- •1. Brain, 1986 год: первый вирус, вызвавший эпидемию
- •2. Jerusalem, 1988 год: в пятницу 13-ого удалял все данные с жесткого диска
- •3. Червь Морриса, 1988 год: вывел из строя весь интернет
- •4. Michelangelo («March6»), 1992 год: сыграл на руку антивирусным компаниям
- •5. Cih, «Win95.Cih» или «Чернобыль», 1998 год: заразил до полумиллиона пк
- •6. Melissa, 1999 год: массово засорил корпоративную почту
- •7. I Love You, Loveletter, The Love Bug, 2000 год: «романтик», нанесший ущерб на 5,5 миллиарда долларов
- •8. Nimda, 2001 год: первый вирус-«администратор»
- •9. My Doom, 2004 год: чемпион по скорости распространения
- •10. Conficker, 2008 год: 12 миллионов жертв
- •11. Win32/Stuxnet, 2010 год: первый, заразивший промышленные системы
- •1. Среда обитания
- •2. Используемая операционная система.
- •3. Алгоритмы работы.
- •1. Антивирусные сканеры.
- •2. Антивирусные мониторы.
- •3. Ревизоры изменений.
- •4. Иммунизаторы.
- •5. Поведенческие блокираторы.
1. Антивирусные сканеры.
Пионер антивирусного движения - программа-сканер, появившаяся на свет практически одновременно с самими компьютерными вирусами. Принцип работы сканера заключается в просмотре всех файлов, загрузочных секторов и памяти с цепью обнаружения в них вирусных сигнатур, то есть уникального программного кода вируса.
Главный недостаток сканера - неспособность отслеживать различные модификации вируса. К примеру, существует несколько десятков вариантов вируса "Melissa", и почти для каждого из них антивирусным компаниям приходилось выпускать отдельное обновление антивирусной базы.
Отсюда вытекает и вторая проблема: на время между появлением новой модификации вируса и выходом соответствующего антивируса пользователь остается практически незащищенным. Правда, позднее эксперты придумали и внедрили в сканеры оригинальный алгоритм обнаружения неизвестных вирусов - эвристический анализатор, который проверял код программы на возможность присутствия в нем компьютерного вируса. Однако этот метод имеет высокий уровень ложных срабатываний, недостаточно надежен и, кроме того, не позволяет ликвидировать обнаруженные вирусы.
И, наконец, третий недостаток антивирусного сканера - он проверяет файлы только тогда, когда вы его об этом "попросите", то есть запустите программу. Между тем пользователи очень часто забывают проверять сомнительные файлы, загруженные, например, из Интернета, и в результате своими собственными руками заражают компьютер. Сканер способен определить факт заражения только после того, как в системе уже появился вирус.
2. Антивирусные мониторы.
По своей сути антивирусные мониторы - это разновидность сканеров. Но в отличие от последних они постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.
3. Ревизоры изменений.
Работа этого вида антивирусных программ основана на снятии оригинальных "отпечатков" (CRC-сумм) с файлов и системных секторов. Эти "отпечатки" сохраняются в базе данных. При следующем запуске ревизор сверяет "отпечатки" с их оригиналами и сообщает пользователю о произошедших изменениях.
У ревизоров изменений тоже есть недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того как вирус разошелся по компьютеру. Во-вторых, они не могут обнаружить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии, или при распаковке файлов из архива), поскольку в базах данных ревизоров информация об этих файлах отсутствует. Этим и пользуются некоторые вирусы, заражая только вновь создаваемые файлы и оставаясь, таким образом, невидимыми для ревизоров. В-третьих, ревизоры требуют регулярного запуска - чем чаще это делать, тем надежнее будет контроль за вирусной активностью.