Компьютерные вирусы и методы борьбы с ними
Компью́терные ви́русы — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликации). В дополнение к этому они могут повреждать или полностью уничтожать данные, подконтрольные пользователю, от имени которого была запущена заражённая программа.
Вредоносные программы пишутся с разными целями.
- шутка;
- вандализм, в том числе на религиозной, националистической, политической почве;
- стремление доказать свою квалификацию или проверить новый программный механизм;
- получение конфиденциальной информации;
- меркантильные мотивы, например, распространение спама с компьютера-зомби.
Большинство вирусов пишется студентами и школьника, недавно начавшими изучать язык и решивших таким способов «пошутить». Но такие вирусы не устраивали эпидемий в интернете и не наносили большого урона, а просто писались для самоутверждения автора.
Следующая группа «авторов» - студенты, который не до конца овладели искусством программирования, и пишут вирусы из-за свой неполноценности. Такие вирусы имеют очень много ошибок, и, как правило, долго не живут.
С появлением сети интернет, вирусов стало еще больше. Т. к. существует много сайтов с рекомендациями (а очень часто и с готовыми кодами) вирусов, которые нужно только откомпилировать и все. Хулиганские вирусы постепенно уходят в прошлое, на текущий момент доля подобных вирусов и троянских программ занимает не более 10% «материала», заносимого в антивирусные базы данных.
Остальные вирусы (90%) намного опаснее «обычных» вирусов. Их создатели профессионалы и выпускают только «профессиональные» вирусы.
Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика — попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.
Каждый пункт является обязательным.
Из этих условий следует вывод: чем популярнее ОС или программа, тем чаще она будет являться жертвой вирусной атаки. Например, для ОС Линукс существует ни так много вирусов, как для ОС Виндоус.
Наличие полной документации необходимо для существования вирусов по естественной причине — создание программ (включая вирусные) невозможно без технического описания использования сервисов операционной системы и правил написания приложений. У большинства мобильных телефонов, например, подобная информация закрыта — ни компании-производители программных продуктов, ни хакеры не имеют возможности разрабатывать программы для данных устройств.
Канал распространения.
Сейчас основной канал распространения вирусов — электронная почта. Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и другим программам мгновенного обмена сообщениями, и по электронной почте. Возможно так же заражение через страницы Интернет. В этом случае используются уязвимостью программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (это опаснее всего, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей). Хакеры и спамеры используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.
История вредоносных программ.
Мнений по поводу рождения первого компьютерного вируса очень много. Нам доподлинно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были. Несмотря на это, сама идея компьютерных вирусов появилась значительно раньше. Отправной точкой можно считать труды Джона фон Неймана по изучению самовоспроизводящихся математических автоматов. Эти труды стали известны в 1940-х годах. А в 1951 г. знаменитый ученый предложил метод, который демонстрировал возможность создания таких автоматов. Позднее, в 1959 г. , журнал "Scientific American" опубликовал статью Л. С. Пенроуза, которая также была посвящена самовоспроизводящимся механическим структурам. В отличие от ранее известных работ, здесь была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Позднее, по следам этой статьи другой ученый - Ф. Ж. Шталь - реализовал модель на практике с помощью машинного кода на IBM 650.
С самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать мир, сделать его более приспособленным для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике и искусственному интеллекту. В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В. А. Высотский, Г. Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы. На этом теоретические исследования ученых и безобидные упражнения инженеров ушли в тень, и совсем скоро мир узнал, что теория саморазмножающихся структур с неменьшим успехом может быть применена и в несколько иных целях.
Начало 70-х годов
В начале 1970-х годов в прототипе современного интернета - военной компьютерной сети APRAnet - был обнаружен вирус Creeper. Написанная для некогда популярной операционной системы Tenex, эта программа была в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: "I'M THE CREEPER : CATCH ME IF YOU CAN". Позднее, для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По своей сути это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по вычислительной сети и в случае обнаружения тела вируса Creeper уничтожал его. Не будучи участником тех событий, трудно сказать - было ли это противоборством первых создателей вирусов или же обе программы были созданы одним человеком или группой людей, желавших исправить допущенную ошибку.
1974 год
На мейнфреймах этого времени появляется программа, получившая название "кролик" (Rabbit). Это имя она получила потому, что кроме размножения и распространения по носителям информации она ничего не делала. Правда, скорость ее размножения вполне оправдывала название. Эта программа клонировала себя, занимала системные ресурсы и таким образом снижала производительность системы. Достигнув определенного уровня распространения на зараженной машине "кролик" нередко вызывал сбой в ее работе.
1975 год
Другой инцидент, который с определенными оговорками также можно отнести к разряду вирусных, произошел на системе Univac 1108. Им стал случай с игрой (по некоторым данным троянской программой) "Pervading Animal".
При помощи наводящих вопросов игра пыталась определить имя животного, задуманного играющим. В программе была предусмотрена возможность самообучения: если ей не удавалось отгадать задуманное человеком название, игра предлагала модернизировать себя и ввести дополнительные наводящие вопросы. Модифицированная игра записывалась поверх старой версии и, помимо этого, копировалась в другие директории. В результате, через некоторое время все директории на диске содержали копии "Pervading Animal". В те времена такое поведение программы вряд ли могло понравиться инженерам, поскольку в совокупности все копии игры занимали слишком много дискового пространства.
Что это было - ошибка создателя игры или попытка намеренного "засорения" систем - сказать трудно. Грань между некорректным поведением программы и вредоносным кодом до сих пор слишком прозрачна.
Проблему пытались решить по известному сценарию Creeper-Reaper, т. е. выпуском новой версии игры, которая искала все копии своей предшественницы и, в конечном счете, уничтожала их. Однако позднее все решилось гораздо проще: была выпущена новая версия операционной системы Exec 8: в ней подверглась изменениям структура файловой системы, и игра потеряла возможность размножаться.
Начало 80-х годов
Компьютеры становятся все более и более популярными. Появляется все больше и больше программ, авторами которых являются не фирмы-производители программного обеспечения, а частные лица. Развитие телекоммуникационных технологий дает возможность относительно быстро и удобно распространять эти программы через серверы общего доступа - BBS (Bulletin Board System). Позднее, полулюбительские, университетские BBS перерастают в глобальные банки данных, охватывающие практически все развитые страны. Они обеспечивают быстрый обмен информацией между даже самыми удаленными точками планеты. В результате появляется большое количество разнообразных "троянских коней" - программ, не имеющих способности к размножению, но при запуске наносящих системе какой-либо вред.
1981 год
Широкое распространение компьютеров марки Apple II предопределило внимание, оказанное создателями вирусов к этой платформе. Неудивительно, что первая в истории действительно массовая эпидемия компьютерного вируса произошла именно на Apple II.
Вирус Elk Cloner записывался в загрузочные сектора дискет, к которым шло обращение. В те времена это казалось невероятным и вызывало у рядовых пользователей устойчивую связь между вирусами и внеземными цивилизациями, пытающимися завоевать мир. Впечатление от вируса усиливалось его проявлениями: Elk Cloner переворачивал изображение на экране, заставлял мигать текст, выводил разнообразные сообщения:
ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT'S CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!
1983 год
Лен Эйделман впервые употребляет термин "вирус" в применении к саморазмножающимся компьютерным программам. 10 ноября 1983 г. Фред Коэн, родоначальник современной компьютерной вирусологии, на семинаре по компьютерной безопасности в Лехайском университете (США) демонстрирует на системе VAX 11/750 вирусоподобную программу, способную внедряться в другие объекты. Годом позже, на 7-й конференции по безопасности информации, он дает научное определение термину "компьютерный вирус", как программе, способной "заражать" другие программы при помощи их модификации с целью внедрения своих копий.
1986 год
Зарегистрирована первая глобальная эпидемия вируса для IBM-совместимых компьютеров. Вирус Brain, заражающий загрузочные сектора дискет, в течение нескольких месяцев распространился практически по всему миру. Причина такого "успеха" заключалась в полной неподготовленности компьютерного общества к встрече с таким явлением, как компьютерный вирус: антивирусные программы еще не получили такого широкого распространения как сейчас, а пользователи, в свою очередь, не соблюдали основных правил антивирусной безопасности. Эффект от произошедшей эпидемии усиливался плохим знакомством общества и неизученностью феномена "компьютерный вирус". Вслед за обнаружением Brain один за другим стали появляться научно-фантастические романы, посвященные вирусам.
Вирус Brain был написан в Пакистане 19-летним программистом Баситом Фарук Алви (Basit Farooq Alvi) и его братом Амжадом (Amjad), оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Как утверждали авторы вируса, работавшие в компании по продаже программных продуктов, они решили выяснить уровень компьютерного пиратства у себя в стране. Помимо заражения загрузочных секторов и изменения меток (label) дискет на фразу '(c) Brain' вирус ничего не делал: он не оказывал никакого побочного воздействия и не портил информацию. К сожалению, эксперимент быстро вышел из-под контроля и выплеснулся за границы Пакистана.
Интересно, что вирус Brain являлся также и первым вирусом-невидимкой. При обнаружении попытки чтения зараженного сектора диска вирус незаметно "подставлял" его незараженный оригинал.
В том же году немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986 г. , в Гамбурге, на форуме компьютерного "андерграунда" - Chaos Computer Club. В то время форум собирал хакеров, специализировавшихся на взломе VAX/VMS-систем. Несмотря на это, вряд ли они были разочарованы пристрастием одного из членов форума к IBM-совместимым компьютерам.
1989 год
Ноябрь 1988: повальная эпидемия настоящего сетевого вируса, получившего название червь Морриса. Вирус заразил более 6000 компьютерных систем в США (включая Исследовательский центр NASA) и практически парализовал их работу. По причине ошибки в коде вируса он, как и вирус-червь "Christmas Tree", неограниченно рассылал свои копии по другим компьютерам сети, запускал их на выполнение и таким образом полностью забирал под себя все сетевые ресурсы.
Для своего размножения вирус использовал ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал и несколько других оригинальных идей, например, подбор паролей пользователей (из списка, содержащего 481 вариант) для входа в системы под чужим именем. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.
Наконец, 1988 г. ознаменовался появлением одной из наиболее известных антивирусных программ - Dr. Solomon's Anti-Virus Toolkit. Программа была создана английским программистом Аланом Соломоном (Alan Solomon), завоевала огромную популярность и просуществовала до 1998 г. , когда компания была поглощена другим производителем антивирусов - американской Network Associates (NAI).
человеческий фактор. Во-первых, пользователи того времени отличались очень низким знанием правил антивирусной безопасности. Во-вторых, многие пользователи и даже профессионалы не верили в существование компьютерных вирусов. Показателен тот факт, что в 1988 г. известный программист Питер Нортон, чьим именем сегодня называются многие продукты американской компании Symantec (что отнюдь не означает, что в их разработке он принимал персональное участие), высказался резко против существования вирусов. Он официально объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Этот казус, однако, не помешал Symantec через некоторое время начать собственный антивирусный проект - Norton AntiVirus.
22 апреля 1988 г. создан первый электронный форум по проблеме антивирусной безопасности. Ею стала конференция Virus-L в сети Usenet, которая была создана коллегой Фреда Коэна по университету Кеном Ван Уайком (Ken van Wyk).
В 1988 г. были зафиксированы первые случаи распространения т. н. вирусных мистификаций (современный термин - 'Virus Hoax'). Это весьма интересный феномен, основанный на распространении ложных слухов о появлении новых, чрезвычайно опасных компьютерных вирусов. По сути дела эти слухи и были своего рода вирусами: напуганные пользователи распространяли такие сообщения по всем своим знакомым с необычайной скоростью. Вряд ли стоит останавливаться на том, что мистификации не наносят компьютерам никакого ущерба. Однако, вместе с тем, они забивают каналы передачи данных, нервируют других пользователей и дискредитируют людей, поверивших в эти слухи.
Одна из первых шуток такого характера принадлежит некому Mike RoChenle (псевдоним похож на английское слово "microchannel"), который в октябре 1988 г. разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бит в секунду. В качестве панацеи предлагалось как можно скорее перейти на использование модемов скоростью 1200 бит в секунду. Как это ни смешно, многие пользователи действительно последовали этому совету.
Другой шуткой из этой же области стало предупреждение, выпущенное Робертом Моррисом (Robert Morris) о вирусе, распространяющемся по электрической сети, изменяющем конфигурацию портов и направление вращения дисководов. Согласно сообщению, всего за 12 минут вирус успел поразить 300 000 компьютеров в штате Дакота (США).
Появляются новые вирусы - Datacrime, FuManchu (модификация вируса Jerusalem) и целые семейства - Vacsina и Yankee.
Вирус Datacrime имел крайне опасное проявление - с 13 октября по 31 декабря он инициировал низкоуровневое форматирование нулевого цилиндра жесткого диска, что приводило к уничтожению таблицы размещения файлов (FAT) и безвозвратной потере данных. Первое сообщение об обнаружении вируса поступило в марте из Нидерландов от человека по имени Фред Фогель (Fred Vogel). Несмотря на небольшое распространение, Datacrime вызвал повальную истерию в мировых средствах массовой информации. Последовательно воспроизведенные многими печатными изданиями сведения об этом вирусе вызвали существенное искажение его реальной опасности и механизма действия. В США он даже получил название День Колумба, причем некоторые издания предположили, что вирус был написан никем иным как норвежскими террористами, пытавшимися отомстить за то, что открывателем Америки считается Колумб, а не Рыжий Эрик.
Интересный случай произошел в Голландии. Местная полиция приняла решение начать активную борьбу с киберпреступностью. Для этой цели она разработала антивирусную программу, способную нейтрализовать Datacrime и продавала ее прямо в полицейских участках по весьма доступной цене всего в $1. Антивирус пользовался большим спросом, но вскоре выяснилось, что программа работает недостаточно надежно, отличаясь большим числом ложных срабатываний. Для исправления ошибки была выпущена вторая версия антивируса, которая, однако, тоже не отличалась безукоризненной работой.
В июле 1989 г. общественность, внимание которой стараниями СМИ было сфокусировано на инциденте с Datacrime, в конце концов обратилась к тогдашнему безоговорочному лидеру в компьютерной области - корпорации IBM - с просьбой избавить их от грядущей напасти. После недолгих раздумий и маркетинговых исследований IBM все же решила "рассекретить" свой антивирусный проект, разработанный в исследовательском центре T J Watson (IBM T J Watson Research Center) и сделать его полноценным коммерческим продуктом. IBM Virscan для MS-DOS появился в продаже 4 октября 1989 г. всего за 35 долларов.
Апрель 1989 г. стал весьма примечательной вехой в истории небольшого английского паба в Оксфорде. В это время в этом самом месте руководителям английской антивирусной компании Sophos Яну Храске (Jan Hruska), Питеру Лэймеру (Peter Lammer) и Эду Уайлдингу (Ed Wilding) пришла идея публикации независимого издания, содержащего действительно надежную, проверенную информацию о компьютерных вирусах. С самого первого номера (июль 1989 г. ) главными критериями работы Virus Bulletin (такое название получил новый журнал) стали его полная независимость (с момента создания в журнале не было опубликовано ни одного рекламного объявления) и профессиональный подход к освещению проблемы защиты от вирусов. Авторами статей и членами редакционного совета Virus Bulletin являются наиболее уважаемые антивирусные эксперты-представители ведущих компаний-разработчиков антивирусного программного обеспечения.
С сентября 1989 г. Virus Bulletin начал проводить ежегодные конференции, куда съезжались как антивирусные специалисты, так и корпоративные заказчики. Пожалуй, это была одна из первых успешных попыток объединения антивирусных экспертов и крупных пользователей разных стран для того, чтобы сообща бороться с компьютерной чумой века. Конференции способствовали обмену опытом между ведущими разработчиками антивирусных программ, помогали вырабатывать единую позицию в борьбе с компьютерным вандализмом, систематизировать исследования феномена компьютерных вирусов и т. д. Это давало заказчикам достоверную информацию "из первых рук" о существующих трудностях и перспективах развития средств защиты от вирусов.
В качестве ответа на действия конкурента другая английская антивирусная компания -Dr. Solomon's - в конце 1989 г. запускает свой собственный издательский проект -Virus Fax International. В 1990 г. издание было переименовано в Virus News International, а еще позднее - в Secure Computing. Сегодня этот журнал является одним из наиболее популярных изданий в области защиты информации, специализируясь на анализе не только антивирусных программ, но также всего спектра программных и аппаратных средств, применяемых для обеспечения компьютерной безопасности. Secure Computing проводит ежегодные конкурсы "Secure Computing Awards" на лучшие разработки в различных областях, в т. ч. в области антивирусной защиты, криптографии, контроля доступа, межсетевых экранов и др.
16 октября 1989 г. на компьютерах VAX/VMS в сети SPAN была зафиксирована эпидемия вируса-червя WANK Worm. Для распространения червь использовал протокол DECNet и менял системные сообщения на сообщение "WORMS AGAINST NUCLEAR KILLERS", сопровождаемое текстом "Your System Has Been Officially WANKed". WANK также менял системный пароль пользователя на набор случайных знаков и пересылал его на имя GEMPAK в сети SPAN.
Декабрь 1989: инцидент с троянской программой Aids Information Diskette. Некий злоумышленник разослал 20. 000 дискет, содержащих "троянца", по адресам в Европе, Африке и Австралии, похищенным из баз данных Организации всемирного здравоохранения и журнала PC Business World. После запуска зараженной дискеты вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы программа шифровала имена всех файлов, делала их невидимыми и оставляла на диске только один читаемый файл - счет, который следовало оплатить и отослать по указанному адресу. Следствию удалось довольно быстро выявить автора "троянца", оказавшегося неким Джозефом Поппом (Joseph Popp), который позднее был признан невменяемым. Несмотря на это он был заочно приговорен к тюремному заключению итальянскими властями.
Следует отметить тот факт, что 1989 год стал началом повальной эпидемии компьютерных вирусов и в России. К концу 1989 года на наших просторах "паслось" уже около десятка вирусов (перечислены в порядке их появления): две версии Cascade, несколько модификаций вирусов Vacsina и Yankee, Jerusalem, Vienna, Eddie, PingPong.
Распространение высоких технологий, в том числе в России (тогда еще СССР) предопределило возникновение новых антивирусных проектов по всему миру. В 1989 г. свою карьеру антивирусного эксперта начал Евгений Касперский, позже основавший компанию "Лаборатория Касперского". Его первое знакомство с вирусами произошло в октябре 1989 г, когда вирус Cascade был обнаружен на его рабочем компьютере. Именно это и послужило толчком для будущей профессиональной переориентации Евгения Касперского на создание программ-антивирусов.
Месяцем позже второй инцидент (вирус Vacsina) был закрыт при помощи первой версии антивируса '-V', который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro.
В 1989 г. на международную арену выходят другие антивирусные продукты: F-Prot, ThunderBYTE, Norman Virus Control.
1990 год
Этот год принес несколько весьма заметных событий, ознаменовавших новый этап в области создания вирусов.
Во-первых, это касается появления нового поколения компьютерной фауны - полиморфных вирусов. Первый представитель этого типа вредоносных программ, Chameleon (1260, V2P1, V2P2 и V2P6), "эволюционировал" из двух других ранее известных вирусов - Vienna и Cascade. Автор Chameleon, Марк Уошбурн, за основу вируса взял сведения о Vienna из книги Бюргера и добавил к нему усовершенствованные принципы самошифрации Cascade. В отличие от Cascade, Chameleon изменял внешний вид как тела вируса, так и самого расшифровщика. Эта особенность делала современные антивирусные программы малоэффективными: до этого момента они использовали обычный контекстный поиск "масок", т. е. кусков вирусного кода. В Chameleon отсутствовал постоянный вирусный код, что делало разработку новых принципов антивирусной защиты задачей номер 1. Эти принципы не заставили себя долго ждать, и вскоре антивирусные эксперты изобрели специальные алгоритмические языки, способные распознать в зараженном файле даже полиморфный вирус. Позднее, в 1992 г. , Евгений Касперский изобрел еще более эффективный способ нейтрализации полиморфных вирусов - эмулятор процессора для дешифрации кодов. Сегодня технология является неотъемлемым атрибутом каждого современного антивирусного продукта.
Вторым важным событием года стало появление болгарского "завода по производству вирусов". В течение этого года и ряда последующих лет было обнаружено огромное количество новых вирусов, которые имели болгарское происхождение. Это были целые семейства вирусов - Murphy, Nomenclatura, Beast (или 512, Number-of-Beast), новые модификации вируса Eddie и многие другие. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и сокрытия себя в системе. Именно этот человек впервые использовал технологию заражения файлов, при которой вирус, находящийся резидентно в памяти компьютера, автоматически заражал все используемые файлы, в т. ч. просто открываемые для чтения. Dark Avenger демонстрировал большие способности не только в создании вирусов, но также и в их распространении: он активно загружал зараженные программы на электронные станции (BBS), распространял исходные коды своих "творений" и всячески пропагандировал идею создания вирусов.
В этом же году в Болгарии появилась первая BBS (VX BBS), ориентированная на обмен вирусами и информацией для вирусописателей. Идеология станции была исключительно проста: если пользователь передавал вирус, то взамен он мог загрузить один понравившийся ему вирус из каталога станции. Если же пользователь передавал новый, интересный вирус, то он получал полный доступ к ресурсам станции и мог загружать неограниченное число вирусов из предлагаемой коллекции. Вряд ли стоит пояснять каким мощным стимулом развитию вирусного движения стала VX BBS. Станция отнюдь не была каким-то локальным явлением: доступ к ней мог получить любой желающий из любой точки мира!
В июле 1990 г. произошел серьезный инцидент с английским компьютерным журналом PC Today. К каждому номеру журнала бесплатно прилагался флоппи-диск, как оказалось впоследствии, зараженный вирусом DiskKiller. Было продано более 50. 000 копий журнала. Комментарии излишни.
Во второй половине 1990-го появились два монстра-невидимки - Frodo и Whale. Оба вируса использовали крайне сложные алгоритмы сокрытия присутствия в системе ("невидимости"), а девятикилобайтный Whale, к тому же, применял несколько уровней шифровки и целый ряд хитрых антиотладочных приемов.
Были обнаружены и первые известные отечественные вирусы: "Peterburg", "Voronezh" и ростовский "LoveChild".
В декабре 1990 г. в Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR - European Institute for Computer Anti-virus Research). Сейчас Институт является одной из наиболее уважаемых международных организаций, объединяющей практически все крупные антивирусные компании.
1991 год
Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Быстрый рост количества и качества компьютерной заразы и внимание, которое приковывал к себе этот столь "модный" феномен как со стороны пользователей, так и средств массовой информации, определил начало формирования нового рынка - средств защиты от компьютерных вирусов. Этот факт не ускользнул от внимания маркетинговых служб компаний-производителей программного обеспечения: конец 1990 - начало 1991 г. стали временем создания целого ряда антивирусных продуктов. Во-первых, это Norton AntiVirus компании Symantec, представленный в декабре 1990 г. Во-вторых, это Central Point AntiVirus и антивирусный проект компании Fifth Generation Systems под названием "Untouchable". Впрочем, оба они позднее были куплены Symantec: первый - в июне 1994 г. за $60 млн. , второй - в октябре 1993 г. за $48 млн.
Вслед за болгарской VX BBS и неуловимым Dark Avenger по всему миру появляются другие станции, ориентированные на обмен вирусами, и новые темные личности, посвятившие свои жизни созданию вирусов. В Италии появляется Cracker Jack (Italian Virus Research Laboratory BBS), в Германии - Gonorrhoea, в Швеции - Demoralized Youth, в США - Hellpit, в Англии - Dead On Arrival и Semaj.
В апреле разразилась настоящая эпидемия файлово-загрузочного, полиморфного вируса Tequila. Он был создан одним швейцарским программистом исключительно в исследовательских целях и не предназначался для какой-либо вредоносной деятельности. Однако, экземпляр вируса был похищен знакомым автора, который, в свою очередь, намеренно заразил диски своего отца. К слову сказать, отец работал в компании по производству компьютерных программ, что и определило быстрое распространение Tequila. В сентябре подобный инцидент случился с полиморфным вирусом Amoeba. Россию эти события практически не затронули.
Лето 1991: эпидемия вируса Dir_II, использовавшего принципиально новый способ заражения файлов - link-технологию. На сегодняшний день этот вирус остается единственным представителем этого класса, который был обнаружен в диком виде.
В целом, год 1991 был достаточно спокойным - этакое затишье перед бурей, разразившейся в 1992-м.
1992 год
Вирусы для не-IBM-PC и не-MS-DOS практически забыты: "дыры" в глобальных сетях закрыты, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки книг и несколько регулярных журналов, посвященных вирусам. На этом фоне выделяются следующие основные моменты.
- Начало года: появляется первый полиморфик-генератор MtE. Его главное предназначение - возможность интеграции в другие вирусы для обеспечения их полиморфизма. Автор программы, печально известный Dark Avenger, делает все возможное, чтобы облегчить своим "коллегам" работу с MtE: генератор поставляется в виде готового объектного модуля и сопровождается подробной документацией с указаниями и его лучшем применении. На базе MtE через некоторое время появляется сразу несколько полиморфных вирусов. Он также стал прообразом нескольких последующих полиморфик-генераторов. MtE стал серьезной головной болью для антивирусных компаний. Некоторые из них даже спустя несколько месяцев так и не добились 100% результата обнаружения известных вариантов полиморфных вирусов, созданных с использованием MtE.
- Появляются первые вирусы класса анти-антивирус. Одним из первых представителей этого класса стал Peach, который удалял базу данных ревизора изменений Central Point AntiVirus. Если эта антивирусная программа не находила базы данных, то она считала, что запущена в первый раз и незаметно для пользователя создавала ее заново. Таким хитрым образом вирус обходил защиту и оставался незаметным, постепенно заражая всю систему.
- В органах внутренних дел по всему миру начинают развиваться специальные департаменты, занимающиеся исключительно компьютерными преступлениями. Достоянием гласности становятся все больше случаев успешной борьбы с создателями вирусов. Например, Отдел по борьбе с компьютерными преступлениями Скотланд Ярда (Computer Crime Unit of the New Scotland Yard) успешно "разоружает" английскую вирусную группу ARCV (Association for Really Cruel Viruses). Активная позиция правоохранительных органов Великобритании, к примеру, практически нейтрализовала активность компьютерного андерграунда, и даже сейчас в этой стране нам неизвестны сколько-нибудь серьезные организованные группировки вирусописателей.
- Март 1992: эпидемия вируса "Michelangelo" ("March6") и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своим продуктам, т. е. в целях извлечения коммерческой выгоды. Так, одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в действительности пострадали всего несколько тысяч машин.
- Июль 1992: появление первых конструкторов вирусов VCL и PS-MPC. Они позволяли людям создавать свои собственные вирусы различных типов и модификаций, нашпиговывая их богатым "ассортиментом" деструктивных действий. Конструкторы увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.
- Конец 1992: обнаружение Win. Vir_1_4 (10) - первого вируса для Windows, заражающего исполняемые файлы этой операционной системы. Несмотря на то, что вирус был корявым, имел ограниченные возможности для распространения и не использовал специальные функции Windows, он все же открыл новую страницу в истории создания компьютерных вирусов.
- Ноябрь 1992: компания Symantec приобретает Certus International (а с ней и антивирусный продукт компании - Novi).
1993 год
Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик-генераторов и конструкторов, помимо новых электронных изданий для вирусописателей - появляется все больше и больше вирусов, использующих крайне необычные способы заражения файлов, проникновения в систему и другие технологии сокрытия и разрушения.
В качестве примера можно привести вирус PMBS, работающий в защищенном режиме процессора Intel 80386; а также - вирус Strange (или "Hmm") - сольное выступление на тему "стелс-вирус", однако выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h. Не меньший "вклад" в развитие вирусных технологий внес вирус Carbuncle, значительно расширивший диапазон алгоритмов компаньон-вирусов. Ряд других вирусов, в частности, Emmie, Bomber, Uruguay и Cruncher (6-9) использовали принципиально новые приемы маскировки своего кода в зараженных файлах.
Весна 1993 г. оказалась весьма нервозным временем для еще не успевших набрать силу компаний-производителей антивирусного ПО. Возмутителем спокойствия стала, как это повторилось позднее в случае с интернет-браузерами, корпорация Microsoft. Она выпустила свой собственный антивирус - Microsoft AntiVirus (MSAV), который включался в стандартную поставку операционных систем MS-DOS и Windows. Он был основан на бывшем в то время популярным Central Point AntiVirus (CPAV). Первые тесты, проведенные независимыми испытательными лабораториями, показали высокую надежность продукта. Однако впоследствии его качество стало постепенно ухудшаться, и через некоторое время Microsoft решила закрыть этот проект. Производители антивирусов вздохнули свободно. Особенно свободно вздохнула Symantec, поглотившая конкурирующую компанию Fifth Generation Systems.
1994 год
Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярным, этот тип носителей оказался одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходилось - их просто уничтожили.
В начале года в Великобритании появились два крайне сложных полиморфик-вируса - SMEG. Pathogen и SMEG. Queeg (до сих пор не все антивирусные программы в состоянии достичь 100%-го результата при их детектировании). Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.
Еще одну волну паники вызвало предупреждение о якобы существующем вирусе "GoodTimes", распространяющем себя по интернету и заражающем компьютер при получении электронной почты. Такого вируса на самом деле не существовало, и это предупреждение было занесено в разряд вирусных мистификаций. Однако через некоторое время появился обычный DOS-вирус, содержащий текст "Good Times". Он получил название GT-Spoof.
Несмотря на то, что эта мистификация родом из далекого 1994 г. , мы до сих пор время от времени получаем письма от встревоженных пользователей, требующих рассказать о новом, чрезвычайно опасном вирусе "GoodTimes", слухи о котором циркулируют среди их знакомых по интернету. Мало того, эта утка очень быстро интернационализировалась и была переведена на многие языки мира, в т. ч. испанский, португальский, французский, немецкий, русский, итальянский и многие другие.
Появляются несколько новых, достаточно необычных вирусов:
Январь 1994: Shifter - первый вирус, заражающий объектные модули (OBJ-файлы). "Phantom1" - эпидемия первого полиморфного вируса в Москве.
Апрель 1994: SrcVir - семейство вирусов, заражающих исходные тексты программ (C и Pascal).
Июнь 1994: OneHalf - начало повальной эпидемии опасного и очень сложного полиморфного вируса, до сих пор доставляющего хлопоты пользователям по всему миру.
Сентябрь 1994: "3APA3A" - эпидемия файлово-загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.
Этот год также ознаменовался несколькими важными событиями в антивирусной области. В июне перестал существовать один из антивирусных лидеров того времени - Central Point. Компанию приобрела фирма Symantec, уже успевшая получить титул коллекционера антивирусных проектов за свое пристрастие к поглощению конкурентов. В сентябре состоялся международный дебют AntiViral Toolkit Pro (AVP): первое участие программы группы разработчиков, руководимой Евгением Касперским, в независимых тестах Центра по изучению компьютерных вирусов Гамбургского университета принесла AVP абсолютную победу по всем категориям.
1995 год
Ничего действительно заметного в области DOS-вирусов не произошло, хотя появилось несколько достаточно сложных вирусов-монстров типа NightFall, Nostardamus, Nutcracker и таких забавных вирусов, как "двуполый" вирус RMNS и BAT-вирус Winstart. Широкое распространение получили вирусы ByWay и DieHard2 - сообщения о зараженных компьютерах были получены практически со всего мира.
Февраль 1995: произошел инцидент с компанией Microsoft: на диске, содержащем демонстрационную версию операционной системы Windows 95, обнаружен загрузочный вирус "Form". Копии этого диска Microsoft разослала 160 бета-тестерам, один из которых не поленился провести антивирусную проверку.
Весна 1995: анонсирован альянс двух антивирусных компаний - ESaSS (разработчик ThunderBYTE Anti-Virus) и Norman Data Defence Systems (Norman Virus Control).
Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы. Позднее, в феврале 1998 г. , это сотрудничество вылилось в банальное поглощению норвежцами голландской компании ESaSS.
Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в "живом виде" обнаружен первый вирус для текстового процессора Microsoft Word ("Concept"). Буквально за месяц вирус "облетел" весь земной шар, заполонил компьютеры пользователей MS Word и прочно занял первые места в статистических исследованиях, проводимых различными компьютерными изданиями. В первой половине сентября один из крупнейших мировых производителей компьютеров, компания Digital Equipment Corporation (DEC), распространила среди делегатов конференции DECUS, проходившей в Дублине, дискету, содержавшую "Concept". К счастью, этот инцидент был быстро обнаружен и локализован. Важно отметить, что "Concept" до сих пор имеет широкое хождение и на сегодняшний момент известно около 100 модификаций этого вируса.
Не меньший резонанс также имело появление первого компьютерного вируса для AmiPro, текстового редактора, в те времена не уступавшего по популярности даже MS Word. Исходный код вируса "Green Stripe" оказался бесплатным "приложением" к полуподпольному изданию Марка Людвига (Mark Ludwig) "Underground Technology Review".
Появление макро-вирусов заставило антивирусные компании еще раз серьезно задуматься, поскольку для защиты от этого класса вирусов требовалась разработка специального дополнения к программному ядру антивирусной программы, способной осуществлять поиск макро-вирусах в документах Word, а позднее и Excel, Access, PowerPoint и других приложений.
В 1995 г. дважды отличился английский филиал издательского дома Ziff-Davis. В сентябре принадлежащий ему журнал PC Magazine (английская редакция) распространил среди своих подписчиков дискету, содержащую загрузочный вирус Sampo. Этот факт был скоро обнаружен, редакция журнала принесла свои извинения и предложила читателям бесплатную антивирусную утилиту. Ирония случившегося заключалась в том, что в номере журнала, который сопровождала зараженная дискета, были опубликованы результаты тестов антивирусных продуктов для Novell NetWare.
В середине декабря другой журнал из семейства Ziff-Davis, Computer Life, разослал читателям дискету с рождественскими поздравлениями. Помимо собственно поздравления диск также содержал неожиданный сюрприз - загрузочный вирус Parity_Boot. B. В этой связи название журнала в глазах его читателей приобрело несколько иное значение.
В течение всего года не смыкали глаз блюстители компьютерного порядка. При содействии Подразделения по борьбе с компьютерными преступлениями Нового Скотланд Ярда (Computer Crime Unit), в Англии напряженно протекал, пожалуй, один из самых громких судебных процессов над Кристофером Пайлом (Christopher Pile), подозревавшимся в создании и распространении компьютерных вирусов. Также известному под псевдонимом Black Baron, 26-летнему безработному Пайлу 16 января, в суде г. Плимут было предъявлено обвинение в авторстве вирусов Queeg и Pathogen, а также полиморфик-генератора SMEG. Через 10 месяцев, 15 ноября, он признал себя виновным и был приговорен к 18 месяцам тюремного заключения.
1996 год
Январь 1996: два достаточно заметных события - появился первый вирус для операционной системы Windows 95 - Boza, и произошла эпидемия крайне сложного полиморфного вируса Zhengxi, написанного российским программистом из Санкт-Петербурга Денисом Петровым.
Март 1996: первая эпидемия вируса для Windows 3. x. Его имя - Win. Tentacle. Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Отличительная черта этого вируса в том, что это был первый Windows-вирус, вырвавшийся на свободу. До той поры все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в "живом виде" встречались только загрузочные, DOS- и макро-вирусы.
Июнь 1996: "OS2. AEP" - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом "компаньон".
Июль 1996: "Laroux" - первый вирус для Microsoft Excel, к тому же пойманный в "живом виде" практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР. Как и у MS Word-вирусов, принцип действия "Laroux" основывается на наличии в файлах так называемых макросов - программ на языке программирования Visual Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS Word. Как оказалось, встроенный в Excel Visual Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997 стал причиной эпидемии во многих компьютерных фирмах Москвы.
В конце лета вирусописатели под псевдонимами Nightmare Joker и Wild Worker практически одновременно выпускают конструкторы макро-вирусов для соответственно немецкой и английской версий MS Word - Word Macro Virus Construction Kit и Macro Virus Development Kit.
В середине октября в Microsoft произошел очередной инцидент, связанный с компьютерными вирусами: на веб-сайте компании, в одном из документов Word, посвященных технической поддержке программных продуктов Microsoft в Швейцарии, был обнаружен максро-вирус Wazzu. Позднее этот же вирус был найден на компакт-дисках, распространенных компанией на выставке компьютерных технологий Orbit, проходившей в Базеле, Швейцария. Однако на этом проблемы Microsoft с Wazzu не закончились: в сентябре вирус попал на компакт-диск Microsoft Solution Provider.
Декабрь 1996: "Win95. Punch" - первый резидентный вирус для Windows 95. Он загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.
В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андерграунда на операционные системы Windows95 и Windows NT, а также на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows 95/NT и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс- и полиморфик-механизмы и т. п. Таким образом, компьютерные вирусы вышли на новый виток своего развития - уровень 32-битных операционных систем. За два года вирусы для 32-битных Windows повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно новом технологическом уровне.
Произошли существенные изменения и у производителей антивирусных программ: в конце года компания Cheyenne Software, разработчик антивируса InocuLAN, была поглощена софтверным гигантом Computer Associates.
1997 год
В феврале 1997 г. появляется первый вирус для операционной системы Linux - "Linux. Bliss". Так вирусы заняли еще одну "биологическую" нишу.
Одновременно в выходом очередной версии пакета офисных приложений Microsoft Office 97 отмечается постепенное "переползание" макро-вирусов на эту платформу. Ограниченные возможности работы, а в некоторых случаях полная несовместимость макро-вирусов, созданных для MS Word 5. 0 и Excel 5. 0, с новым пакетом определялась присутствием в нем новой версии языка программирования Visual Basic for Applications (VBA) 5. 0, который заметно отличался от Word Basic и VBA 3. 0. Первые макро-вирусы для MS Office 97 на поверку оказались полными аналогами своих предшественников, всего лишь конвертированными в новый формат. Несмотря на это очень скоро появились настоящие макро-вирусы, нацеленные на работу исключительно в MS Office 97.
Март 1997 г. ознаменовался появлением макро-вируса "ShareFun" для MS Word 6/7, открывшего новую страницу в истории компьютерной индустрии. Он стал первым вирусом, использовавшим для своего распространения возможности современной электронной почты, в частности, почтовую программу MS Mail.
Апрель 1997: обнаружение вируса "Homer" - первого сетевого вируса-червя, использующего для своего распространения протокол передачи данных File Transfer Protocol (FTP).
Июнь 1997: Появление первого самошифрующегося вируса для Windows 95 - "Win95. Mad". Вирус, имеющий российское происхождение, был разослан на несколько станций BBS в Москве, что стало причиной довольно крупной эпидемии.
Ноябрь 1997: Вирус "Esperanto". Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы операционной системы MacOS (Макинтош).
Развитие интернета, в частности, появление технологии mIRC (Internet Relay Chat) определило живой интерес, проявленный к ней со стороны вирусописателей. Поток вредоносных программ для mIRC не заставил себя ждать.
Декабрь 1997: антивирусный мир трубит о появлении принципиально нового типа компьютерных червей, использующих каналы IRC (Internet Relay Chat). Анализ работы наиболее популярной утилиты для работы с IRC, известной как mIRC, показал присутствие опасной бреши в системе безопасности. Она заключалась в совпадении каталога для хранения загруженных через IRC файлов и каталога размещения управляющего файла SCRIPT. INI. Таким образом, злоумышленники могли передать на удаленный компьютер файл SCRIPT. INI (содержащий тело червя) и он автоматически замещал оригинальный управляющий файл. При последующем запуске mIRC стартовал код червя, который, в свою очередь, рассылал себя другим пользователям. Это досадное упущение разработчиков быстро исправили, и существовавшие примитивные IRC-черви канули в лету. Однако позднее появились многокомпонентные IRC-черви, которые также охотились на управляющие файлы SCRIPT. INI (для клиентов mIRC), EVENTS. INI (для клиентов pIRCh) и т. д. , но делали это примерно так же, как черви для электронной почты: пользователю присылался исполняемый файл (EXE, COM, BAT и т. п. ), который при запуске замещал оригинальный управляющий файл.
Одним из важнейших событий 1997 года стало отделение антивирусного подразделения фирмы КАМИ, возглавляемого Евгением Касперским, в независимую компанию "Лаборатория Касперского". Образование независимого юридического лица позволило вначале небольшой группе разработчиков всего за два года стать первой по значимости антивирусной компанией на отечественном рынке и достаточно заметной фигурой на рынке мировом. За короткие сроки были разработаны и выпущены версии для практически всех популярных платформ, предложены новые технологии защиты от вирусов, создана сеть международной дистрибуции и технической поддержки.
В октябре "Лаборатория Касперского" и финская компания Data Fellows (позднее переименованная в F-Secure Corporation) подписывают соглашение о лицензировании антивирусного ядра AVP для использования в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания Data Fellows была известна как производитель антивируса F-PROT.
Год 1997 также остался в памяти многих людей как Год Больших Дрязг: в разных концах мира разразились сразу несколько скандалов между крупными игроками рынка антивирусных продуктов. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили "закладку" в программах одного из своих основных конкурентов - в антивирусе фирмы Dr. Solomon's. Заявление от McAfee гласило, что если антивирус Dr. Solomon's при сканировании обнаруживает несколько вирусов различных типов, то его дальнейшая работа происходит в усиленном режиме. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr. Solomon's работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee "cheat mode" - "режим обмана"), позволяющий детектировать вирусы, невидимые для Dr. Solomon's при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr. Solomon's показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.
Ответный удар Dr. Solomon's не заставил себя ждать и вскоре эта фирма подала иск на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись к тексту "The Number One Choice Worldwide. No Wonder The Doctor's Left Town". Понятно, что под прозвищем Doctor подразумевался Алан Соломон (Alan Solomon) - основатель компании Dr. Solomon's, который в 1996 г. по сути дела передал свой бизнес топ-менеджерам компании.
Однако больше всех отличился тайваньский разработчик Trend Micro, обвинивший сразу две ведущие антивирусные компании - McAfee и Symantec - в нарушении его патента на технологию сканирования данных, передаваемых по интернету и электронной почте. Позднее в драку ввязался Symantec и предъявил иск McAfee по обвинению в использовании кодов из Norton AntiVirus Symantec в продуктах McAfee.
Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Assotiates Inc. (NAI) и о диверсификации бизнеса в направлении разработки не только антивирусных продуктов, но и других систем компьютерной безопасности: программ для шифрования, межсетевых экранов, сетевых сканеров и др. Однако на рубеже 1999-2000 гг. руководство NAI вновь принимает решение о реанимации бренда McAfee и линейка антивирусных продуктов компании получает свое старое имя.
1998 год
Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в интернет (семейство PSW), и несколько утилит скрытого администрирования (Backdoor). Зафиксированы инциденты с зараженными компакт-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами CIH и Marburg. В частности, компакт-диски, сопровождавшие английскую, словенскую, шведскую, а позднее и итальянскую редакции журнала PC Gamer содержали Marburg. Этот же вирус содержался в программе электронной регистрации компакт диска MGM Interactive под названием Wargames PC. В конце сентября был обнаружен факт присутствия вируса AutoStart на компакт дисках с дистрибутивом новой версии Corel DRAW 8. 0 для Mac OS.
Начало года: Эпидемия целого семейства вирусов Win32. HLLP. DeTroie, не только заражающих выполняемые файлы Windows32, но и способных передать своему "хозяину" информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франкоговорящие страны.
В феврале зафиксировано появление нового типа вируса для документов Excel - Excel4. Paix (или Formula. Paix). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код. Позже, в этом же месяце, зарегистрированы Win95. HPS и Win95. Marburg - первые полиморфные Windows32-вирусы, обнаруженные к тому же "в живом виде". Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.
1999 год
Как ни странно, но наиболее значительным событием начала года стало отнюдь не появление нового компьютерного вируса, а объявление о, по всей видимости, долго готовившейся покупке софтверным гигантом Computer Associates (CA) австралийского разработчика антивирусных программ Cybec. Таким образом, в "копилке" CA, вслед за поглощенным в конце 1996 г. Cheyenne Software, оказался еще один антивирусный проект.
Однако компьютерные вирусы не заставили себя ждать, и в январе разразилась глобальная эпидемия интернет-червя Happy99 (также известного как Ska). По сути дела это был первый современный червь, открывший новый этап в развитии вредоносных программ. Он использовал для своего распространения программу MS Outlook, ставшую корпоративным стандартом в США и многих странах Европы.
Практически одновременно с этим был обнаружен весьма интересный макро-вирус для MS Word - Caligula. Он просматривает системный реестр, находит ключи, соответствующие популярной программе шифрования PGP (Pretty Good Privacy), вычисляет каталоги возможного нахождения программы и производит в них поиск базы данных ключей шифрования PGP версии 5. x. В случае обнаружения этой базы данных, вирус инициирует FTP-сессию и незаметно для пользователя передает на удаленный компьютер найденный файл.
В конце февраля были зарегистрированы инциденты с участием "SK" - первого вируса, заражающего файлы помощи Windows (HLP).
26 марта мир был потрясен известием о глобальной эпидемии вируса "Melissa" - первого макро-вируса для MS Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Подобно "Happy99" вирус "Melissa" делал это абсолютно незаметно для пользователя и, что самое страшное, от его имени. К счастью, этот макро-вирус не представлял собой ничего сложного, и антивирусные разработчики оперативно выпустили соответствующие дополнения к своим программам. Эпидемия была достаточно быстро погашена. Несмотря на это, "Melissa" все же успела принести ощутимый ущерб компьютерным системам мира: такие гиганты индустрии, как Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты. По разным оценкам совокупный ущерб от вируса варьировался от нескольких миллионов до десятков миллионов долларов США. Правоохранительные органы США исключительно быстро отреагировали на эпидемию "Melissa". Через некоторое время был обнаружен и арестован автор вируса, которым оказался 31-летний программист из Нью Джерси (США), некий Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и штрафу в размере 400 000 долларов США.
7 мая вирусы вторгаются на территорию канадской корпорации Corel, точнее ее детища, графического пакета Corel DRAW!. Вирус "Gala" (также известный как GaLaDRieL), написанный на скрипт-языке Corel SCRIPT, стал первым, кто оказался способен заражать файлы как самого Corel DRAW!, так и Corel PHOTO-PAINT и Corel VENTURA.
В самом начале лета грянула эпидемия весьма опасного Интернет-червя "ZippedFiles" (также известного как ExploreZip). Он представлял собой EXE-файл, который после внедрения в систему уничтожал файлы некоторых популярных приложений. Хотя червь и не получил такого же распространения как "Melissa", оценки нанесенного им ущерба были гораздо выше. Несмотря на своевременные меры, предпринятые антивирусными компаниями по нейтрализации червя, в декабре был зарегистрирован рецидив "ZippedFiles". Отличие этой модифицированной версии заключалось лишь в том, что его тело было скомпрессировано утилитой сжатия Neolite. Таким образом, если антивирусная программа не поддерживала этот формат сжатия, червь становился для нее невидимым. А таких программ на тот момент было 100%. Лишь в январе 2000 г. в AntiViral Toolkit Pro (AVP) были интегрирована поддержка файлов, обработанных Neolite.
В августе был обнаружен интересный вирус-червь "Toadie" ("Termite"), который, помимо заражения файлов DOS и Windows, также прикреплял свои копии к письмам, отсылаемым по электронной почте при помощи программы Pegasus и пытался распространяться по каналам IRC.
Октябрь принес компьютерному сообществу еще три неприятных сюрприза. Во-первых, был обнаружен вирус "Infis", который стал первым вирусом для этой операционной системы, внедряющийся на самый высокий уровень безопасности платформы - область системных драйверов. Эта особенность делает вирус труднодоступным для лечения в памяти антивирусными программами. Во-вторых, в конце месяца антивирусные компании сообщили о первом компьютерном вирусе для MS Project. В действительности, это был многоплатформенный вирус, одинаково успешно заражавший как файлы MS Word, так и MS Project. В-третьих, проявился известный еще с июля скрипт-вирус "Freelinks", привлекший внимание вирусописателей к языку программирования Visual Basic Script (VBS) и ставший одним из предшественников печально известного вируса LoveLetter.
В ноябре мир потрясло появление нового поколения червей-невидимок, распространявшихся по электронной почте без использования вложенных файлов и проникавших на компьютеры сразу же после прочтения зараженного письма. Первым из них стал Bubbleboy, вслед за которым последовал "KakWorm". Все вирусы этого типа использовали "дыру", обнаруженную в системе безопасности Internet Explorer. Несмотря на то, что Microsoft выпустила соответствующую заплатку в том же месяце, "KakWorm" до сих пор остается среди пяти наиболее распространенных вредоносных программ.
В том же месяце в США и Европе было зарегистрировано много случаев заражения Windows-вирусом FunLove.
7 декабря стал примечательным из-за обнаружения очередного творения бразильского вирусописателя по кличке "Vecna" - крайне сложного и опасного вируса "Babylonia", который также открыл новую страницу в области создания вирусов. Это был первый вирус-червь, который имел функции удаленного самообновления: ежеминутно он пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей. В случае, если в этом списке находился более "свежий" модуль, нежели уже установленный на зараженном компьютере, то вирус автоматически его загружал. Позднее технология удаленного самообновления была применена в червях Sonic, Hybris и многих других.
Начиная с середины года антивирусная индустрия формально разделяется на две части в соответствии с ее отношением к возможным инцидентам накануне и в первые недели после Нового Года. Одна часть усиленно продвигает идею, что компьютерный андерграунд в лице злых хакеров и вирусописателей всего мира приготовил мировому сообществу "сюрприз" в виде сотен тысяч исключительно опасных вирусов, способных потрясти основы человеческой цивилизации. Главный смысл этого послания - всем необходимо немедленно установить антивирусные продукты указанного производителя, которые, естественно, только и смогут спасти пользователей от грядущей напасти. Вторая часть антивирусных компаний, логично, противостояла первой и, в свою очередь, как могла успокаивала напуганных пользователей. Позднее, безосновательность и откровенная истеричность прозвучавших заявлений о "вирусной опасности-2000" показали свою несостоятельность и наступление 2000 года ничем не отличалось от всех остальных.
И немного о курьезах: компакт диск, сопровождавший ноябрьский номер венгерского журнала "Uj Alaplap", помимо набора полезной информации, также содержал и крайне неприятный сюрприз: одновременно два маскро-вируса для MS Word - "Class. B" и "Opey. A".
2000 год
Год начался неожиданно: жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы, как участники подпольной группы 29A представили вирус "Inta", который оказался первым вирусом, корректно заражающим файлы под Windows 2000. Чуть позже, появившиеся практически одновременно вирусы "Unstable" и "Radiant" поставили крест на Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления "Unstable" и "Radiant" Visio Corporation, производящая пакет Vision была куплена Microsoft.
Год начался неожиданно: жертвами компьютерных вирусов пали поочередно Windows 2000 и Visio, популярное приложение для создания диаграмм и блок-схем. Microsoft еще не успел анонсировать выпуск полнофункциональной коммерческой версии операционной системы, как участники подпольной группы 29A представили вирус "Inta", который оказался первым вирусом, корректно заражающим файлы под Windows 2000. Чуть позже, появившиеся практически одновременно вирусы "Unstable" и "Radiant" поставили крест на Visio. Последний случай произвел на свет грустную шутку, гласящую, что вирусы заводятся во всем, чем владеет Microsoft: незадолго до появления "Unstable" и "Radiant" Visio Corporation, производящая пакет Vision была куплена Microsoft.
В апреле были зафиксированы случаи заражения макро-вирусом для MS Word российского происхождения "Proverb" в офисе британского премьер-министра на знаменитой Даунинг Стрит, 10. Остается лишь надеяться, что английские власти вдоволь насладились собранием русских народных афоризмов вроде "никогда не откладывай на завтра то, что можно выпить сегодня".
А 5 мая грянула попавшая в Книгу Рекордов Гиннеса эпидемия скрипт-вируса LoveLetter. Все произошло в точности как предсказывал в ноябре 1998 г. Евгений Касперский. Наивные пользователи даже не представляли себе, что в "безобидных" файлах VBS, замаскированных под еще более безобидные TXT, может находиться исключительно опасный вирус. Сразу же после запуска он уничтожал на дисках файлы определенного расширения и незаметно рассылал свои копии по всем адресам, найденным в адресной книге MS Outlook. Открытость исходного кода скрипт-вирусов предопределила то, что на протяжении всего года на свет появлялись новые модификации вируса, так что их число на данный момент достигает уже 90.
6 июня был обнаружен "Timofonica" - первый компьютерный вирус, определенным образом затрагивавший мобильные телефоны. Помимо распространения по электронной почте, вирус посылал сообщения на случайные номера мобильных телефонов испанской сотовой сети MoviStar, принадлежащей телекоммуникационному гиганту Telefonica. Более никаким образом вирус на мобильные телефоны не влиял. Несмотря на это, многие средства массовой информации поспешили назвать "Timifonica" первым "сотовым" вирусом.
Лето 2000 г. действительно выдалось жаркое, особенно применимо к компьютерным вирусам. Хотя это время считается временем отпусков как у вирусописателей, так и у антивирусных экспертов, первые, по всей видимости, решили сделать неожиданный сюрприз вторым. В июле группа Cult of Death Cow представила новую версию известной утилиты несанкционированного удаленного администрирования Back Orifice 2000 (BO2K). Это произошло на ежегодной конференции DefCon (названной в пику DevCon компании Microsoft) и вызвало шквал писем от напуганных пользователей в адрес антивирусных компаний. В действительности, новая версия программы представляла никак не большую опасность, нежели ее предшественница и была оперативно добавлена в базы данных всех ведущих антивирусов. Отличительной чертой BO2K стал ее дрейф в направлении коммерческих утилит удаленного администрирования: программа обзавелась даже видимой инсталляцией. Несмотря на это она все равно могла использоваться в незаконных целях и классифицировалась антивирусами как "Троянец" класса "Backdoor".
В июле же появились сразу три исключительно интересных вируса. "Star" стал первым вирусом для пакета AutoCAD. "Dilber" отличился тем, что содержал коды сразу пяти вирусов, среди которых "CIH", "SK", "Bolzano и др. В зависимости от текущей даты Dilber активировал деструктивные процедуры той или иной компоненты, из-за чего вирус получил прозвище "Шаттл, полный вирусов". Третьим стал Интернет-червь "Jer", использующий "топорный" метод проникновения на компьютер. На Web сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется при открытии соответствующей HTML-страницы. После этого пользователю выдается предупреждение о том, что на его диске создается неизвестный файл. Тонкий расчет сделан на человеческий фактор, т. е. что пользователь автоматически ответит 'да', чтобы отвязаться от назойливой скрипт-программы. Появление этого червя свидетельствует о вхождении в моду новой технологии "раскрутки" вируса в Интернет. Сначала червь помещается на Web сайт, а потом проводится массированная рекламная компания для привлечения пользователей. Расчет сделан точно: среди тысяч посетителей найдется хотя бы несколько десятков, кто пропустит его на свой компьютер.
В августе был обнаружен "Liberty" - первая вредоносная программа класса "Троянский конь" для операционной системы PalmOS карманных компьютеров Palm Pilot. При запуске он стирал файлы, но не имел никаких функций размножения. В сентябре этот новый тип вредоносных программ дополнил первый настоящий вирус для PalmOS - "Phage". Он представлял собой классический вирус-паразит, который вместо внедрения в заражаемые файлы стирал их и на их место записывал свой код.
В начале сентября был обнаружен первый известный компьютерный вирус ("Stream"), способный манипулировать дополнительными потоками (ADS) файловой системы NTFS. Данный вирус нельзя рассматривать как нечто, представляющее собой реальную угрозу. Гораздо большую опасность представляет сама технология проникновения в дополнительные потоки, поскольку ни один антивирусный сканер не в состоянии обнаружить там вредоносный код. К сожалению, история вызвала неадекватную реакцию у некоторых западных антивирусных компаний, которые обвинили "Лабораторию Касперского" в запугивании пользователей. Тем не менее, кроме голословных обвинений оппоненты не смогли представить сколько-нибудь вескую аргументацию в подтверждение выдвинутой ими теории безопасности дополнительных потоков NTFS. Проблема антивирусной защиты NTFS до сих пор остается насущной, поскольку с момента обнаружения Stream, всего несколько антивирусных сканеров научились искать вирусы в ADS.
В октябре появились первый вирус, срывающийся в информационных файлах PIF ("Fable") и первый вирус, написанный на скрипт-языке PHP ("Pirus"). Оба вируса на данный момент так и остались достоянием вирусных коллекций и не были обнаружены в "диком виде". Тогда же произошел громкий скандал, когда стало известно, что внутренняя сеть Microsoft была взломана и в течение нескольких месяцев открыта для неких неизвестных хакеров, предположительно из Санкт-Петербурга. Проникновение было совершено тривиальным способом, посредством сетевого червя QAZ. Курьезность ситуации придавал тот факт, что на момент обнаружения факта взлома, этот червь уже многие месяцы находился в базах данных практически всех антивирусных программ. Это обстоятельство дало основания сомневаться как в компетентности служащих Microsoft, так и, возможно, в их злом умысле. Однако, на момент написания этой книги виновник случившегося так и не был найден.
В ноябре происходит знаменательное событие: основной проект "Лаборатории Касперского", сумевшей всего за три года стать одним из основных игроков антивирусной индустрии, - семейство антивирусных продуктов AntiViral Toolkit Pro (AVP) меняет свое название на "Антивирус Касперского" (Kaspersky Anti-Virus) и принимает новый логотип.
В этом месяце также был обнаружен опасный и технологически совершенный вирус "Hybris", автором которого стал известный бразильский вирусописатель по прозвищу Vecna. Он развил идею своего первого самообновляющегося вируса "Babylonia" и учел ранее допущенные ошибки. Главным нововведением было использование как Web сайтов, так и электронных конференций (в частности alt. comp. virus) для загрузки новых модулей вируса на зараженные компьютеры. Если Web сайт можно было оперативно закрыть, то электронная конференция стала идеальным вариантом для распространения обновлений - уж ее-то закрыть не так просто. Кроме того, для идентификации настоящих вирусных модулей, т. е. действительно выпущенных автором, Hybris использовал 128-битных электронный ключ RSA для их шифрования.
В целом в 2000 году электронная почта еще раз доказала, что именно она стала основным средством транспортировки вредоносных кодов. Согласно статистике службы технической поддержки "Лаборатории Касперского", около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Этот год также был отмечен всплеском активности создателей вирусов к Linux. В целом было зарегистрировано появление 37 новых вирусов и троянских программ для этой операционной системы. Таким образом, общее количество Linux-вирусов достигло 43, причем только за 2000 г. их рост составил более чем 7 раз. Наконец, произошли существенные изменения в вирусных "чартах". Если раньше все верхние места наиболее распространенных вирусов прочно удерживали макро-вирусы, то в 2000 г. их место заняли скрипт-вирусы.
2001 год был отмечен определенными успехами антивирусных компаний в разработке новых и совершенствовании существующих технологий защиты от вредоносных программ. В то же время в этом году наблюдался дальнейший рост числа пострадавших от вирусных атак.
Основным событием 2001 г. стало широкое распространение вредоносных программ, использующих для проникновения на компьютеры бреши в системах безопасности операционных систем и приложений (например, CodeRed, Nimda, Aliz, BadtransII и др. ).
Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam.
Вызванные ими глобальные эпидемии стали крупнейшими в истории и надолго определили пути развития антивирусной индустрии в целом. Весьма заметными событиями вирусной истории стали многочисленные варианты червя ILoveYou, почтовые черви Magistr и SirCam.
Традиционное доминирование традиционных файловых вирусов постепенно сходит на нет и основным способом размножения для вредоносных программ становится передача своего тела по локальным и глобальным сетям.
Ошибки в системах безопасности.
Брешь - это ошибка в обычной программе, через которую злоумышленник может незаметно внедрить на компьютер вредоносный код.
Опасность вирусов, использующих бреши, в том, что их активация происходит автоматически и практически не зависит от действий пользователя. Например, для заражения червем Nimda достаточно открыть письмо даже в окне предварительного просмотра. Червь CodeRed не требует и такого вмешательства - он самостоятельно находит через интернет уязвимые компьютеры и заражает их. По статистике 'Лаборатории Касперского' доля подобных вредоносных программ в общем объеме вирусных инцидентов 2001 года составила около 55%.
Столь пристальное внимание компьютерного андерграунда к брешам в системах безопасности вполне логично. Традиционный способ проникновения вируса на компьютер, при котором пользователь самостоятельно запускает зараженный файл, уже не является столь эффективным, как раньше. Учитывая это, вирусописатели начали поиск нового, более эффективного способа заражения компьютеров и нашли его в использовании уязвимостей в системах безопасности.
2002 год
В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др. ).
В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию. NET. Однако развитие событий показало, что оба вируса оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Лучшим опровержением распространенного мнения, что эта операционная система защищена от любых вредоносных программ, стал червь Slapper, который всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение.
Нельзя не отметить стремительный рост так называемых коммерческих вредоносных программ, которые преследуют конкретные коммерческие цели - похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям.
Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет- червь Klez. Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и на ближайшие два года его модификации стали завсегдатаями списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях десятки. Однако в течение 2002 года свирепствовали лишь две из десяти существующих разновидностей этого червя - Klez. H (обнаружен 17. 04. 2002) и Klez. E (обнаружен 11. 01. 2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez.
По масштабам и продолжительности эпидемия Klez не имела себе равных. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года.
Тенденция 2001 года, когда для своего распространения черви использовали различные бреши в программных продуктах Microsoft, была продолжена в 2002 г. Все вышеназванные черви (Klez, Lentin, Tanatos), а также BadTrans - использовали для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом на них пришлось более 85% всех инцидентов.
В конце года наметилась интересная тенденция в качественном составе самых распространенных вредоносных программ. Если раньше почти 100% всех инцидентов приходилось на один, два, максимум три вируса, то начиная с сентября 2002 года ситуация коренным образом изменилась. С этого момента наблюдается так называемая диверсификация - все больше заражений приходится на вирусы, не вошедшие в хит-парады: в декабре этот показатель достиг 62%. Это свидетельствует о том, что пользователи наконец обратили внимание на главные угрозы и предприняли необходимые меры защиты. Грамотные действия пользователей повлекли за собой сокращение числа инцидентов с участием, например, Klez, Lentin и Tanatos. Однако снижения общего количества заражений отмечено не было. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ (например, Bridex). По отдельности доля заражений, вызванных каждой из них, была невелика, но в совокупности они составили достаточно внушительный объем.
2003 год
Рекорды быстроты распространения побил "червь" Slammer, заразивший 75 тысяч компьютеров в течение 10 минут. Вирус поразил компьютеры Госдепартамента США\State Department, где повредил базу данных. Консульства США по всему миру вынуждены были на 9 часов прервать процесс выдачи виз.
Впервые автор вируса приговорен к тюремному заключению в Европе. 22-летний Саймон Вэллор\Simon приговорен британским судом к двух годам тюремного заключения за создание вирусов Gokar, Redesi и Admirer, которые инфицировали 27 тысяч компьютеров в 42 странах мира.
Январь. Червь SQL Slammer, также известный как червь Sapphire, использует уязвимости в Microsoft SQL Server и создает большие помехи в Интернете.
Август. Запущен червь Sobig, который быстро распостраняется через электронную почту и ресурсы, открытые для коллективного доступа в локальных сетях. Одновременная эпидемия червей Blaster и Sobig наносит ощутимый вред пользователям сети по всему миру.
Запущен червь Welchia— один из самых известных «белых червей». Он следует по пятам червя Blaster, пытаясь удалить его с зараженных компьютеров и установить на них заплатку ОС. Делается это, однако, по-прежнему без согласия пользователей, и многие системные администраторы жалуются, что червь Welchia замусоривает сети, создавая ещё больше проблем — таким образом, сам по себе являясь вредоносной программой.
Червь Blaster, также известный как Lovesan, распостраняется по всему миру, также засоряя сеть большим количеством мусорного трафика. Червь содержит оскорбления в адрес Билла Гейтса и ошибочно запрограммированную DoS-атаку на сервер обновления ОС Windows.
Октябрь. Запущен червь Sober.
2004 год
Наиболее важные изменения по сравнению с прошлыми годами:
Криминализация Интернета, миграция вирусописателей и хакеров в разработку принудительных рекламных систем, а с другой стороны - более высокая оперативность антивирусных компаний, активизация "полицейских мероприятий", которые часто завершаются поимкой и осуждением виновных.
Основные тенденции этого года:
- Так называемые AdWare (рекламные системы) становятся одной из основных проблем компьютерной безопасности.
- Почтовый трафик переполнен спамом, работа с почтой без антиспама в большинстве случаев становится просто невозможной.
- Массовые успешные атаки на интернет-банки.
- Многочисленные случаи интернет-рэкета.
- Антивирусные компании вынуждены подключать средства защиты от AdWare.
- Скорость реакции антивирусных компаний становится одним из основных критериев качества предоставляемой защиты.
- Появление многочисленных антиспамовых решений; стандартом de-facto для почтовых провайдеров становится использование каких-либо подобных решений.
- Успешные расследования и аресты (около 100 хакеров арестовано, трое - в двадцатке самых разыскиваемых ФБР преступников).
Январь. Запущен червь Mydoom, который на тот момент становится самым быстрым червем, распространяющимся по электронной почте. Появился первый червь для мобильных телефонов Cabir.
Февраль. Обнаружен червь Netsky, признанный в дальнейшем самым опасным вирусом 2004 года.
Март. Обнаружен червь Witty— первый сразу в нескольких категориях. Этот червь атаковал несколько версий IIS; он появился в рекордное время после объявления уязвимости; он стал первым интернет-червем, несущим по-настоящему вредоносный код; и, наконец, он стал первым червем, который изначально был разослан по заранее составленному списку уязвимых компьютеров.
Май. Появляется червь Sasser, эксплуатировавший ОС Microsoft Windows и вызвавший многочисленные проблемы в сети, иногда даже парализуя работу организаций.
Декабрь. Запущен червь Santy — первый червь, использующий для распространения веб-сайты, и к тому же использующий Google для нахождения своих жертв.
2005 год
Август. Червь Zotob несмотря на относительно небольшой масштаб эпидемии, привлекает повышенное внимание западных СМИ после того, как некоторые из них были атакованы и понесли определенный ущерб.
2006 год
20 января 2006 был обнаружен червь Nyxem. Он распространяется с помощью массовой рассылки e-mail. Его нагрузка, которая активируется 3-го числа каждого месяца, начиная с 3 февраля, делает попытку отключить ПО связанное с безопасностью и раздачей файлов, а также уничтожить файлы определённых типов, таких как документы Microsoft Office.
15 марта 2006 года в СМИ появляются сообщения о создании первого вируса для RFID-меток.
2007 год
Январь. Червь Storm начинает захватывать заражённые компьютеры, формируя Сеть Storm, которая в сентябре достигла размера от 1 до 10 миллионов компьютеров.
2008 год
Новая версия GPCode шифрует пользовательские файлы с расширениями DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др. на жестких дисках посредством алгоритма RSA с ключом длиной 1024 бита. В настоящее время возможности восстановить зашифрованную зловредом информацию, не поддаваясь на требования шантажиста, не существует. Теоретически на расшифровку алгоритма шифрования понадобится работа кластера из 15'000'000 ПК на протяжении одного года. В работе вируса была замечена особенность, которая позволяет восстановить зашифрованные данные. Перед шифрацией файла вирус создаёт его копию, которую затем удаляет. Единственная на данный момент возможность восстановления данных - это попытка восстановления копии файла, которую создаёт вирус. "Лаборатория Касперского" рекомендует для этой цели использовать утилиту PhotoRec, а также в помощь PhotoRec рекомендуется использовать утилиту StopGpcode.
Июнь. Червь, получивший название Email-Worm. Win32. Lover. a, распространяется по каналам электронной почты - пользователю приходит письмо с вложенным файлом to_my_love. scr, при запуске которого на экран выводится яркая демонстрация, напоминающая скринсейвер "Геометрический вальс". Картинка генерируется в реальном времени с использованием фрактальной геометрии. Однако данный файл не является скринсейвером, а представляет собой кейлоггер, записывающий все, что пользователь набирает на клавиатуре при работе с веб-браузерами, почтовыми и IM-клиентами (Opera, Firefox, Internet Explorer, The Bat!, MSN Messenger, ICQ, QIP и другими). Механизм сокрытия присутствия червя Email-Worm. Win32. Lover. a в системе реализован оригинальным образом. Для заражения он использует программный код, которым инфицирует исполняемые файлы вышеупомянутых программ, разделяя код инфекции для каждого из приложений на несколько частей, что серьезно затрудняет его обнаружение. При запуске зараженного приложения программный код вируса занимает 4 Кб памяти, где собирает свое тело, и далее записывает в папке Windows файл с именем ia*. cfg. В этот файл сохраняются коды нажатых пользователем клавиш. Червь Email-Worm. Win32. Lover. a применяет нетипичную для таких программ маскировку своего основного функционала, скрываясь за красивыми картинками и выдавая себя за скринсейвер. Лексика, обнаруженная в коде вредоносной программы, дает основания предположить, что автор червя является русскоговорящим.
На сегодняшний день зарегистрировано более 100000 вредоносных программ или компьютерных вирусов. Если раньше преобладали файловые вирусы и Boot-вирусы, то теперь основная масса вредоносных программ приходится на "почтовые черви" и шпионские программы ("троянские кони") с функциями удалённого управления поражённым компьютером. Для борьбы с вирусами создаются антивирусные программы.
Классификация компьютерных вирусов.
В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:
- по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, сетевые черви);
- по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, GNU/Linux, Java и другие);
- по технологиям используемым вирусом (полиморфные вирусы, стелс-вирусы);
- по языку на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др. ).
Вирусы можно разделить на классы по следующим основным признакам:
1. среда обитания;
2. операционная система (OC);
3. особенности алгоритма работы;
4. деструктивные возможности.
По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:
1. 1 файловые;
1. 2 загрузочные;
1. 3 макро;
1. 4 сетевые.
1. 1 Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Классификация файловых вирусов по способу заражения.
По способу заражения файловые вирусы (вирусы, внедряющие свой код в исполняемые файлы: командные файлы, программы, драйверы, исходный код программ и др. ) разделяют на перезаписывающие, паразитические, вирусы-звенья, вирусы-черви, компаньон-вирусы, а так же вирусы, поражающие исходные тексты программ и компоненты программного обеспечения (VCL, LIB и др. ).
Перезаписывающие вирусы.
Вирусы данного типа записывают своё тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестаёт запускаться. При запуске программы выполняется код вируса, а не сама программа.
Вирусы-компаньоны.
Компаньон-вирусы, как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передаётся оригинальной программе.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном каталоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows, в первую очередь, будет искать именно в нём. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Файловые черви.
Файловые черви создают собственные копии с привлекательными для пользователя названиями (например, Game. exe, install. exe и др. ) в надежде на то, что пользователь их запустит.
Вирусы-звенья.
Как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы, на собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой пользователем программе.
Паразитические вирусы.
Паразитические вирусы — это файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу.
Вирусы, поражающие исходный код программ.
Вирусы данного типа поражают исходный код программы или её компоненты (OBJ-, LIB-, DCU- файлы), а также VCL и ActiveX-компоненты. После компиляции программы оказываются встроенными в неё. В настоящее время широкого распространения не получили.
1. 2 Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
1. 3 Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
1. 4 Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
2. Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т. д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
3. Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:
3. 1 резидентность;
3. 2 использование стелс-алгоритмов;
3. 3 самошифрование и полиморфичность;
3. 4 использование нестандартных приемов.
3. 1 РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.
Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.
В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.
3. 2 Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».
3. 3 САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
3. 4 Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус «3APA3A»), защитить от обнаружения свою резидентную копию (вирусы «TPVO», «Trout2»), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т. д.
4. По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:
4. 1 безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
4. 2 неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
4. 3 опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
4. 4 очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.
Описание вредоносных программ.
К таким программам относят: сетевых червей, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру.
Сетевые черви:
Программы тиражирующие себя по сети (локальной и глобальной) с целью:
- проникновения на удаленные компьютеры;
- запуска своей копии на удаленном компьютере;
- дальнейшего распространения на другие компьютеры в сети.
Для своего распространения сетевые черви используют разнообразные сети.
Практически все известные черви распространяются в виде файлов. Некоторые черви безфайловые, они распространяются в виде пакетов и проникают в машину.
Методы проникновения червей:
- социальный инжиниринг;
- ошибки в службах безопасности операционных систем и приложений.
Есть черви, содержащие свойства других разновидностей, например троянские свойства.
Классические компьютерные вирусы.
К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:
- последующего запуска своего кода при каких-либо действиях пользователя;
- дальнейшего внедрения в другие ресурсы компьютера.
Это не черви и не могут распространяться по сети. Они могут быть запущены на компьютере жертвы только при его активации.
Опять же могут содержать свойства других вирусов.
Троянские программы.
В основном производят сбор информации и передачу ее вирусописателю (хакеру).
Может осуществлять неблаговидные цели с помощью компьютера, или нанести ему урон (например, уничтожить информацию).
К данной категории относятся:
- утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
- программные библиотеки, разработанные для создания вредоносного программного обеспечения
- хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
- «злые шутки», затрудняющие работу с компьютером;
- программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
- прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.
Вирусы в результатах поисковых систем.
Развитие вирусов охватило также область использования поисковых систем. Например, Вы нажимаете на ссылку в результатах поиска и оказываетесь на совершенно другом сайте или один из результатов поиска внешне выглядит так же, как все остальные, но не имеет никакого отношения к вашему запросу. Это результаты действия вируса, который искажает страницы в браузере пользователя и выдаёт рекламную ссылку, на которой зарабатывает деньги создатель вируса.
Такой вид вируса назван вирусом подмены страниц. Вирус подмены страниц может попасть на компьютер пользователя вместе с какой-нибудь программой, загруженной из интернета. Также вирус может подменять не только страницы с результатами поиска, а вообще любые сайты.
Среда распространения вирусов.
Все программы могут быть подвержены атаке вирусов в том случае, если они способны запускать посторонние программы. Сейчас очень распространены криптоновые языки, и поэтому практически все программы подвергаются заражению со стороны вирусов.
Компьютерные вирусы, черви, троянские программы существуют для многих программ и ОС, в то же время существуют программы, которые не подверглись заражению.
Рассмотрим причины заражения программных продуктов. Причины заражения следующие:
- популярность, широкое распространение данной системы;
- наличие разнообразной и достаточно полной документации по системе;
- незащищенность системы или существование известных уязвимостей в системе безопасности.
Бестелесные черви - очередной вызов антивирусной индустрии.
Одним из самых неприятных сюрпризов 2001 г. стало обнаружение нового типа вредоносных кодов (CodeRed, BlueCode), способного активно распространяться и работать на зараженных компьютерах без использования файлов. В процессе работы такие программы существуют исключительно в системной памяти, а при передаче на другие компьютеры - в виде специальных пакетов данных.
Эта особенность создала серьезные проблемы разработчикам антивирусного программного обеспечения. Традиционные технологии (антивирусный сканер и монитор) оказались неспособными эффективно противостоять новой угрозе, поскольку их алгоритм борьбы с вредоносными программами основан именно на перехвате файловых операций. 'Лаборатория Касперского' первой решила эту проблему и создала специальный антивирусный фильтр, который в фоновом режиме проверяет все поступающие на компьютер пакеты данных и удаляет бестелесных червей.
Глобальная эпидемия сетевого червя CodeRed (по некоторым оценкам зараженными оказались более 300. 000 компьютеров) подтвердила исключительную действенность технологии, используемой бестелесносными червями.
Windows-черви наступают.
В 2001 г. резко изменился состав наиболее распространенных вредоносных программ. В 1999-2000 гг. безусловными лидерами всех вирусных хит-парадов были макро- и, позднее, скрипт-вирусы и черви. Однако в начале этого года ситуация начала быстро меняться, и уже осенью около 90% зарегистрированных случаев заражения компьютеров были вызваны Windows-червями.
Причина такой резкой смены обстановки заключается в разработке эффективных средств борьбы с макро- и скрипт-вирусами, способных нейтрализовать как существующие, так и потенциальные угрозы этого типа.
Вирусные мистификации.
Необычайно богатым на вирусные мистификации оказался 2001 год. Уже в первые два месяца года были зафиксированы около 10 'предупреждений' о 'новом опасном вирусе', массово пересылаемых друг другу напуганными пользователями. Наиболее заметными и получившими широкое распространение стали мистификации California IBM и Girl Thing. Также большой переполох наделало заявление некоторых западных информационных агентств о том, что 14 февраля, в день Св. Валентина, случится эпидемия нового варианта червя ILoveYou. В целом же, некоторые мистификации получились настолько удачными, что спустя несколько лет предупреждающие письма все еще можно встретить с своем почтовом ящике.
Структура и функционирование антивирусных программ.
Антивирусная программа обычно состоит из антивирусного монитора и антивирусного сканера, которые используют общую антивирусную базу данных. Её необходимо регулярно обновлять через Интернет для надёжной защиты своего компьютера.
Есть специальные программы, которые защищают компьютер от несанкционированного обмена информацией через Интернет. Они называются "Файерволы" или "Брандмауэры".
Антивирусный монитор.
Монитор работает в компьютере постоянно. Он отслеживает ситуации, при которых может произойти заражение компьютера вирусом. Это запуск программ на выполнение, обращения к дискам с целью модифицировать файлы, открытие приложений к электронным письмам, загрузка программ и файлов из сети Интернет и тому подобные действия. Обычно антивирусный монитор можно настраивать, включая и отключая различные его возможности.
Антивирусный монитор требует для своей работы большой части вычислительной мощности компьютера и обычно заметно снижает его быстродействие.
Антивирусный сканер.
Антивирусный сканер предназначен для проверки оперативной памяти и дисков компьютера на наличие вирусов. В настройках антивирусного сканера можно указывать, какие типы файлов, архивов, баз хранения электронных писем нужно проверять во время антивирусного сканирования.
Сканирование винчестера может занять несколько часов. Поэтому сканирование лучше делать в обеденный перерыв или ночью.
Антивирусные базы данных.
И сканер, и монитор используют общие антивирусные базы данных. В этих базах данных записана информация о вирусах. Без них антивирусная программа не может обнаруживать и обезвреживать вирусы.
Антивирусные компании ежедневно обновляют собственные антивирусные базы данных и выкладывают их на своих сайтах для нужд клиентов. Иногда обновление антивирусных баз данных происходит и по несколько раз в день, если наблюдается активизация какого-нибудь нового вируса.
Поскольку антивирусная база данных не содержит самых новых вирусов, то антивирусный монитор не может один защищать компьютер. Антивирусный сканер с обновлёнными базами данных найдёт новые вирусы, которые монитор мог пропустить одну-две недели назад, поскольку тогда ещё информации об этих вирусах не было в антивирусных базах данных.
Что делать, если ваш компьютер заражен?
Непрофессионалу сложно обнаружить присутствие вирусов на компьютере, поскольку они умело маскируются среди обычных файлов.
Есть ряд признаков, свидетельствующих о заражении компьютера:
- вывод на экран непредусмотренных сообщений или изображений;
- подача непредусмотренных звуковых сигналов;
- неожиданное открытие и закрытие лотка CD-ROM-устройства;
- произвольный, без вашего участия, запуск на компьютере каких-либо программ;
- при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали.
Кроме того, есть некоторые характерные признаки поражения вирусом через электронную почту:
- друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
- в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.
Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.
Есть также косвенные признаки заражения вашего компьютера:
- частые зависания и сбои в работе компьютера;
- медленная работа компьютера при запуске программ;
- невозможность загрузки операционной системы;
- исчезновение файлов и каталогов или искажение их содержимого;
- частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
- интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть).
В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку вашего компьютера установленной на нем антивирусной программой. В случае отсутствия таковой, нужно скачать и установить пробную версию Антивируса Касперского Personal, которая будет полностью работоспособна две недели с момента установки.
Если вы заметили, что ваш компьютер ведет себя «подозрительно»:
- Не паникуйте! Не поддаваться панике — золотое правило, которое может избавить вас от потери важных данных и лишних переживаний.
- Отключите компьютер от интернета.
- Отключите компьютер от локальной сети, если он к ней был подключен.
- Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows, который вы создавали при установке операционной системы на компьютер.
- Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флэш-карту и пр. ).
- Скачайте и установите пробную или же купите полную версию Антивируса Касперского Personal, если вы этого еще не сделали и на вашем компьютере не установлено других антивирусных программ.
- Получите последние обновления антивирусных баз. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, из интернет-кафе, с работы. Лучше воспользоваться другим компьютером, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленникам или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета. (Если вы используете Антивирус Касперского, вы можете получить обновления антивирусных баз на дискете или диске у «Лаборатории Касперского» или ее дистрибьюторов и обновить свои базы из этого источника).
- Установите рекомендуемый уровень настроек антивирусной программы.
- Запустите полную проверку компьютера.
Какую антивирусную программу выбрать.
Надёжными антивирусными программами считаются "Антивирус Касперского" и "Нортон Антивирус". Но эти программы очень мощные и требуют слишком больших ресурсов от компьютера. К тому же, они не очень дружат с программой JAWS.
Есть более экономные программы с хорошо озвучивающимся интерфейсом. Это российская программа "DrWeb" и киевская программа "UNA" (Украинский национальный антивирус). Здесь нет злоупотреблений графикой и проблем с языком интерфейса.
Каждый сам принимает решение, будет ли он пользоваться антивирусом и каким.
Пассивные средства антивирусной защиты.
Зная природу и источники вредоносных и вирусных программ, можно применять профилактические меры пассивной защиты от вирусов.
Комментарии