Računalni virusi: porijeklo, stvarna prijetnja i načini zaštite. Računalni virusi. Definicija, podjela i načini zaštite Računalni virusi i njihove vrste ukratko

Sektor kućnih virusa bootstrap. Programi koji su zapisani na kraju programa za pokretanje na pogonu C: ili ga zamjenjuju, obavljajući i njega i vlastite funkcije od trenutka infekcije. Ovi virusi ulaze u stroj prilikom dizanja sa zaražene diskete. Kada se program za pokretanje čita i izvršava, virus se učitava u memoriju i inficira sve za što je "dizajniran".

Virusi za pokretanje glavnog zapisa za pokretanje. Zaraziti glavni unos pokretanja sustava (Master Boot Record) na tvrdim diskovima i sektor za pokretanje na disketama. Ova vrsta virusa preuzima kontrolu nad sustavom na najnižoj razini tako što presreće upute između hardvera računala i operativnog sustava.

• · Makro virusi: Neki računalni programi koriste makro jezike za automatizaciju često izvođenih postupaka. Kako su računala postajala sve moćnija, problemi koje rješavaju postali su složeniji. Neki makro jezici pružaju mogućnost pisanja datoteka u formatima koji nisu izvorni dokument. Ovu značajku mogu koristiti autori virusa za stvaranje makronaredbi koje zaraze dokumente. Makro virusi se obično šire putem Microsoft datoteke Word i Excel.
• · Kombinirani virusi: virusi koji pokazuju kombinaciju gore navedenih svojstava. Mogu zaraziti datoteke, sektore za pokretanje i glavne zapise za pokretanje.
• · Datotečni virusi: sada pogledajmo kako radi jednostavan datotečni virus. Za razliku od virusa za pokretanje sustava, koji su gotovo uvijek rezidentni, datotečni virusi nisu nužno rezidentni. Razmotrimo shemu funkcioniranja virusa nerezidentne datoteke. Recimo da imamo zaraženu izvršnu datoteku. Kada se takva datoteka pokrene, virus preuzima kontrolu, izvodi neke radnje i prenosi kontrolu na "domaćina"

Koje radnje izvodi virus? Traži novi objekt za zarazu - datoteku odgovarajućeg tipa koja još nije zaražena. Inficiranjem datoteke, virus se ubacuje u njen kod kako bi preuzeo kontrolu kada se datoteka izvrši. Uz svoju glavnu funkciju - reprodukciju, virus može učiniti nešto zamršeno (recimo, pitati, igrati se) - to već ovisi o mašti autora virusa. Ako je datotečni virus rezidentni, tada će se instalirati u memoriju i moći će zaraziti datoteke i pokazivati ​​druge sposobnosti ne samo dok je zaražena datoteka pokrenuta. Kada zarazi izvršnu datoteku, virus uvijek promijeni svoj kod - stoga se uvijek može otkriti infekcija izvršne datoteke. Ali promjenom koda datoteke, virus ne mora nužno napraviti druge promjene:

• · nije dužan mijenjati duljinu datoteke
• neiskorišteni dijelovi koda
• · nije potrebno mijenjati početak datoteke

Konačno, datotečni virusi često uključuju viruse koji "imaju neku vezu s datotekama", ali ne moraju biti ugrađeni u njihov kod.

Dakle, kada se pokrene bilo koja datoteka, virus preuzima kontrolu (operativni sustav ga sam pokreće), instalira se rezidentno u memoriju i prenosi kontrolu na pozvanu datoteku.

• · Virusi s datotekama za pokretanje: nećemo razmatrati model virusa s datotekama za pokretanje jer nećete saznati nikakve nove informacije. No, evo zgodne prilike da ukratko porazgovaramo o iznimno “popularnom” U zadnje vrijeme Virus OneHalf datoteke za pokretanje inficira glavni sektor za pokretanje (MBR) i izvršne datoteke. Glavni destruktivni učinak je šifriranje sektora tvrdog diska. Svaki put kada se virus pokrene, on šifrira još jedan dio sektora, a nakon što je enkriptirao polovicu tvrdi disk, sretno izvještava o ovome. Glavni problem u liječenju ovog virusa je taj što nije dovoljno jednostavno ukloniti virus iz MBR-a i datoteka, već morate dešifrirati informacije koje su njime šifrirane.
• · Polimorfni virusi: Većina pitanja odnosi se na pojam “polimorfni virus”. Ova vrsta računalnog virusa danas se čini najopasnijom. Objasnimo što je to.

Polimorfni virusi su virusi koji modificiraju svoj kod u zaraženim programima na takav način da se dvije kopije istog virusa ne podudaraju ni u jednom bitu.

Takvi virusi ne samo da šifriraju svoj kod koristeći različite staze enkripcije, već također sadrže kod za generiranje šifratora i dekriptora, što ih razlikuje od običnih virusa enkripcije, koji također mogu šifrirati dijelove svog koda, ali istovremeno imaju stalni kod šifratora i dekriptora .

Polimorfni virusi su virusi sa samomodificirajućim dekriptorima. Svrha takve enkripcije: ako imate zaraženu i originalnu datoteku, još uvijek nećete moći analizirati njen kod pomoću redovnog rastavljanja. Ovaj kod je šifriran i besmislen je skup naredbi. Dešifriranje vrši sam virus tijekom izvođenja. U ovom slučaju moguće su opcije: može se dešifrirati odjednom, ili može izvršiti takvo dešifriranje "u hodu", može ponovno šifrirati dijelove koji su već korišteni. Sve je to učinjeno kako bi se otežala analiza koda virusa.

· Stealth virusi: Tijekom skeniranja računala antivirusni programičitati podatke - datoteke i područja sustava iz tvrdi diskovi i diskete koristeći operativni sustav i osnovni BIOS ulazno/izlazni sustav. Brojni virusi su ostali unutra RAM memorija računalni posebni moduli koji presreću programe koji pristupaju diskovnom podsustavu računala. Ako takav modul otkrije da program pokušava pročitati zaraženu datoteku ili sistemsko područje diska, on u hodu zamjenjuje očitane podatke, kao da na disku nema virusa.

Stealth virusi varaju antivirusne programe i kao rezultat toga ostaju neotkriveni. Međutim, postoji jednostavan način da se onemogući kamuflažni mehanizam stealth virusa. Dovoljno je pokrenuti računalo s nezaražene sistemske diskete i odmah, bez pokretanja drugih programa s diska računala (koji također mogu biti zaraženi), skenirati računalo antivirusnim programom.

Kada se učitava sa sistemske diskete, virus ne može preuzeti kontrolu i instalirati rezidentni modul u RAM-u koji implementira stealth mehanizam. Antivirusni program moći će pročitati informacije koje su stvarno zapisane na disku i lako će otkriti virus.

· Trojanski konji, softverske knjižne oznake i mrežni crvi: Trojanski konj (vidi Dodatak 2, Slika 2) je program koji sadrži neku destruktivnu funkciju koja se aktivira kada nastupi određeni uvjet okidača. Obično su takvi programi prerušeni u neku vrstu korisni uslužni programi. Virusi mogu nositi trojanske konje ili “trojanizirati” druge programe – uvesti u njih destruktivne funkcije.

“Trojanski konji” su programi koji, osim funkcija opisanih u dokumentaciji, provode i neke druge funkcije povezane s kršenjem sigurnosti i destruktivnim radnjama. Bilo je slučajeva da su takvi programi stvoreni kako bi se olakšalo širenje virusa. Popisi takvih programa naveliko se objavljuju u stranom tisku. Obično su prerušeni u igrice ili zabavne programe i uzrokuju štetu uz lijepe slike ili glazbu.

· Softverske knjižne oznake također sadrže neke funkcije koje su štetne za zrakoplov, ali ta funkcija, naprotiv, nastoji biti što neprimjetnija, jer Što duže program ne izaziva sumnju, oznaka može duže raditi.

Ako virusi i trojanski konji uzrokuju štetu samoširenjem poput lavine ili izravnim uništenjem, tada je glavna funkcija virusa crva koji djeluju u računalnim mrežama hakiranje napadnutog sustava, tj. prevladavanje zaštite radi ugrožavanja sigurnosti i integriteta.

U više od 80% računalnih zločina koje istražuje FBI, "krekeri" prodiru u napadnuti sustav putem Interneta. Kad takav pokušaj uspije, budućnost tvrtke koja se gradila godinama može biti ugrožena u nekoliko sekundi.

Ovaj se proces može automatizirati pomoću virusa koji se zove mrežni crv.

· Crvi su virusi koji se šire globalnim mrežama, inficirajući cijele sustave, a ne pojedinačne programe. Ovo je najopasniji tip virusa, budući da su u ovom slučaju objekti napada Informacijski sustavi na nacionalnoj razini. Pojavom globalnog interneta upravo ova vrsta sigurnosnog proboja predstavlja najveću prijetnju jer joj u svakom trenutku može biti izloženo bilo koje od 40 milijuna računala povezanih na ovu mrežu.

RAČUNALNI VIRUSI, NJIHOVA KLASIFIKACIJA. ANTIVIRUSNI SOFTVER

Računalni virus - Ovo poseban program, Sposobnost spontanog povezivanja s drugim programima i, kada se potonji pokrene, izvođenje raznih neželjenih radnji: oštećenje datoteka i direktorija; izobličenje rezultata izračuna; začepljenje ili brisanje memorije; ometanje rada računala. Prisutnost virusa očituje se u različitim situacijama.

1. Neki programi prestaju raditi ili počnu raditi neispravno.
2. Na ekranu se prikazuju strane poruke, signali i drugi efekti.
3. Računalo se znatno usporava.
4. Pokazalo se da je struktura nekih datoteka oštećena.

Postoji nekoliko znakova klasifikacije postojećih virusa:

• po staništu;
• prema zahvaćenom području;
• prema značajkama algoritma;
• metodom infekcije;
• prema destruktivnim mogućnostima.

Na temelju svog staništa razlikuju datotečne, boot, makro i mrežne viruse.

Datotečni virusi najčešći su tip virusa. Ti su virusi ugrađeni u izvršne datoteke, stvaraju popratne datoteke (popratne viruse) ili koriste organizacijske značajke sustav datoteka(link-virusi).

Boot virusi sami se zapisuju u boot sektor diska ili u boot sektor tvrdog diska. Počinju raditi kada se računalo pokrene i obično postaju stalni.

Makro virusi inficiraju datoteke često korištenih paketa za obradu podataka. Ovi virusi su programi napisani u programskim jezicima ugrađeni u ove pakete. Najrašireniji su makrovirusi za Microsoftove aplikacije Ured.

Mrežni virusi za širenje koriste protokole ili naredbe računalnih mreža i e-pošte. Glavno načelo rada mrežnog virusa je mogućnost samostalnog prijenosa koda na udaljeni poslužitelj ili radnu stanicu. Punopravni računalni virusi imaju mogućnost pokretanja svog koda za izvršenje na udaljenom računalu.

U praksi postoje različite kombinacije virusa - na primjer, file-boot virusi koji zaraze i datoteke i boot sektore diskova ili mrežni makro virusi koji zaraze uređene dokumente i šalju svoje kopije e-poštom.

Svaki virus u pravilu inficira datoteke jednog ili više operativnih sustava. Mnogi virusi za pokretanje takođerusmjereni su na specifične formate za lokaciju sistemskih podataka u sektorima za pokretanje diskova. Na temelju karakteristika algoritma razlikuju se rezidentni; virusi, stealth virusi, polimorfni itd. Rezidentni virusi sposobni su ostaviti svoje kopije u operativnom sustavu, presresti obradu događaja (na primjer, pristup datotekama ili diskovima) i uzrokovati da procedure zaraze objekte (datoteke ili sektore). Ti su virusi aktivni u memoriji ne samo dok je zaraženi program pokrenut, već i nakon toga. Rezidentne kopije takvih virusa održive su dok se OS ponovno ne pokrene, čak i ako su sve zaražene datoteke na disku uništene. Ako se rezidentni virus također može pokrenuti i aktivira se prilikom pokretanja OS-a, čak ni formatiranje diska ako je virus prisutan u memoriji neće ga izbrisati.

Makro viruse također treba svrstati u rezidentne viruse, budući da su stalno prisutni u memoriji računala dok radi zaraženi editor.

Stealth algoritmi omogućuju virusima da potpuno ili djelomično sakriju svoju prisutnost. Najčešći stealth algoritam je presretanje zahtjeva OS-a za čitanje/pisanje zaraženih objekata. Stealth virusi ili privremeno liječe ove objekte ili zamjenjuju nezaražene dijelove informacija umjesto njih. Djelomično, stealth virusi uključuju malu skupinu makro virusa koji svoj glavni kod ne pohranjuju u makronaredbe, već u druga područja dokumenta - u njegovim varijablama ili u automatskom tekstu.

Polimorfizam (samošifriranje) koristi se za kompliciranje postupka detekcije virusa. Polimorfni virusi su virusi koje je teško otkriti i nemaju stalan dio koda. Općenito, dva uzorka istog virusa ne odgovaraju. To se postiže šifriranjem glavnog tijela virusa i modificiranjem programa za dešifriranje.

Pri stvaranju virusa često se koriste nestandardne tehnike. Njihova bi uporaba trebala što više otežati otkrivanje i uklanjanje virusa.

Ovisno o načinu zaraze, razlikuju se trojanski programi, pomoćni programi skrivene administracije, namjenski virusi itd.

Trojanski konji su dobili ime po analogiji s trojanskim konjem. Svrha ovih programa je oponašanje bilo kojih korisnih programa, novih verzija popularnih uslužnih programa ili njihovih dodataka. Kada ih korisnik upiše na svoje računalo, trojanski programi se aktiviraju i izvode neželjene radnje.

Pomoćni programi skrivene administracije vrsta su trojanskih programa. Po svojoj funkcionalnosti i sučelju u mnogočemu podsjećaju na razvijene i distribuirane mrežne računalne administracijske sustave razne tvrtke- proizvođači programskih proizvoda. Tijekom instalacije, ovi uslužni programi samostalno instaliraju skriveni sustav na računalu. daljinski upravljač. Kao rezultat toga, postaje moguće tajno kontrolirati ovo računalo. Implementacijom temeljnih algoritama, uslužni programi, bez znanja korisnika, primaju, pokreću ili šalju datoteke, uništavaju informacije, ponovno pokreću računalo itd. Ovi se uslužni programi mogu koristiti za otkrivanje i prijenos lozinki i drugih povjerljivih informacija, pokretanje virusa i uništavanje podataka .

Namjeravani virusi uključuju programe koji se ne mogu reproducirati zbog grešaka koje postoje u njima. Ova klasa također uključuje viruse koji se razmnožavaju samo jednom. Nakon što su zarazili datoteku, gube mogućnost daljnje reprodukcije kroz nju.

Prema destruktivnoj sposobnosti virusi se dijele na:

1. neopasan, čiji je učinak ograničen smanjenjem slobodne memorije na disku, usporavanjem računala, grafičkim i zvučnim efektima;
2. opasno, što potencijalno može dovesti do nepravilnosti u strukturi datoteka i kvarova na računalu;
3. vrlo opasno, čiji algoritam posebno uključuje postupke uništavanja podataka i mogućnost osiguravanja brzog trošenja pokretnih dijelova mehanizama uvođenjem u rezonanciju i uništavanjem glava za čitanje/pisanje nekih HDD-ova.

Za borbu protiv virusa postoje programi koji se mogu podijeliti u glavne skupine: monitori, detektori, doktori, revizori i cjepiva.

Pratite programe(programi za filtriranje) nalaze se rezidentno u operacijskom sustavu računala, presrećui informirati korisnika o OS pozivima koje koriste virusi za reprodukciju i nanošenje štete. Korisnik ima mogućnost dopustiti ili zabraniti izvršenje ovih poziva. Prednost takvih programa je mogućnost otkrivanja nepoznatih virusa. Korištenje programa za filtriranje omogućuje otkrivanje virusa u ranoj fazi zaraze vašeg računala. Nedostaci programa su nemogućnost praćenja virusa koji izravno pristupaju BIOS-u, kao i boot virusa koji se aktiviraju prije pokretanja antivirusa prilikom učitavanja DOS-a, te često izdavanje zahtjeva za izvođenje operacija.

Detektorski programi provjeriti sadrže li datoteke i diskovi kombinaciju bajtova specifičnih za određeni virus. Ako se otkrije, prikazuje se odgovarajuća poruka. Nedostatak je što može zaštititi samo od poznatih virusa.

Liječnički programi vratiti zaražene programe uklanjanjem tijela virusa iz njih. Ti su programi obično dizajnirani za određene vrste virusa i temelje se na usporedbi slijeda kodova sadržanih u tijelu virusa s kodovima programa koji se skeniraju. Programi doktora moraju se povremeno ažurirati kako bi se dobile nove verzije koje otkrivaju nove vrste virusa.

Programi revizora analizirati promjene u stanju datoteka i sistemskih područja diska. Provjerite status sektora za pokretanje i FAT tablice; duljina, atributi i vrijeme izrade datoteka; kontrolni zbroj kodova. Korisnik se obavještava ako se otkriju bilo kakva odstupanja.

Programi cjepiva mijenjaju programe i rizike na način koji ne utječe programski rad, ali virus protiv kojeg se provodi cijepljenje smatra već zaražene programe ili diskove. Postojeći antivirusni programi uglavnom pripadaju hibridnoj klasi (doktori detektori, revizori doktori itd.).

U Rusiji su antivirusni programi koji se najčešće koriste Kaspersky Lab (Anti-IViral Toolkit Pro) i DialogScience (Adinf, Dr.Web). Antivirusni paket AntiViral Toolkit Pro (AVP) uključuje AVP Scanner, rezidentni guard AVP Monitor i administrativni program za instalirane komponente. Kontrolni centar i niz drugih. AVP Scanner, uz tradicionalno skeniranje izvršnih datoteka i datoteka dokumenata, obrađuje baze podataka e-pošte. Korištenje skenera omogućuje vam otkrivanje virusa u zapakiranim i arhiviranim datotekama (koje nisu zaštićene lozinkama). Otkriva i uklanja makroviruse, polimorfne, skrivene, trojanske i prethodno nepoznate viruse. To se postiže, primjerice, korištenjem heurističkih analizatora. Takvi analizatori simuliraju rad procesora i analiziraju akcije dijagnosticirane datoteke. Ovisno o tim radnjama donosi se odluka o prisutnosti virusa.

Monitor prati tipične putove prodora virusa, kao što su operacije pristupa datotekama i sektorima.

AVP Control Center - servisna ljuska dizajnirana za postavljanje vremena pokretanja skenera, automatsko ažuriranje komponenta paketa itd.

Ako je vaše računalo zaraženo ili se sumnja da je zaraženo virusom, morate:

1. procijeniti situaciju i ne poduzimati radnje koje dovode do gubitka informacija;
2. ponovno pokrenite OS računala. U tom slučaju koristite posebnu, unaprijed izrađenu i zaštićenu sistemsku disketu. Kao rezultat toga, aktivacija virusa za pokretanje i rezidentnih virusa s tvrdog diska računala bit će spriječena;
3. pokrenuti postojeće antivirusne programe dok se svi virusi ne otkriju i uklone. Ako je nemoguće ukloniti virus i ako se u datoteci nalaze vrijedni podaci, arhivirajte datoteku i pričekajte da izađe nova verzija antivirusni. Nakon završetka ponovno pokrenite računalo.

E. KASPERSKY i D. ZENKIN

Epidemija računalnog virusa “LoveLetter” koja je izbila u svibnju ove godine još jednom je potvrdila opasnost koju takva “kompjuterska fauna” predstavlja. Nakon što je prodro u stotine tisuća računala diljem svijeta, virus je uništio ogroman broj važna informacija, doslovno paralizirajući rad najvećih komercijalnih i državnih organizacija.

Ovako izgledaju “ljubavna pisma” koja virus “LoveLetter” šalje putem e-pošte. Da biste pokrenuli virus, samo kliknite na ikonu.

Ova slika prikazuje virus "Tentacle" kada pokušate pogledati bilo koju datoteku s ekstenzijom GIF na zaraženim računalima. Natpis na slici: "Ja sam virus pipka."

Virus "Marburg" pokazuje ove lijepe križeve i... briše datoteke s diskova.

Skripta virusa "Monopol" ismijavala je glavu Microsoft Bill Gates. Osim što prikazuje smiješnu sliku, virus tiho šalje tajne informacije s računala.

Nažalost, fenomen "računalnog virusa" još uvijek izaziva praznovjerno strahopoštovanje, a ne želju da se trezveno shvati situacija i poduzmu sigurnosne mjere. Koji su to virusi? Koliko su opasni? Koje antivirusne metode zaštite danas postoje i koliko su učinkovite? O ovim i drugim temama raspravljaju stručnjaci iz vodećeg ruskog proizvođača antivirusnih programa, tvrtke Kaspersky Lab.

ŠTO JE RAČUNALNI VIRUS?

Jasan odgovor na ovo naizgled jednostavno pitanje još nije pronađen. U stručnoj literaturi možete pronaći stotine definicija pojma "računalni virus", od kojih se mnoge razlikuju gotovo dijametralno. Domaća "virologija" obično se pridržava sljedeće definicije: računalni virus je program koji se, bez znanja korisnika, infiltrira u računala i tamo izvodi razne neovlaštene radnje. Ova definicija bila bi nepotpuna da ne spomenemo još jedno svojstvo koje je obavezno za računalni virus. To je njegova sposobnost "množenja", odnosno stvaranja duplikata samog sebe i njihovo uvođenje računalne mreže i/ili datoteke, sistemska područja računala i druge izvršne objekte. Štoviše, duplikati virusa možda se neće podudarati s originalom.

Sposobnost virusa da se "reproducira" navodi neke ljude da ih žele usporediti s "posebnim oblikom života", pa čak i obdariti te programe nekom vrstom "zle inteligencije" koja ih tjera na podle trikove kako bi postigli svoj cilj. Međutim, ovo nije ništa više od fikcije i igre fantazije. Ovakva percepcija događaja podsjeća na srednjovjekovne ideje o zlim duhovima i vješticama, koje nitko nije vidio, ali su ih se svi bojali. "Reprodukcija" virusa ne razlikuje se od, na primjer, programa koji kopira datoteke iz jednog direktorija u drugi. Jedina razlika je u tome što se te radnje izvode bez znanja korisnika, odnosno na ekranu se ne pojavljuju poruke. U svakom drugom pogledu, virus je vrlo običan program koji koristi određene računalne naredbe.

Računalni virusi jedna su od podvrsta velike klase programa tzv zlonamjerni kodovi. Danas se ti pojmovi često poistovjećuju, međutim sa znanstvenog gledišta to nije točno. U skupinu malicioznih kodova spadaju i takozvani “crvi” i “trojanski konji”. Njihova glavna razlika od virusa je da se ne mogu "množiti".

Crv se širi poprijeko računalne mreže(lokalni ili globalni), bez pribjegavanja "reprodukciji". Umjesto toga, automatski, bez znanja korisnika, šalje svoj izvornik, na primjer, e-poštom.

Trojanski programi uglavnom su lišeni bilo kakve ugrađene distribucijske funkcije: na računala dospijevaju isključivo uz pomoć svojih autora ili osoba koje ih ilegalno koriste. Sjetimo se Homerove Ilijade. Nakon mnogih neuspješnih pokušaja da zauzmu Troju na juriš, Grci su se poslužili lukavstvom. Sagradili su kip konja i prepustili ga Trojancima, pretvarajući se da se povlače. Međutim, konj je iznutra bio prazan i skrivao je odred grčkih vojnika. Trojanci, koji su obožavali božanstvo u obliku konja, sami su odvukli kip u gradska vrata. "Trojanski" programi koriste sličan način uvođenja: ulaze u računala pod krinkom korisnih, smiješnih i često vrlo profitabilnih programa. Na primjer, korisnik prima e-mail s ponudom za pokretanje poslane datoteke, koja sadrži, recimo, milijun rubalja. Nakon pokretanja ove datoteke, program tiho ulazi u računalo i izvodi razne neželjene radnje. Na primjer, može špijunirati vlasnika zaraženog računala (pratiti koje stranice posjećuje, koje lozinke koristi za pristup Internetu itd.) i potom primljene podatke poslati svom autoru.

Nedavno su sve češći slučajevi pojave takozvanih "mutanata", odnosno zlonamjernih kodova koji kombiniraju značajke nekoliko klasa odjednom. Tipičan primjer je makrovirus Melissa koji je izazvao veliku epidemiju u ožujku prošle godine. Proširio se mrežama poput klasičnog internetskog crva. "LoveLetter" je također križanac mrežnog crva i virusa. U složenijim slučajevima malware može sadržavati karakteristike sva tri tipa (na primjer, virus “BABYLONIA”).

PORIJEKLO RAČUNALNIH VIRUSA

Čudno, ideja o računalnim virusima pojavila se mnogo prije pojave osobnih računala. Godine 1959. američki znanstvenik L. S. Penrose objavio je članak u časopisu Scientific American o samoreplicirajućim mehaničkim strukturama. Ovaj članak opisuje najjednostavniji model dvodimenzionalnih struktura sposobnih za aktivaciju, reprodukciju, mutaciju i hvatanje. Ubrzo je američki istraživač F. G. Stahl implementirao ovaj model pomoću strojnog koda na IBM 650.

U to su vrijeme računala bila golema, složena za rukovanje i iznimno velika skupi automobili, dakle, samo velike tvrtke ili državni računalni i istraživački centri mogu postati njihovi vlasnici. Ali 20. travnja 1977. prva "narodna" osobna jabučno računalo II. Cijena, pouzdanost, jednostavnost i lakoća korištenja predodredili su njegovu široku distribuciju u svijetu. Ukupan obujam prodaje računala u ovoj seriji iznosio je više od tri milijuna jedinica (isključujući njegove brojne kopije, kao što su Pravets 8M/S, Agat itd.), što je bio red veličine veći od broja svih ostalih dostupnih računala. u to vrijeme. Tako su milijuni ljudi različitih profesija, društvenih klasa i mentaliteta dobili pristup računalima. Ne čudi da su se upravo tada pojavili prvi prototipovi modernih računalnih virusa, jer su ispunjena dva najvažnija uvjeta za njihov razvoj - širenje "životnog prostora" i pojava načina distribucije.

Potom su uvjeti postajali sve povoljniji za viruse. Raspon osobnih računala dostupnih prosječnom korisniku se proširio, osim savitljivih 5-inčnih magnetskih diskova pojavili su se i tvrdi diskovi, te lokalne mreže, kao i tehnologije za prijenos informacija korištenjem redovitih dial-up telefonskih linija. Nastale su prve mrežne banke podataka BBS (Bulletin Board System), odnosno “oglasne ploče” koje su uvelike olakšale razmjenu programa među korisnicima. Kasnije su mnogi od njih prerasli u velike online sustave pomoći (CompuServe, AOL, itd.). Sve je to pridonijelo ispunjenju trećeg najvažnijeg uvjeta za razvoj i širenje virusa – počeli su se javljati pojedinci i skupine ljudi koji sudjeluju u njihovom stvaranju.

Tko piše virusne programe i zašto? Ovo pitanje (uz molbu za dostavu adrese i broja telefona) posebno zabrinjava one koji su već bili izloženi napadu virusa i izgubili su rezultate dugogodišnjeg mukotrpnog rada. Danas portret prosječnog “pisca virusa” izgleda ovako: muškarac, 23 godine, zaposlenik banke ili financijske organizacije, odgovoran za sigurnost informacija ili mrežna administracija. Međutim, prema našim podacima, on je nešto niži (14-20 godina), studira ili nema nastavu. Glavna stvar koja ujedinjuje sve kreatore virusa je želja da se istaknu i dokažu, čak i na herojskom polju. U svakodnevnom životu takvi ljudi često izgledaju kao dirljivi tihi ljudi koji ni muhu ne bi povrijedili. Sva njihova životna energija, mržnja prema svijetu i sebičnost nalaze odušak u stvaranju malih “kompjutorskih nitkova”. Tresu se od zadovoljstva kad saznaju da je njihova "umotvorina" izazvala pravu epidemiju u svijetu računala. Međutim, to je već područje nadležnosti psihijatara.

Devedesete, obilježene usponom globalnog interneta, pokazale su se kao najplodnije vrijeme za računalne viruse. Stotine milijuna ljudi diljem svijeta su htjeli-ne htjeli postali "korisnici", a računalna pismenost postala je gotovo jednako neophodna kao i sposobnost čitanja i pisanja. Ako su se ranije računalni virusi razvijali uglavnom ekstenzivno (odnosno, rastao je njihov broj, ali ne i kvalitativna svojstva), danas, zahvaljujući poboljšanju tehnologija prijenosa podataka, možemo reći suprotno. “Primitivne pretke” zamjenjuju sve “pametniji” i “lukaviji” virusi, mnogo bolje prilagođeni novim životnim uvjetima. Danas virusni programi više nisu ograničeni na oštećivanje datoteka, sektora za pokretanje ili sviranje bezopasnih pjesama. Neki od njih su sposobni uništiti podatke na čipovima matične ploče. Istodobno, tehnologije za maskiranje, enkripciju i širenje virusa ponekad iznenade i najiskusnije stručnjake.

ŠTO SU VIRUSI?

Do danas je registrirano oko 55 tisuća računalnih virusa. Njihov broj stalno raste, a pojavljuju se i potpuno novi, dosad nepoznati tipovi. Klasificiranje virusa svake godine postaje sve teže. Općenito, mogu se podijeliti u skupine prema sljedećim glavnim karakteristikama: stanište, operativni sustav, značajke operativnog algoritma. Prema ove tri klasifikacije, dobro poznati černobilski virus, na primjer, može se klasificirati kao nepolimorfni Windows virus koji se nalazi u datotekama. Objasnimo detaljnije što to znači.

1. Stanište

Ovisno o njihovom staništu, razlikuju se datotečni, boot i makro virusi.

U početku je najčešći oblik računalne "infekcije" bio virusi datoteka, "žive" u datotekama i mapama operacijskog sustava računala. To uključuje, na primjer, viruse za “prepisivanje” (od engleskog “to write over”). Nakon što uđu u računalo, umjesto koda zaražene datoteke zapisuju svoj kod, uništavajući njezin sadržaj. Naravno, u ovom slučaju datoteka prestaje raditi i ne vraća se. Međutim, to su prilično primitivni virusi: oni se u pravilu vrlo brzo otkrivaju i ne mogu izazvati epidemiju.

Virusi “suputnici” ponašaju se još “lukavije” (od engleskog “prijatelj”, “suputnik”). Oni ne mijenjaju samu datoteku, već stvaraju duplikat za nju na način da kada se zaražena datoteka pokrene, taj duplikat, odnosno virus, preuzima kontrolu. Na primjer, "prateći" virusi koji se izvode pod DOS-om koriste značajku ovog operativnog sustava da prvo izvrše datoteke s ekstenzijom COM, a zatim s ekstenzijom EXE. Takvi virusi stvaraju duplikate za EXE datoteke koje imaju isti naziv, ali s ekstenzijom COM. Virus se zapisuje u COM datoteku i ni na koji način ne mijenja EXE datoteku. Kada pokrenete zaraženu datoteku, DOS će prvo detektirati i pokrenuti COM datoteku, odnosno virus, a tek onda će virus pokrenuti datoteku s ekstenzijom EXE.

Ponekad "pratiteljski" virusi jednostavno preimenuju datoteku koju zaraze i zapišu vlastiti kod na disk pod starim imenom. Na primjer, datoteka XCOPY.EXE je preimenovana u XCOPY.EXD, a virus je snimljen pod imenom XCOPY.EXE. Kada se datoteka pokrene, kod virusa preuzima kontrolu, koji potom pokreće izvorni XCOPY, pohranjen pod imenom XCOPY.EXD. Virusi ove vrste pronađeni su u mnogima operativni sustavi ah - ne samo u DOS-u, već iu Windowsima i OS/2.

Postoje i drugi načini za stvaranje dupliciranih datoteka. Na primjer, "path-companion" virusi "igraju" na značajkama DOS PATH - hijerarhijskog zapisa lokacije datoteke u DOS sustavu. Virus kopira svoj kod pod imenom zaražene datoteke, ali ga ne postavlja u isti direktorij, već jednu razinu više. U tom će slučaju DOS prvi otkriti i pokrenuti virusnu datoteku.

Princip rada boot virusi na temelju algoritama pokretanja operacijskog sustava. Ovi virusi inficiraju sektor za pokretanje diskete ili tvrdog diska - posebno područje na disku koje sadrži program za pokretanje računala. Ako promijenite sadržaj boot sektora, možda nećete moći niti pokrenuti svoje računalo.

Makro virusi- vrsta računalnog virusa stvorenog korištenjem makro jezika ugrađenih u popularne uredske aplikacije kao što su Word, Excel, Access, PowerPoint, Project, Corel Draw itd. (vidi "Znanost i život" br. 6, 2000). Makro jezici se koriste za pisanje posebnih programa (makronaredbi) za poboljšanje učinkovitosti uredskih aplikacija. Na primjer, možete stvoriti makronaredbu u Wordu koja automatizira proces ispunjavanja i slanja faksova. Tada će korisnik samo trebati unijeti podatke u polja obrasca i kliknuti na gumb - makro će sam učiniti ostalo. Nevolja je u tome što osim korisnih u računalo mogu dospjeti i zlonamjerni makroi koji imaju mogućnost kreiranja vlastitih kopija i izvršavanja određenih radnji bez znanja korisnika, primjerice mijenjanje sadržaja dokumenata, brisanje datoteka ili imenici. To su makro virusi.

Što su veće mogućnosti određenog makrojezika, to makro virusi napisani na njemu mogu biti lukaviji, sofisticiraniji i opasniji. Danas je najčešći makro jezik Visual Basic za aplikacije (VBA). Njegove mogućnosti brzo se povećavaju sa svakom novom verzijom. Dakle, što su uredske aplikacije naprednije, to će biti opasnije raditi u njima. Stoga makro virusi danas predstavljaju stvarnu prijetnju korisnicima računala. Prema našim predviđanjima, svake će godine postajati sve neuhvatljiviji i opasniji, a brzina njihovog širenja uskoro će dosegnuti neviđene razine.

2. Korišteni operativni sustav.

Svaki datotečni ili mrežni virus zarazi datoteke jednog ili više operativnih sustava - DOS, Windows, OS/2, Linux, MacOS itd. Ovo je osnova za drugu metodu klasifikacije virusa. Na primjer, virus "BOZA", koji radi samo u Windowsima i nigdje drugdje, klasificiran je kao Windows virus. Virus "BLISS" - za Linux viruse itd.

3. Algoritmi rada.

Virusi se mogu razlikovati i po algoritmima rada koje koriste, odnosno raznim softverskim trikovima koji ih čine tako opasnima i nedostižnima.

Prvo, svi virusi se mogu podijeliti na rezident i nerezident. Rezidentni virus je poput špijuna koji stalno radi u stranoj zemlji. Nakon što virus uđe u RAM računala tijekom pokretanja, ostaje tamo dok se računalo ne isključi ili ponovno pokrene. Odatle rezidentni virus izvodi sve svoje destruktivne radnje. Nerezidentni virusi ne inficiraju memoriju računala i mogu se "množiti" samo ako su pokrenuti.

Svi makrovirusi također se mogu klasificirati kao rezidentni. Prisutni su u memoriji računala cijelo vrijeme rada aplikacije koju su zarazili.

Drugo, tu su virusi vidljivo i nevidljivo. Za običnog čovjeka, nevidljivost virusa je možda njegovo najmisterioznije svojstvo. Međutim, u tome nema ničeg demonskog. “Nevidljivost” znači da virus softverskim trikovima onemogućuje korisniku ili antivirusnom programu da primijeti promjene koje je napravio na zaraženoj datoteci. Stalno prisutan u memoriji računala, stealth virus presreće zahtjeve operativnog sustava za čitanje i pisanje takvih datoteka. Nakon što presretne zahtjev, zaraženu datoteku zamjenjuje njezinom izvornom, neoštećenom verzijom. Dakle, korisnik uvijek vidi samo "čiste" programe, dok virus tiho obavlja svoje "prljavo djelo". Jedan od prvih file stealth virusa bio je "Frodo", a prvi boot stealth virus bio je virus "Brain".

Kako bi se što više kamuflirali od antivirusnih programa, gotovo svi virusi koriste metode samošifriranje ili polimorfnost, odnosno mogu sami sebe šifrirati i modificirati. Mijenjanje vašeg izgled(programski kod), virusi u potpunosti zadržavaju sposobnost izvođenja određenih zlonamjernih radnji. Prethodno su antivirusni programi mogli detektirati viruse samo "vidom", odnosno njihovim jedinstvenim programskim kodom. Stoga je pojava polimorfnih virusa prije nekoliko godina napravila pravu revoluciju u računalnoj virologiji. Sada postoje univerzalne metode borbe protiv takvih virusa.

METODE BORBE PROTIV RAČUNALNIH VIRUSA

Potrebno je zapamtiti glavni uvjet u borbi protiv računalnih virusa - nemojte paničariti. Tisuće visokokvalificiranih antivirusnih stručnjaka danonoćno čuvaju sigurnost računala, čiji je profesionalizam višestruko veći od zajedničkog potencijala svih računalnih huligana - hakera. U Rusiji antivirusna istraživanja provode dva računalne tvrtke- Kaspersky Lab (www.avp.ru) i SalD (www.drweb.ru).

Kako biste se uspješno oduprli pokušajima virusa da prodru u vaše računalo, morate ispuniti dva jednostavna uvjeta: pridržavati se osnovnih pravila “higijene računala” i koristiti antivirusne programe.

Otkako postoji antivirusna industrija, izumljeno je mnogo načina za suzbijanje računalnih virusa. Raznolikost i raznovrsnost zaštitnih sustava koji se danas nude doista je nevjerojatna. Pokušajmo shvatiti koje su prednosti i nedostaci pojedinih metoda zaštite i koliko su učinkoviti u odnosu na različite vrste virusi.

Danas postoji pet glavnih pristupa osiguravanju antivirusne sigurnosti.

1. Antivirusni skeneri.

Pionir antivirusnog pokreta je program za skeniranje koji je rođen gotovo istovremeno sa samim računalnim virusima. Princip rada skenera je pregled svih datoteka, sektora za pokretanje i memorije s lancem detekcije virusnih potpisa u njima, odnosno jedinstvenog programskog koda virusa.

Glavni nedostatak skenera je njegova nemogućnost praćenja različitih modifikacija virusa. Na primjer, postoji nekoliko desetaka varijanti Melissa virusa, i za gotovo svaku od njih antivirusne tvrtke morao izdati zasebno ažuriranje antivirusna baza podataka.

To dovodi do drugog problema: za vrijeme između pojave nove modifikacije virusa i izdavanja odgovarajućeg antivirusa, korisnik ostaje praktički nezaštićen. Istina, kasnije su stručnjaci osmislili i implementirali u skenere originalni algoritam za otkrivanje nepoznatih virusa - heuristički analizator koji je provjeravao programski kod na mogućnost prisutnosti računalnog virusa u njemu. Međutim, ova metoda ima visoku stopu lažno pozitivnih rezultata, nije dovoljno pouzdana i, štoviše, ne uklanja otkrivene viruse.

I na kraju, treća mana antivirusnog skenera je ta što skenira datoteke samo kada to “tražite” od njega, odnosno kada pokrenete program. U međuvremenu, korisnici vrlo često zaborave provjeriti sumnjive datoteke preuzete, na primjer, s interneta, i kao rezultat toga, vlastitim rukama zaraziti vaše računalo. Skener može utvrditi činjenicu infekcije tek nakon što se virus već pojavio u sustavu.

2. Antivirusni monitori.

U svojoj srži, antivirusni monitori su vrsta skenera. Ali za razliku od potonjih, oni su stalno u memoriji računala i obavljaju pozadinsko skeniranje datoteka, sektora za pokretanje i memorije u stvarnom vremenu. Da bi omogućio antivirusnu zaštitu, korisnik samo treba učitati monitor prilikom učitavanja operativnog sustava. Sve pokrenute datoteke automatski će se skenirati na viruse.

3. Promijenite revizore.

Rad ove vrste antivirusnih programa temelji se na uzimanju originalnih „otisaka prstiju“ (CRC suma) iz datoteka i sektora sustava. Ovi "otisci prstiju" pohranjeni su u bazi podataka. Pri sljedećem pokretanju revizor provjerava „otiske prstiju“ s njihovim originalima i obavještava korisnika o promjenama koje su se dogodile.

Revizori promjena također imaju nedostatke. Prvo, ne mogu uhvatiti virus u trenutku kada se pojavi u sustavu, već to čine tek nakon nekog vremena, nakon što se virus proširi računalom. Drugo, ne mogu otkriti virus u novim datotekama (e-pošta, diskete, datoteke oporavljene iz sigurnosna kopija, ili prilikom raspakiranja datoteka iz arhive), budući da u bazama podataka revizora nema informacija o tim datotekama. Neki virusi to iskorištavaju, inficirajući samo novostvorene datoteke i tako ostaju nevidljivi nadzornicima. Treće, revizori zahtijevaju redovito pokretanje - što se češće to radi, to će kontrola nad virusnom aktivnošću biti pouzdanija.

4. Imunizatori.

Antivirusni programi imunizacije dijele se na dvije vrste: imunizatori koji prijavljuju infekciju i imunizatori koji blokiraju infekciju bilo kojom vrstom virusa.

Prvi se obično zapisuju na kraj datoteka (po principu datotečnog virusa) i pri svakom pokretanju datoteke provjeravaju ima li promjena. Takvi imunizatori imaju samo jedan nedostatak, ali on je temeljni: oni su apsolutno nesposobni detektirati nevidljive viruse koji vješto skrivaju svoju prisutnost u zaraženoj datoteci.

Druga vrsta imunizatora štiti sustav od oštećenja određenim virusom. Da bi se to postiglo, datoteke se mijenjaju na takav način da ih virus percipira kao već zaražene. Na primjer, kako biste spriječili da COM datoteka bude zaražena "Jerusalem" virusom, samo joj dodajte redak MsDos. A radi zaštite od rezidentnog virusa, program koji simulira kopiju virusa unosi se u memoriju računala. Kada se pokrene, virus ga susreće i vjeruje da je sustav već zaražen i da nema potrebe rješavati ga.

Naravno, nemoguće je imunizirati datoteke protiv svih poznatih virusa: svaki od njih ima svoje metode za određivanje infekcije. Zato imunizatori nisu postali široko rasprostranjeni i trenutno se praktički ne koriste.

5. Blokatori ponašanja.

Sve gore navedene vrste antivirusa ne rješavaju glavni problem- zaštita od nepoznatih virusa. Stoga su računalni sustavi bespomoćni protiv njih sve dok proizvođači antivirusnih programa ne razviju protuotrove. Ponekad to traje nekoliko tjedana. Tijekom tog vremena možete izgubiti sve važne informacije.

Jasan odgovor na pitanje "što učiniti s nepoznatim virusima?" uspjet ćemo tek u nadolazećem tisućljeću. Međutim, danas možemo dati neka predviđanja. Po našem mišljenju, područje antivirusne zaštite koje najviše obećava je stvaranje takozvanih bihevioralnih blokatora. Oni su ti koji su u stanju izdržati napade novih virusa s gotovo stopostotnom garancijom.

Što je bihevioralni blokator? To je program koji se stalno nalazi u RAM-u računala i "presreće" razne događaje u sustavu. Ako otkrije "sumnjive" radnje (koje bi mogao izvesti virus ili drugi zlonamjerni program), blokator zabranjuje tu radnju ili traži dopuštenje od korisnika. Drugim riječima, blokator ne traži kod virusa, već prati i sprječava njegove radnje.

Teoretski, blokator može spriječiti širenje bilo kojeg virusa, poznatog i nepoznatog (napisano nakon blokatora). Ali problem je u tome što radnje "nalik virusu" može izvesti i sam operativni sustav korisni programi. Blokator ponašanja (ovdje mislimo na “klasični” blokator koji se koristi za borbu protiv datotečnih virusa) ne može samostalno utvrditi tko točno izvodi sumnjivu radnju - virus, operativni sustav ili neki program, te je stoga prisiljen od korisnika tražiti potvrda. Dakle, donositelj konačne odluke mora imati dovoljno znanja i iskustva da da točan odgovor. Ali malo je takvih ljudi. Zbog toga blokatori još nisu postali popularni, iako se ideja o njihovom stvaranju pojavila dosta davno. Prednosti ovih antivirusnih programa često su postale njihovi nedostaci: djelovali su previše nametljivo, gnjavili korisnika svojim stalnim zahtjevima, a korisnici su ih jednostavno deinstalirali. Nažalost, ova situacija se može ispraviti samo korištenjem umjetne inteligencije, koja bi samostalno razumjela razloge za ovu ili onu sumnjivu radnju.

Međutim, danas se bihevioralni blokatori mogu uspješno koristiti u borbi protiv makrovirusa. U programima napisanim u makro jeziku VBA moguće je s vrlo visokim stupnjem vjerojatnosti razlikovati zlonamjerne radnje od korisnih. Krajem 1999. Kaspersky Lab razvio je jedinstveni sustav zaštite od makrovirusa za MS Office paket (verzije 97 i 2000), temeljen na novim pristupima principima bihevioralnog blokatora - AVP Office Guard. Zahvaljujući analizi ponašanja makrovirusa, utvrđeni su najčešći slijedovi njihova djelovanja. To je omogućilo uvođenje novog visoko inteligentnog sustava za filtriranje makro radnji u program za blokiranje, gotovo točno identificirajući one koje predstavljaju stvarnu opasnost. Zahvaljujući tome, blokator AVP Office Guard, s jedne strane, korisniku postavlja puno manje pitanja i nije toliko "nametljiv" kao njegovi parnjaci datoteka, as druge strane, gotovo 100% štiti računalo od makro virusa, i poznata i još nenapisana.

AVP Office Guard presreće i blokira izvršavanje čak i višeplatformskih makro virusa, odnosno virusa koji se mogu pokrenuti u nekoliko aplikacija odjednom. Osim toga, program AVP Office Guard kontrolira rad makronaredbi s vanjskim aplikacijama, uključujući programi za poštu. Time se eliminira mogućnost širenja makrovirusa elektronička pošta. No upravo je na taj način virus LoveLetter u svibnju ove godine zarazio desetke tisuća računala diljem svijeta.

Učinkovitost blokatora bila bi nula da ga makro virusi mogu nasumično onemogućiti. (Ovo je jedan od nedostataka antivirusne zaštite ugrađene u MS Office aplikacije.) AVP Office Guard ima novi mehanizam za suzbijanje napada makrovirusa na sebe s ciljem da ga onesposobi i eliminira iz sustava. To može učiniti samo sam korisnik. Stoga će vas korištenje AVP Office Guarda spasiti od vječne glavobolje preuzimanja i povezivanja ažuriranja antivirusne baze podataka za zaštitu od novih makro virusa. Nakon instaliranja, ovaj će program pouzdano štititi vaše računalo od makro virusa sve dok se ne objavi nova verzija programskog jezika VBA s novim funkcijama koje se mogu koristiti za pisanje virusa.

Iako bihevioralni blokator rješava problem otkrivanja i sprječavanja širenja makro virusa, nije namijenjen njihovom uklanjanju. Stoga se mora koristiti zajedno s antivirusnim skenerom koji može uspješno uništiti otkriveni virus. Blokator će vam omogućiti da sigurno pričekate razdoblje između otkrivanja novog virusa i izdavanja ažuriranja antivirusne baze podataka za skener, bez prekidanja rada računalnih sustava zbog straha od trajnog gubitka vrijednih podataka ili ozbiljnih oštetiti hardver računala.

PRAVILA "RAČUNALNE HIGIJENE"

"Ni pod kojim uvjetima ne otvarajte datoteke poslane e-poštom od vama nepoznatih osoba. Čak i ako vam je primatelj poznat, budite oprezni: vaši prijatelji i partneri možda neće ni posumnjati da njihovo računalo ima virus koji tiho šalje svoje kopije na adrese iz svojih Adresar.

" Obavezno skenirajte sve diskete, CD-ove i druge mobilne medije, kao i datoteke primljene s interneta i drugih javnih izvora (BBS, elektroničke konferencije, itd.) antivirusnim skenerom s maksimalnom razinom skeniranja.

" Provedite potpuno antivirusno skeniranje vašeg računala nakon što ga primite od servisa. Serviseri koriste iste diskete za skeniranje svih računala - vrlo lako mogu unijeti "infekciju" s drugog stroja!

“Pravovremeno instalirajte zakrpe proizvođača operativnih sustava i programa koje koristite.

" Budite oprezni kada drugim korisnicima dopuštate pristup vašem računalu.

"Kako biste povećali sigurnost svojih podataka, povremeno napravite sigurnosnu kopiju informacija na neovisnim medijima.

Sistemski virusi prodiru u sistemske module i upravljačke programe perifernih uređaja i zaraze programe tumača.

U svijetu računala postoji posebna skupina virusa dizajniranih da izazovu kvar sustava za generiranje. Manifestacije mogu biti različite: ponovno pokretanje, zamrzavanje, neispravan rad aplikacije i više.