- •Теоретические сведения
- •Компьютерные вирусы
- •Наказание
- •Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений
- •Статья 146. Нарушение авторских и смежных прав
- •Статья 272. Неправомерный доступ к компьютерной информации
- •Статья 273. Создание, использование и распространение вредоносных программ для эвм
- •Статья 274. Нарушение правил эксплуатации эвм, системы эвм или их сети
Компьютерные вирусы
Компьютерным вирусом принято называть специально написанную, небольшую по размерам программу, способную самопроизвольно присоединяться к другим программам (т.е. заражать их), создавать свои копии и внедрять их в файлы, системные области компьютера и в другие, объединенные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.
Признаки появления вирусов
Для маскировки вируса его действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со "странностями". К признакам появления вируса можно отнести:
• замедление работы компьютера;
• невозможность загрузки операционной системы;
• частые «зависания» и сбои в работе компьютера;
• прекращение работы или неправильная работа ранее успешно функционировавших программ;
• увеличение количества файлов на диске;
• изменение размеров файлов;
• периодическое появление на экране монитора неуместных системных сообщений;
• уменьшение объема свободной оперативной памяти;
• заметное возрастание времени доступа к жесткому диску;
• изменение даты и времени создания файлов;
• разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);
• загорание сигнальной лампочки дисковода, когда к нему
нет обращения.
• внезапное и несанкционированное изменение настроек браузера
• необычные всплывающие окна и другие сообщения
• неожиданный несанкционированный дозвон в интернет
• самопроизвольное блокирование антивирусной программы
• невозможность загрузки файлов с веб-сайтов антивирусных компаний
• необоснованные на первый взгляд сбои в работе операционной системы или других программ
• почтовые уведомления с заслуживающих доверие сайтов об отправке пользователем инфицированных сообщений
Надо заметить, что названные симптомы необязательно вызываются компьютерными вирусами, они могут быть следствием других причин, поэтому компьютер следует периодически диагностировать.
История появления компьютерных вирусов
Мнения по поводу даты рождения первого компьютерного вируса расходятся. Доподлинно известно только то, что в самом первом механическом компьютере, так называемой машине Беббиджа, их не было.
Теоретические основы создания компьютерных вирусов были заложены в 40-х годах прошлого столетия американским ученым Джоном фон Нейманом (John von Neumann), который также известен как автор базовых принципов работы современного компьютера. В то время компьютеров было очень мало, они имели большие размеры, занимали обширные площади и использовались исключительно в научных целях.
Первый настоящий компьютерный вирус Pervading Animal появился в конце 1960-х годов и представлял собой игру, написанную с непреднамеренной ошибкой. Первым сетевым червем стал Creeper (конец 1970-х), умевший самостоятельно выйти в сеть через модем и записать свою копию на удаленной машине. Первый троян - Aids Information Diskette (1989 год) сразу вызвал эпидемию: будучи зараженным такой компьютер после 90 перезагрузок операционной системы показывал пользователю требование перевести на указанный в нем адрес $189, при этом все остальные файлы жесткого диска становились недоступны.
Первые появления вирусов были отмечены в конце 60-х — начале 70-х годов. Эти программы-паразиты, которые занимали системные ресурсы и снижали производительность системы, называли «кроликами» (the rabbit). Однако, скорее всего, «кролики» были просто ошибками или шалостями программистов, обслуживавших компьютеры.
В середине 70-х был обнаружен один из первых настоящих вирусов — «The Creeper», который мог самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с ним создали первую известную антивирусную программу— «The Reeper».
Те, кто начал работать на IBM-PC в середине 80-х, наверняка помнят повальную эпидемию вирусов «Brain» (1986г. по совместительству первый вирус для IBM-совместимых компьютеров, а также стелс-вирус. Он был написан в Пакистане двумя братьями-программистами с целью определения уровня пиратства у себя в стране.) - первая глобальная эпидемия, «Vienna», «Cascade». Буквы сыпались на экранах, а толпы пользователей осаждали специалистов по ремонту мониторов. Затем компьютер заиграл «Yankee Doodle», правда, чинить динамики теперь никто не бросился — уже было понятно, что это вирус.
Время шло, вирусы плодились. Все они были похожи друг на друга — лезли в память, цеплялись к файлам и секторам, периодически убивали дискеты и винчестеры. Летом 1991 года появился вирус-невидимка «Dir-II», противоядие для которого нашли далеко не сразу...
В августе 1995 года, когда все прогрессивное человечество праздновало выход новой операционной системы Windows 95 от Microsoft, практически незамеченным прошло сообщение о вирусе, заражающем документы Microsoft Word. Он получил имя «Concept» и в мгновение ока проник в тысячи (если не в миллионы) компьютеров — ведь передача текстов в формате MS Word стала одним из стандартов. Для того чтобы заразиться вирусом, требовалось всего лишь открыть зараженный документ, и все остальные редактируемые документы также «заболевали», В результате, получив по Интернету зараженный файл и прочитав его, пользователь, сам того не ведая, оказывался разносчиком компьютерной заразы. Опасность заражения MS Word, учитывая возможности Интернета, стала одной из самых серьезных проблем за всю историю существования вирусов.
Но MS Word дело не ограничилось. Летом 1996 года появился вирус «Laroux», поражающий таблицы MS Excel. (В 1997 году этот вирус вызвал эпидемию в Москве.) К лету 97-го число макровирусов достигло нескольких сотен...
18 сентября этого года на Тайване был повторно арестован создатель знаменитого «Чернобыля» Чен Ин-Хау. (Первый раз Чен Ин-Хау задержали в апреле 1999 года, но он избежал наказания, поскольку на тот момент не имелось официальных жалоб от тайваньских компаний. Поводом для нового ареста послужили обвинения, предъявленные тайваньским студентом, который пострадал от вируса «Чернобыль» уже в апреле этого года.) Этот вирус был обнаружен на Тайване в июне 98-го. Тогда его автор заразил компьютеры университета, в котором учился. «Больные» файлы расползлись по местным Интернет-конференциям, и вирус выбрался за пределы Тайваня. Через неделю эпидемия поразила Австрию, Австралию, Израиль и Великобританию. Затем вирус проявил себя и в других странах, в том числе и в России.
Примерно через месяц зараженные файлы появились на нескольких американских Web-серверах, распространяющих игровые программы, что, видимо, и послужило причиной последовавшей глобальной эпидемии «Чернобыля». 26 апреля 1999 года взорвалась «логическая бомба», заложенная в его код. По различным оценкам, в этот день по всему миру пострадало около 500 тыс. компьютеров — были уничтожены данные на жестких дисках, а в некоторых случаях даже испорчены микросхемы на материнских платах. Никогда еще вирусные эпидемии не приносили таких убытков. Через какое-то время «Чернобыль» сработал вновь. Ущерб, нанесенный им только в Южной Корее, оценивается в $250 млн.
22 октября этого года на Филиппинах арестовали 19-летнего хакера, подозреваемого в распространении вирусов. (Позднее он был отпущен на свободу до окончания расследования.) Власти Филиппин, видимо, решили таким образом реабилитироваться после нескольких неудачных попыток привлечь к ответственности распространителей вируса «LoveLetter», причинившего огромный ущерб в мае этого года.
Сегодня в базе одного из самых мощных отечественных, да и, пожалуй, мировых средств антивирусной защиты, «AVP Евгения Касперского», содержится информация о 80 393 вирусах (на б ноября 2010 года), а также соответствующие средства обнаружения, лечения и удаления.
Классификация компьютерных вирусов
Поскольку разнообразие компьютерных вирусов слишком велико, то они, как и их биологические прообразы, нуждаются в классификации. Классифицировать вирусы можно по следующим признакам:
• |
по среде обитания; |
• |
по способу заражения среды обитания; |
• |
по деструктивным возможностям; |
• |
по особенностям алгоритма вируса. |
Классификация вирусов по среде обитания
По среде обитания вирусы можно разделить на:
Файловые вирусы, которые внедряются в выполняемые файлы (*.СОМ, *.ЕХЕ, *.SYS, *.BAT, *.DLL).
Загрузочные вирусы, которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Макро-вирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, Word, Excel).
Существуют и сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему и их труднее обнаружить.
Классификация вирусов по способам заражения
По способам заражения вирусы бывают резидентные и нерезидентные. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время.
Классификация вирусов по деструктивным возможностям
По деструктивным возможностям вирусы можно разделить на:
безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
опасные - вирусы, которые могут привести к серьезным сбоям в работе;
очень опасные, могущие привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т.д.
Классификация вирусов по особенностям алгоритма
Здесь можно выделить следующие основные группы вирусов:
компаньон-вирусы (companion) - Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. При запуске такого файла DOS первым обнаружит и выполнит СОМ-файл, т.е. вирус, который затем запустит и ЕХЕ-файл;
вирусы-«черви» (worm) - вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в подкаталогах дисков, никаким образом не изменяя других файлов и не используя СОМ-ЕХЕ прием, описанный выше;
сетевые черви («сетевые вирусы») - на сегодняшний день сетевые вирусы не представляют никакой опасности, так как они нежизнеспособны в современных сетях, как глобальных (Internet), так и локальных (NetWare, NT). Однако это не мешает обычным DOS-вирусам и макро-вирусам поражать компьютерные сети (локальные и глобальные). Делают они это, в отличие от сетевых вирусов, не используя сетевые протоколы и «дыры» в программном обеспечении. Заражению подвергаются файлы на «общих» дисках на серверах и рабочих местах, через которые эти вирусы перебираются и на другие рабочие места, а часто и передаются в Internet.
«паразитические» - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон-вирусами»;
«студенческие» - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;
«стелс»-вирусы (вирусы-невидимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы;
«полиморфик»-вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика; макро-вирусы - вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время широко распространены макро-вирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel; сетевые вирусы (сетевые черви) - вирусы, которые распространяются в компьютерной сети и, так же, как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевых вирусов известно всего несколько штук. Например, XMasTree, Вирус Морриса (Internet Worm).