перехода. Адреса, куда будут отправлены письма с копиями червя, берутся из адресной книги, из адресной базы WAB, из разных файлов, имеющихся на диске и содержащих адреса.
• IM-черви – IM-Worm – это вредоносы, пользующиеся интернет-мессенджеры. Они имеют один способ распространения, который заключается в рассылке сообщений по всему списку контактов мессенджера. Письма содержат зараженный URL на файл, размещенный на каком-либо сайте. Это способ распространения полностью похож на предыдущий — Email-Worm.
• Зловреды в IRC-каналах – IRC-Worm – это черви, распространяющиеся по IRC-каналам двумя способами. Они такие же, как и у почтовых вредоносов – рассылка писем с инфицированным вложением, со ссылкой на дубликат.
• Черви для файлообмеников – Р2Р-Worm – это вредоносные программы, которые распространяются вместе со скачиваемыми файлами из торрент-треккеров и других файлообменников. Механизм распространения состоит во внедрении копии в каталог обмена файлами, находящийся на локальном устройстве. Дальше зловред выкладывает свою копию в сеть Р2Р под видом популярного контента, сообщая пользователям о файле и предоставляя возможность скачать его с зараженной машины.
• Сетевые черви (Network worms) – Net-Worm – иные вредоносы, проникающие в системы через локальные сети.

Анализ риска

Для защиты машин от сетевых червей необходимо использовать:

• антивирусные программы;
• межсетевые экраны.
• антиспам;
• обновленные и современные операционные системы.

На сегодняшний день специалисты в сфере кибербезопасности насчитывают свыше 10 млн известных сигнатур компьютерных вирусов.

Точкой отсчета появления первых компьютерных вирусов определен 1981 год, когда для компьютеров Apple появились первые программы, выполняющие свои действия без ведома пользователя. Считается, что компьютерные вирусы выросли из субкультуры начала 60-х, носящей название Core War (Бои в памяти). В те далекие времена первые студенты ИТ-шники соревновались друг с другом с помощью специально написанных программ. Эти программы запускались в памяти компьютера и должны были найти и удалить все другие программы конкурентов.

Многими ошибочно предполагается, что субкультура Core War берет свое начало из игры для программистов «Дарвин», выпущенной компанией Bell Labs в 1961 году или даже из аркадной разработки Core War университетом Западного Онтарио в 1984 году. Все это ошибочно, так как эти «песочницы» предоставляли пользователям лишь ограниченный функционал подобных развлечений. А вот настоящие игроки «Боев в памяти» во всю использовали технологии полиморфности, стелс, самовоспроизведения и копирования. Все это потом как раз и послужило шаблонами для первых компьютерных вирусов. Сегодня Notagram.ru вспоминает самые известные и деструктивные компьютерные вирусы нашей эпохи.

Самые опасные и известные компьютерные вирусы

Morris worm

дата появления: 2 ноября 1988 года

«Великий червь», а именно так называют первый сетевой червь хакеры всего мира, в 1998 году парализовал 10% всей инфраструктуры ARPANET. Студент MIT Роберт Моррис создал первую компьютерную программу, которая сканировала сеть, копировала себя на компьютеры и пыталась подобрать пароли к системе по словарю из 400 слов. Создатель вредоносного кода не учел несколько нюансов, из-за которых вирус мгновенно распространился по сети и остановил работу около 6 200 компьютеров. Многие считают, что если бы Роберт Моррис не сознался в том, что вирус создал именно он, виновника никогда бы не нашли. Уж больно гениально было творение 23-летнего студента, получившего впоследствии первый в мире срок за киберпреступление.

CIH

дата появления: июнь 1988 год

В годовщину Чернобыльской аварии 26 апреля 1999 года около полумиллиона персональных компьютеров по всему миру просто не включились. Виной всему был компьютерный вирус CIH, который полностью уничтожал все данные на жестких дисках зараженных компьютеров или стирал содержимое микросхемы BIOS. Это была одна из самых первых и масштабных эпидемий, которая носила в себе деструктивный характер вредоносного ПО. Спустя 2 года тайваньская полиция арестовала создателя «Чернобыля» Чэнь Инхао, который на момент создания вируса был студентом университета Датун в Тайбэе.

ILOVEYOU

дата появления: 4 мая 2000 года

Первый компьютерный вирус, использующий механизмы социальной инженерии позволил его создателям за пару дней заразить около 3 млн компьютеров по всему миру. Эпидемия вируса нанесла ущерб мировой экономике на 15 млрд долларов. Вредоносное ПО представляло собой скрипт, написанный на Microsoft Visual Basic. Если ваш компьютер был заражен, то скрипт, используя вашу почтовую адресную книгу, пересылал себя всем вашим контактам. Пользователи нажимали на интересное вложение, чтобы прочитать, кто же им там признается в любви. И заражали свою систему. Создатели вируса филиппинцы Ренел Рамонс и Онел де Гузман не понесли наказания за свои действия, так как на Филиппинах в то время не предусматривалось наказание за преступления в сфере ИТ.

Klez

дата появления: 26 октября 2001 года

Klez благодаря своим особым способностям породил целую пандемию в 2002 году. Это один из первых сетевых червей, который использовал при своих атаках технологии полиморфности, подавления антивирусного ПО, интеллектуального самораспространения, спуфинга и т. д. Антивирусные компании признали его самым опасным вирусом того времени. Для того чтобы удалить Klez с зараженного компьютера, необходимо было отключать компьютер от сети, загружать компьютер в безопасном режиме, запускать специальное ПО, а затем устанавливать специальные «заплатки» от Microsoft. Создателей вируса так и не нашли, но специалисты в сфере киберпреступлений считают, что за созданием Klez стояла очень хорошо организованная структура, с которыми раньше правоохранители никогда не сталкивались.

Blaster (Lovesan)

дата появления: 11 августа 2003 года

Весьма мутная история стоит за появлением компьютерного червя Lovesan. Все дело в том, что в июле 2003 года на конференции Xfocus был опубликован отчет об уязвимости в процедурах RPC операционных систем Windows. Как показывают несколько инцидентов, которые расследовались на тот момент, эту уязвимость давно использовали для DoS-атак на коммерческие серверы США. Все эти атаки были возможны только из-за того, что на тот момент не существовало «заплатки» от вирусов, использующих эту технологию. Вскоре появился вирус Blaster, якобы созданный американским школьником Джеффри Ли Парсоном. Вирус направленно осуществлял DoS-атаки на серверы компании Microsoft. Некоторые считают, что Blaster был одним из первых вирусов, используемых в коммерческих кибервойнах. Якобы одна из жертв DoS-атак специально заказала написание Blaster, чтобы Microsoft наконец-то выпустила заплатку от этой уязвимости. А школьника Джеффри Ли Парсона использовали просто как «козла отпущения».

Storm worm

дата появления: 17 января 2007 года

Считается, что компьютерный червь Storm до момента его обнаружения в 2007 году, успешно создал самый крупный на то время ботнет, использовавшийся для коммерческого кибертерроризма. С помощью зараженных компьютеров его создатели воровали любую информацию, устраивали целенаправленные DoS-атаки на коммерческие сайты, проводили рассылку спама. Вирус Storm был написан высококлассными специалистами (предположительно имеющими российские корни), которые заложили в свое детище огромный функционал. Для заражения и распространения вирус применял передовые технологии и методы. На момент обнаружения вируса, ботнет насчитывал около миллиона активных компьютеров-зомби.

TDL3

дата появления: 2007-2008 год

Впервые сигнатуры вируса семейства TDL были обнаружены «Лабораторией Касперского» еще в апреле 2008 года. Тогда еще никто толком не понимал, что и как делает вирус. А уже спустя пару лет с помощью адаптивного руткита TDL3 была создана сеть из более чем 10 млн компьютеров. 9 ноября 2011 года власти США обвинили в создании руткита TDL3 шести граждан Эстонии и одного гражданина России. Их обвинили в создании ботнета, с помощью которого создатели руткита и владельцы интернет ресурсов накручивали себе посетителей, манипулировали результатами поисковой выдачи, обманывали счетчики рекламы, топили с помощью «черного SEO» конкурентов и т. д. Примечательно, что никому из клиентов владельцев сети TDL так и не предъявили обвинения даже в мошенничестве.

Conficker

дата появления: 21 ноября 2008 года

Всего лишь за один день этот червь поразил до 12 миллионов компьютеров во всем мире. Сотни тысяч коммерческих и правительственных организаций оказались полностью парализованными. В тот же день, впервые в истории, все крупные корпорации, так или иначе связанные с компьютерной безопасностью, объединили свои усилия по ликвидации сетевого червя. Специалисты в области компьютерной безопасности считают, что за созданием этого вируса стояли уже несколько организованных групп, а не одиночки. С помощью своих ноу-хау им удалось создать один из самых деструктивных вирусов в истории. Общий ущерб от Conficker оценивают в $ 10 млрд.

Stuxnet

дата появления: 2009-2010 год

Чем дальше и больше развивались компьютерные технологии, тем больше специалисты в сфере кибербезопасности понимали, что мир уже никогда не будет прежним. 17 июня 2010 года Сергей Уласень из белорусской компании «ВирусБлокАда» обнаруживает уникальный программный код, который перехватывал и модифицировал любую информацию между программируемыми промышленными контроллерами. И все бы ничего, если бы эти контроллеры не были установлены на ключевых инфраструктурных объектах в масштабах целых государств. Скандал был колоссальный, так как оказалось, что первый в мире вирус военного назначения Stuxnet успешно атаковал и физически разрушил ядерную инфраструктуру Ирана.

WannaCry

дата появления: 16 января 2017 года

12 мая 2017 года около миллиона компьютеров более чем в 200 странах мира подверглись настоящей спланированной и целенаправленной атаке. Большинство крупных коммерческих организаций и правительственных учреждений не смогли включить свои компьютеры. На экране красовалась надпись, предлагающая заплатить выкуп. В противном случае вся информация на компьютере уничтожалась. Код WannaCry послужил основой для создания около десятка похожих вирусов. Они в той или иной степени угрожали работе правительственным и инфраструктурным объектам стран Европы и постсоветского пространства. По оценкам независимых финансовых экспертов, реальный ущерб от WannaCry оценивается в районе в $ 10 млрд.

18 самых опасных компьютерных вирусов за все время

1. Anna Kournikova (2001)

Вирус Anna Kournikova получил такое название неспроста — получатели думали, что они загружают фотографии сексуальной теннисистки. Финансовый ущерб от вируса был не самым значительным, но вирус стал очень популярен в массовой культуре, в частности о нем упоминается в одном из эпизодов сериала Друзья 2002 года.

2. Sasser (2004)

В апреле 2004 года Microsoft выпустила патч для системной службы LSASS (сервер проверки подлинности локальной системы безопасности). Немного позже немецкий подросток выпустил червь Sasser, который эксплуатировал эту уязвимость на не обновленных машинах. Многочисленные вариации Sasser появились в сетях авиакомпаний, транспортных компаний и медицинских учреждений, вызвав ущерб на 18 миллиардов долларов.

3. Melissa (1999)

Названный в честь стриптизерши из Флориды, вирус Melissa был разработан для распространения посредством отправки вредоносного кода 50 первым контактам в адресной книге Microsoft Outlook жертвы. Атака была настолько успешной, что вирус заразил 20 процентов компьютеров по всему миру и нанес ущерб на 80 миллионов долларов.

Создатель вируса Дэвид Смит (David L.Smith) был арестован ФБР, провел 20 месяцев в тюрьме и заплатил 5000 долларов штрафа.

4. Zeus (2009)

В то время как большинство вредоносных программ нашего списка вызывали неприятности Zeus (aka Zbot) изначально был инструментом, используемым организованной преступной группировкой.

Троян использовал приемы фишинга и кейлоггинга для кражи банковских аккаунтов у жертв. Зловред успешно похитил 70 миллионов долларов со счетов жертв.

5. Storm Trojan (2007)

Storm Trojan стал одной из самых быстро распространяющихся угроз, ведь за три дня после его выхода в январе 2007, он достиг 8-процентного уровня заражения компьютеров по всему миру.

Троян создавал массивный ботнет от 1 до 10 миллионов компьютеров, и за счет своей архитектуры изменения кода каждый 10 минут, Storm Trojan оказался очень стойким зловредом.

6. ILOVEYOU (2000)

Червь ILOVEYOU (Письмо счастья) маскировался под текстовый файл от поклонника.

На самом деле любовное письмо представляло серьезную опасность: в мае 2000 года угроза распространилась на 10 процентов подключенных к сети компьютеров, вынудив ЦРУ отключить свои серверы, чтобы предотвратить дальнейшее распространение. Ущерб оценивается в 15 миллиардов долларов.

7. Sircam (2001)

Как многие ранние вредоносные скрипты, Sircam использовал методы социальной инженерии, чтобы вынудить пользователей открыть вложение электронной почты.

Червь использовал случайные файлы Microsoft Office на компьютере жертвы, инфицировал их и отправлял вредоносный код контактам адресной книги. Согласно исследованию Университета Флориды, Sircam нанес 3 миллиарда долларов ущерба.

8. Nimda (2001)

Выпущенному после атак 11 сентября 2001 года червю Nimda многие приписывали связь с Аль-Каидой, однако это никогда не было доказано, и даже генеральный прокурор Джон Эшкрофт отрицал всякую связь с террористической организацией.

Угроза распространялась по нескольким векторам и привела к падению банковских сетей, сетей федеральных судов и других компьютерных сетей. Издержки по очистке Nimda превысили 500 миллионов долларов в первые несколько дней.

9. SQL Slammer/Sapphire (2003)

Занимавший всего 376 байт, червь SQL Slammer содержал большое количество разрушений в компактной оболочке. Червь отключал Интернет, колл-центры экстренных служб, 12000 банкоматов Bank of America и отключил от Интернета большую часть Южной Кореи. Червь также смог отключить доступ к глобальной паутине на АЭС в Огайо.

10. Michaelangelo (1992)

Вирус Michaelangelo распространился на относительно небольшое количество компьютеров и вызвал небольшой реальный ущерб. Однако, концепция вируса, предполагающая “взорвать компьютер” 6 марта 1992 года вызвала массовую истерию среди пользователей, которая повторялась еще каждый год в эту дату.

11. Code Red (2001)

Червь Code Red, названный в честь одного из разновидностей напитка Mountain Dew, инфицировал треть набора веб-серверов Microsoft IIS после выхода.

Он смог нарушить работоспособность сайта whitehouse.gov, заменив главную страницу сообщением “Hacked by Chinese!”. Ущерб от действия Code Red по всему миру оценивается в миллиарды долларов.

12. Cryptolocker (2014)

На компьютерах, зараженных Cryptolocker, зашифровывались важные файлы и требовался выкуп. Пользователи, которые заплатили хакерам более 300 миллионов долларов в биткоинах получили доступ к ключу шифрования, остальные потеряли доступ к файлам навсегда.

13. Sobig.F (2003)

Троян Sobig.F инфицировал более 2 миллионов компьютеров в 2003 году, парализовав работу авиакомпании Air Canada и вызвав замедление в компьютерных сетях по всему миру. Данный зловред привел к 37,1 миллиардным затратам на очистку, что является одной из самых дорогих кампаний по восстановлению за все время.

14. Skulls.A (2004)

Skulls.A (2004) является мобильным трояном, который заражал Nokia 7610 и другие устройства на SymbOS. Вредоносная программа была предназначена для изменения всех иконок на инфицированных смартфонах на иконку Веселого Роджера и отключения всех функций смартфона, за исключением совершения и приема вызовов.

По данным F-Secure Skulls.A вызвал незначительный ущерб, но троян был коварен.

15. Stuxnet (2009)

Stuxnet является одним из самых известных вирусов, созданных для кибер-войны. Созданный в рамках совместных усилий Израиля и США, Stuxnet был нацелен на системы по обогащению урана в Иране.

Зараженные компьютеры управляли центрифугами до их физического разрушения, и сообщали оператору, что все операции проходят в штатном режиме.

16. MyDoom (2004)

В апреле 2004 MyDoom был назван порталом TechRepublic “худшим заражением за все время”, на что есть вполне разумные причины. Червь увеличил время загрузки страниц на 50 процентов, блокировал зараженным компьютерам доступ к сайтам антивирусного ПО и запускал атаки на компьютерного гиганта Microsoft, вызывая отказы обслуживания.

Кампания по очистке от MyDoom обошлась в 40 миллиардов долларов.

17. Netsky (2004)

Червь Netsky, созданный тем же подростком, который разработал Sasser, прошелся по всему миру с помощью вложений электронной почты. P-версия Netsky была самым распространенным червем в мире спустя два года после запуска в феврале 2004 года.

18. Conficker (2008)

Червь Conficker (известный также как Downup, Downadup, Kido) был впервые обнаружен в 2008 и был предназначен для отключения антивирусных программ на зараженных компьютерах и блокировки автоматических обновлений, который могли удалять угрозу.

Conficker быстро распространился по многочисленным сетям, включая сети оборонных ведомств Великобритании, Франции и Германии, причинив 9-миллиардный ущерб.

Перевод Comss.ru. По материалам TechRepublic

Нашли опечатку? Выделите и нажмите Ctrl+Enter

Каким бывает компьютерный вирус ?

Также как и вирус биологический, компьютерный вирус способен причинить компьютеру серьёзный ущерб. Вирус – это инфекция, которую система может «подхватить» несколькими способами. Его отличие от прочих зловредов (с технической точки зрения) – способность размножаться, от компьютера к компьютеру. Так что формально вирус – лишь капля в море вредоносного программного обеспечения. Но в числе прочего, самыми распространёнными угрозами в сети можно считать:

Почтовый вирус. Этот компьютерный вирус закрепляется хакером за электронным письмом, пересылаемым жертвам. Скорее всего, вирус, по аналогии с биологическим собратом, будет размножаться и рассылать самого себя по адресам, которые указаны в вашей адресной книге. Ваши друзья открывают письмо, полученное с вашего адреса, и проблемы начинают нарастать словно ком снега. Некоторые вирусы способны запускаться даже если вы не просматриваете вложенные файлы.

Троян. На манер знаменитого троянского коня. Это не компьютерный вирус как таковой. Как и мифологический прообраз, троян выдаёт себя за нечто, вам крайне нужное, таковым, как вы уже догадались, совсем не являясь. Но запустившись также выполняет самый обширный спектр задач вплоть до полного затирания всех данных на винчестере. Сам размножаться троян не способен.

Червь. Определённый тип программного обеспечения (в России не менее известный как «малварь» – от англ. malware ), которые используют бреши в программном обеспечении и сетях также служа различным целям. Обычно червь сканирует определённую сеть на наличие компьютеров с определённой брешью в защите, затем копирует самого себя, устанавливаясь в систему, и так продолжается бесконечно.

Хотите проверить на скорую руку, защищён ли ваш компьютер? Читайте как.

Как компьютерный вирус работает ?

Здесь инструментарий вредоносов чрезвычайно широк. Некоторые живут пока работает родительское приложение, некоторым лишь стоит оказаться на вашем компьютере, и они полностью захватывают над ним власть, продолжая инфицирование сети, к которой компьютер подключен. Некоторые созданы лишь для того, чтобы испортить настроение пользователю, перегружая процессор и в итоге просто выключая компьютер. Так, пользователи часто страдают от отказа системы из-за поддельной или заражённой системной службы svchost.

Можно выделить несколько фаз работы антивируса:

• Стадия инфицирования. Вирус дублирует самого себя, прикрепляясь к некоему исполнительному файлу .exe системы. Ему не обязательно изменять код программы (он этого часто и не умеет – к чему такие сложности?). Задача закрепиться в точке входа, чтобы при следующем запуске программы запускался сначала вирус, а потом и сама программа:

• Фаза атаки. Здесь происходят либо:

1. Активация пользователем (запуск программы)
2. Срабатывание заложенного триггера (например, некое число или время)
3. Размножение и начало активной деятельности (удаляются файлы и замедляется работа системы в текущей сессии – так происходит, если вирус выполнил запрограммированную задачу)