Компьютерные вирусы и методы борьбы с ними

Компьютерный вирус — вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

Как правило, целью вируса является нарушение работы программно-аппаратных комплексов: удаление файлов, приведение в негодность структур размещения данных, блокирование работы пользователей или же приведение в негодность аппаратных комплексов компьютера и т. п. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы, как правило, занимают место на накопителях информации и потребляют некоторые другие ресурсы системы.

В обиходе «вирусами» называют всё вредоносное ПО, хотя на самом деле это лишь один его вид.

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения. По-видимому, впервые слово «вирус» по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford) в фантастическом рассказе «Человек в шрамах», опубликованном в журнале Venture в мае1970 года.

Термин «компьютерный вирус» впоследствии не раз «открывался» и переоткрывался. Так, переменная в подпрограмме PERVADE (1975), от значения которой зависело, будет ли программа ANIMAL распространяться по диску, называлась VIRUS. Также, вирусом назвал свои программы Джо Деллинджер и, вероятно, это и было то, что впервые было правильно обозначено как вирус.

Классификация вредоносных программ (по версии лаборатории Касперского)

По вредоносной нагрузке

• Помехи в работе заражённого компьютера: начиная от открытия-закрытия поддона CD-ROM и заканчивая уничтожением данных и поломкой аппаратного обеспечения. Поломками известен, в частности, Win32.CIH.
  • Блокировка антивирусных сайтов, антивирусного ПО и административных функций ОС с целью усложнить лечение.
  • Саботирование промышленных процессов, управляемых компьютером (этим известен червь Stuxnet).
• Инсталляция другого вредоносного ПО.
  • Загрузка из сети (downloader).
  • Распаковка другой вредоносной программы, уже содержащейся внутри файла (dropper).
• Кража, мошенничество, вымогательство и шпионаж за пользователем. Для кражи может применяться сканирование жёсткого диска, регистрация нажатий клавиш (Keylogger) и перенаправление пользователя на поддельные сайты, в точности повторяющие исходные ресурсы.
  • Похищение данных, представляющих ценность или тайну.
  • Кража аккаунтов различных служб (электронной почты, мессенджеров, игровых серверов…). Аккаунты применяются для рассылки спама. Также через электронную почту зачастую можно заполучить пароли от других аккаунтов, а виртуальное имущество в MMOG — продать.
  • Кража аккаунтов платёжных систем.
  • Блокировка компьютера, шифрование файлов пользователя с целью шантажа и вымогательства денежных средств (см. Ransomware). В большинстве случаев после оплаты компьютер или не разблокируется, или вскоре блокируется второй раз.
  • Использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах.
  • Платное ПО, имитирующее, например, антивирус, но ничего полезного не делающее (fraudware или scareware (англ.)русск.; см. тж лжеантивирус).
• Прочая незаконная деятельность:
  • Получение несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером (так называемый backdoor).
  • Организация на компьютере открытых релеев и общедоступных прокси-серверов.
  • Заражённый компьютер (в составе ботнета) может быть использован для проведения DDoS-атак.
  • Сбор адресов электронной почты и распространение спама, в том числе в составе ботнета.
  • Накрутка электронных голосований, щелчков по рекламным баннерам.
  • Генерация монет платёжной системы Bitcoin.
• Файлы, не являющиеся истинно вредоносными, но в большинстве случаев нежелательные:
• Шуточное ПО, делающее какие-либо беспокоящие пользователя вещи.
• Adware — программное обеспечение, показывающее рекламу.
• Spyware — программное обеспечение, посылающее через интернет не санкционированную пользователем информацию.
• «Отравленные» документы, дестабилизирующие ПО, открывающее их (например, архив размером меньше мегабайта может содержать гигабайты данных и надолго «завесить» архиватор).
• Программы удалённого администрирования могут применяться как для того, чтобы дистанционно решать проблемы с компьютером, так и для неблаговидных целей.
• Руткит нужен, чтобы скрывать другое вредоносное ПО от посторонних глаз.
• Иногда вредоносное ПО для собственного «жизнеобеспечения» устанавливает дополнительные утилиты: IRC-клиенты, программные маршрутизаторы,открытые библиотеки перехвата клавиатуры… Такое ПО вредоносным не является, но из-за того, что за ним часто стоит истинно вредоносная программа, детектируется антивирусами. Бывает даже, что вредоносным является только скрипт из одной строчки, а остальные программы вполне легитимны.

По методу размножения

• Эксплойт — теоретически безобидный набор данных (например, графический файл или сетевой пакет), некорректно воспринимаемый программой, работающей с такими данными. Здесь вред наносит не сам файл, а неадекватное поведение ПО с ошибкой. Также эксплойтом называют программу для генерации подобных «отравленных» данных.
• Логическая бомба в программе срабатывает при определённом условии, и неотделима от полезной программы-носителя.
• Троянская программа не имеет собственного механизма размножения.
• Компьютерный вирус размножается в пределах компьютера и через сменные диски. Размножение через сеть возможно, если пользователь сам выложит заражённый файл в сеть. Вирусы, в свою очередь, делятся по типу заражаемых файлов (файловые, загрузочные, макро-, автозапускающиеся); по способу прикрепления к файлам (паразитирующие, «спутники» и перезаписывающие) и т. д.
• Сетевой червь способен самостоятельно размножаться по сети. Делятся на IRC-, почтовые, размножающиеся с помощью эксплойтов и т. д.

Вредоносное ПО может образовывать цепочки: например, с помощью эксплойта (1) на компьютере жертвы развёртывается загрузчик (2), устанавливающий из интернета червя

История

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.

Первыми известными вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты —CHK4BOMB и BOMBSQAD авторства Энди Хопкинса (англ. Andy Hopkins). В начале 1985 года Ги Вонг (англ. Gee Wong) написал программу DPROTECT — первыйрезидентный антивирус.

Первые вирусные эпидемии относятся к 1986—1989 годам: Brain.A (распространялся в загрузочных секторах дискет, вызвал крупнейшую эпидемию), Jerusalem (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске), червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток), DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).

Тогда же оформились основные классы двоичных вирусов: сетевые черви (червь Морриса, 1987), «троянские кони» (AIDS, 1989), полиморфные вирусы (Chameleon, 1990), стелс-вирусы (Frodo, Whale, 2-я половина 1990).

Параллельно оформляются организованные движения как про-, так и антивирусной направленности: в 1990 году появляются специализированная BBS Virus Exchange, «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига, первый коммерческий антивирус Symantec Norton AntiVirus.

В 1992 году появились первый конструктор вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а также готовые полиморфные модули (MtE, DAME и TPE) и модули шифрования для встраивания в новые вирусы.

В несколько последующих лет были окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а также испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II — 1991, PMBS, Shadowgard, Cruncher — 1993). Кроме того, появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Officeполучили распространение макровирусы (Concept, 1995).

В 1996 году появился первый вирус для Windows 95 — Win95.Boza, а в декабре того же года — первый резидентный вирус для неё — Win95.Punch.

С распространением сетей и Интернета файловые вирусы всё больше ориентируются на них как на основной канал работы.

Обнаружение в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам. В 2004 году беспрецедентные по масштабам эпидемии вызывают MsBlast (по данным Microsoft — более 16 млн систем), Sasser и Mydoom (оценочные ущербы 500 млн и 4 млрд долл. соответственно.

В начале на основе троянских программ, а с развитием технологий p2p-сетей — и самостоятельно — набирает обороты самый современный вид вирусов — черви-ботнеты (Rustock, 2006, ок. 150 тыс. ботов; Conficker, 2008—2009, более 7 млн ботов; Kraken, 2009, ок. 500 тыс. ботов). Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.

Типы вирусов

Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

• • по поражаемым объектам (файловые вирусы, загрузочные вирусы, сценарные вирусы, макровирусы, вирусы, поражающие исходный код);
• • файловые вирусы делят по механизму заражения: паразитирующие добавляют себя в исполняемый файл, перезаписывающие невосстановимо портят заражённый файл, «спутники» идут отдельным файлом.
• • по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);
• • по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
• • по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, сценарный язык и др.);
• • по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

Механизм распространения

Через интернет, локальные сети и съемные носители.

Вирусы распространяются, копируя своё тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

Каналы распространения

• • Дискеты. Самый распространённый канал заражения в 1980—1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
• • Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играютмобильные телефоны, особенно смартфоны (появились мобильные вирусы). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.
• • Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
• • Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.
• • Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого:скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.
• • Интернет и локальные сети (черви). Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. • Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Признаки заражения

• • автоматическое открытие окон с незнакомым содержимым при запуске компьютера;
• • блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ;
• • появление новых неизвестных процессов в выводе диспетчера задач (например, окне «Процессы» диспетчера задач Windows);
• • появление в ветках реестра, отвечающих за автозапуск, новых записей;
• • запрет на изменение настроек компьютера в учётной записи администратора;
• • невозможность запустить исполняемый файл (выдаётся сообщение об ошибке);
• • появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;
• • перезапуск компьютера во время старта какой-либо программы;
• • случайное и/или беспорядочное отключение компьютера;
• • случайное аварийное завершение программ.
• • подача непредусмотренных звуковых сигналов;
• • неожиданное открытие и закрытие лотка CD-ROM-устройства;
• • произвольный запуск на компьютере каких-либо программ;
• • появление предупреждений о самопроизвольной попытке какой-либо программы компьютера выйти в Интернет.

При проявлении описанных признаков с большой степенью вероятности можно предположить, что компьютер поражен вирусом. Кроме того, есть характерные признаки поражения вирусом через электронную почту:

• • друзьям или знакомым приходят сообщения от вас, которые вы не отправляли;
• • в почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

Следует отметить, что не всегда такие признаки вызываются присутствием вирусов, иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.

Имеются косвенные признаки заражения компьютера:

• • частые зависания и сбои в работе компьютера;
• • медленная работа компьютера при запуске программ;
• • невозможность загрузки операционной системы;
• • исчезновение файлов и каталогов или искажение их содержимого;
• • частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
• • Интернет-браузер ведет себя неожиданным образом (например, окно программы невозможно закрыть).

В 90% случаев наличие косвенных признаков вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку компьютера установленной на нем антивирусной программой

Однако следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.

Жизнь - борьба

Абсолютной защиты от вредоносных программ не существует: от «эксплойтов нулевого дня» наподобие Sasser или Conficker не застрахован никто. Но с помощью некоторых мер можно существенно снизить риск заражения вредоносными программами. Ниже перечислены основные и наиболее эффективные меры для повышения безопасности:

• • использовать операционные системы, не дающие изменять важные файлы без ведома пользователя;
• • своевременно устанавливать обновления;
  • если существует режим автоматического обновления, включить его;
  • для проприетарного ПО: использовать лицензионные копии. Обновления для двоичных файлов иногда конфликтуют со взломщиками;
• • помимо антивирусных продуктов, использующих сигнатурные методы поиска вредоносных программ, использовать программное обеспечение, обеспечивающеепроактивную защиту от угроз (необходимость использования проактивной защиты обуславливается тем, что сигнатурный антивирус не замечает новые угрозы, ещё не внесенные в антивирусные базы). Однако, его использование требует от пользователя большого опыта и знаний;
• • постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере и изменить системные настройки. Но это не защитит персональные данные от вредоносных (Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, ransomware [шифрующий файлы], шпионского ПО) и потенциально-нежелательных программ (Adware, Hoax), имеющих доступ к файлам пользователя, к которым ограниченная учетная запись имеет разрешение на запись и чтение (например, домашний каталог — подкаталоги /home в GNU/Linux, Documents and settings в Windows XP, папка «Пользователи» в Windows 7,8,8.1,10), к любым папкам, в которые разрешена запись и чтение файлов, или интерфейсу пользователя (как делают пользовательские программы для создания снимков экрана или изменения раскладки клавиатуры);
• • ограничить физический доступ к компьютеру посторонних лиц;
• • использовать внешние носители информации только от проверенных источников на рабочем компьютере;
• • не открывать компьютерные файлы, полученные от ненадёжных источников, на рабочем компьютере;
• • использовать межсетевой экран (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;
• • использовать второй компьютер (не для работы) для запуска программ из малонадежных источников, на котором нет ценной информации, представляющей интерес для третьих лиц;
• • делать резервное копирование важной информации на внешние носители и отключать их от компьютера (вредоносное ПО может шифровать или ещё как-нибудь портить найденные им файлы).

Следует придерживаться некоторых мер предосторожности, в частности:

1. • Не работать под привилегированными учётными записями без крайней необходимости. (Учётная запись администратора в Windows)
2. • Не запускать незнакомые программы из сомнительных источников.
3. • Стараться блокировать возможность несанкционированного изменения системных файлов.
4. • Отключать потенциально опасную функциональность системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.).
5. • Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.
6. • Пользоваться только доверенными дистрибутивами.
7. • Постоянно делать резервные копии важных данных, желательно на носители, которые не стираются (например, BD-R) и иметь образ системы со всеми настройками для быстрого развёртывания.
8. • Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

Антивирусы

Антивирус Касперского — это программа предназначена для обычных пользователей и очень простая в использования для продвинутых пользователей. Максимальная независимая испытательная лаборатория дала им очень высокий рейтинг. Данная антивирусная программа обладает удобным пользовательским интерфейсом и охватывает все этапы онлайн и офлайн защиты для компьютера или ноутбука. Почасовое обновление базы данных если есть подключение к интернету.

Norton Antivirus является одним из самых возрастных и популярных антивирусных программ для компьютерной безопасности. Их последняя версия позволяет отображать беспроводную домашнюю сеть и гарантирует безопасные сетевые соединения Wi-Fi в режиме реального времени. Они обеспечивают ежедневное обновления вирусной базы, но очень плохую поддержку P2P File Sharing и реестра Startup защиты компьютера.

AVG является одним из старейших и широко используемых антивирусных программ безопасности. Они предлагают удобный и понятный пользовательский интерфейс для обычных пользователей, где заранее пользователи могут использовать их заготовленные функции. Это позволяет осуществить мульти защиту в поисковых системах.

McAfee является одной из первых антивирусных программ которая была введена в ранний период. У них есть 2 слоя защиты системы, такие как ScriptStopper и WormStopper, но они имеют низкую поддержку P2P совместного использования файлов, Instant Messenger (чат) и реестр Startup сканирования.

Dr.Web (Доктор Веб) — общее название семейства программного антивирусного ПО для различных платформ (Windows, OS X, Linux, мобильные платформы) и линейки программно-аппаратных решений (Dr.Web Office Shield), а также решений для обеспечения безопасности всех узлов корпоративной сети (Dr.Web Enterprise Suite). Разрабатывается компанией «Доктор Веб».

Продукты предоставляют защиту от вирусов, троянского, шпионского и рекламного ПО, червей, руткитов, хакерских утилит, программ-шуток, а также неизвестных угроз с помощью различных технологий реального времени и превентивной защиты.

ESET NOD32 — антивирусный пакет, выпускаемый словацкой фирмой ESET. Первая версия была выпущена в конце 1987 года. Название изначально расшифровывалось как «Nemocnica na Okraji Disku» («Больница на краю диска», перефраз названия популярного тогда в Чехословакии телесериала «Больница на окраине города»).

NOD32 — это комплексное антивирусное решение для защиты в реальном времени. ESET NOD32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, фишинг-атаки. В ESET NOD32 используется патентованная технология ThreatSense, предназначенная для выявления новых возникающих угроз в реальном времени путём анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.

Microsoft Security Essentials (MSE) — бесплатный пакет антивирусных приложений от компании Microsoft, предназначенный обеспечивать борьбу с различными вирусами, шпионскими программами, руткитами и троянскими программами. Данное программное обеспечение работает только на компьютерах, где установлена копия Windows Vista,Windows 7), прошедшая валидацию. Антивирус Microsoft Security Essentials пришёл на замену Windows Live OneCare (коммерческая антивирусная программа от Microsoft)/

Ложные антивирусы или как его еще называют - лже-антивирусы, сегодня являются одним из активно набирающих популярность способов интернет-мошенничества. Суть его заключается в том, чтобы заставить пользователя заплатить деньги за программу, которая якобы удалит с компьютера очень опасные вирусы и защитит в дальнейшем ПК пользователя от различных угроз. И все бы ничего, если бы программа, которую предлагалось купить не была бы "пустышкой". На западе такой вид программного обеспечения называют Rogue Anti-Virus (или rogueware) - ложное ПО.

Ложный антивирус - это программа, которая маскируется под настоящий антивирус. При этом, заплатив за нее деньги, пользователь в лучшем случае получает абсолютно бесполезную утилиту, в худшем - самый настоящий настоящий вирус или троян, который крадет у него данные кредитных карт и прочую конфиденциальную информацию. Устанавливая лже-антирус на ПК, вы по сути добровольно заражаете свой компьютер.

Типичные представители ложных антивирусов известны под именами: Online Antivirus XP-Vista 2009, XP Antivirus 2009, Vista Antivirus 2008, Doctor Antivirus, Virus Remover 2009, Personal Antivirus, Malware Doctor и другими.