5. Компьютерные вирусы и антивирусные программы
По мере развития и модернизации компьютерных систем и программного обеспечения возрастает объем и повышается уязвимость хранящихся в них данных. Одним из новых факторов, резко повысивших эту уязвимость, является массовое производство программно-совместимых мощных персональных ЭВМ, которое явилось одной из причин появления нового класса программ-вандалов - компьютерных вирусов. Наибольшая опасность, возникающая в связи с опасностью заражения программного обеспечения компьютерными вирусами, состоит в возможности искажения или уничтожения жизненно-важной информации, которое может привести не только к финансовым и временным потерям, но и вызвать человеческие жертвы.
5.1. Компьютерный вирус
Компьютерный вирус—это специально написанная, небольшая по размерам программа (т. е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере [8].
Вирусы относят к вредоносным программам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет. Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).
Так как вирус самостоятельно обеспечивает свое размножение и распространение, пользователь, в случае обнаружения вируса, должен проверить всю систему, уничтожая копии вируса. Если удалось уничтожить все копии вируса, то можно сказать, что вылечена вся система; в противном случае, уцелевшие копии снова размножатся и все неприятности повторятся.
Своим названием компьютерные вирусы обязаны определенному сходству с биологическими вирусами по [9]:
• способности к саморазмножению;
• высокой скорости распространения;
• избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем);
• способности «заражать» еще незараженные системы;
• трудности борьбы с вирусами и т. д.
В последнее время к этим особенностям, характерным для вирусов компьютерных и биологических, можно добавить еще и постоянно увеличивающуюся быстроту появления модификаций и новых поколений вирусов.
Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.
Общепринятого формального определения вируса нет. В академической среде термин был употреблен Фредом Коэномв его работе «Эксперименты с компьютерными вирусами», со ссылкой наМашину Тьюринга, следующим образом [7]:
M : (SM, IM, OM : SM x IM > IM, NM : SM x IM > SM, DM : SM x IM > d)
с заданным множеством состояний SM, множеством входных символовIMи отображений(OM, NM, DM), которая на основе своего текущего состоянияs ∈ SMи входного символаi ∈ IM, считанного с полубесконечной ленты, определяет: выходной символo ∈ IMдля записи на ленту, следующее состояние машиныs' ∈ SMи движения по лентеd ∈ {-1,0,1}.
Для данной машины M, последовательность символовv : vi ∈ IMможет быть сочтена вирусом тогда и только тогда, когда обработка последовательностиvв момент времениt, влечет за собой то, что в один из следующих моментов времениt, последовательностьv′(не пересекающаяся сv) существует на ленте, и эта последовательностьv′была записанаMв точкеt′, лежащей междуtиt″. Из данного определения следует, что понятие вируса неразрывно связано с его интерпретацией в заданном контексте — окружении.
Другие исследователи доказали, что существуют такие типы вирусов (вирусы, содержащие копию программы, детектирующей вирусы), которые не могут быть безошибочно определены ни одним алгоритмом.
Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий [9].
Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half незаметно шифрует данные на жестком диске. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-II разразилась в 1991. году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств.
Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними боролась. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате действий этого вируса были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов [7].
Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия. Термин «компьютерный вирус» появился позднее — официально его автором считается сотрудник Лехайского университета (США) Ф.Коэн, который ввел его в 1984 году на 7-й конференции по безопасности информации.
Сегодня компьютерный вирус, это совсем не та безобидная программка, которой являлся первый написанный вирус. Если раньше вирусы использовались ради развлечения, то на сегодняшний день такие программы пишутся профессионалами с целью нанесения крупного ущерба или кражи средств с электронных счетов.