Виды вирусов компьютерных список: вредоносные программы, вирусы на сайтах

Содержание

Классификация компьютерных вирусов — компьютерные вирусы

Классификация вирусов

Существует множество типов вирусов. По опасности для системы вирусы могут быть от совсем безобидных, которые кроме саморазмножения ничем не занимаются, до фатальных, которые могут привести к краху всей системы. 

По принципу действия можно привести несколько самых распространенных типов:

—         загрузочные    

—         файловые

—         макро-вирусы

—         полиморфик-вирусам

—         стелс-вирусы

—         резидентные

—         IRC-черви.

—         сетевые

Виды


 

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера — после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска  и передает на него управление.

 

Файловые вирусы. К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо ОС. Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной DOS: командные файлы (BAT), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM). Существуют вирусы, поражающие исполняемые файлы других операционных систем — Windows 3.x, Windows95/NT, OS/2, UNIX, включая VxD-драйвера Windows 3.x и Windows95.Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули.

 

Макро-вирусы (macro viruses) являются программами на макро-языках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Макро-вирусы записывают свой код в файлы данных — документы или электронные таблицы. Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.

Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макро-языка (редакторы Microsoft Word, Office97, AmiPro, Excel и база данных Microsoft Access).

Можно сказать, что большинство макро-вирусов являются как бы резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

 

К полиморфик-вирусам относятся те из них, детектирование которых невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок – участков постоянного кода, специфичных для конкретного вируса. Достигается это двумя основными способами — шифрованием основного кода вируса с непостоянным ключом и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса. Полиморфизм различной степени сложности встречается в вирусах всех типов — от загрузочных и файловых DOS-вирусов до Windows-вирусов и даже макро-вирусов.

 

Стелс-вирусы теми или иными способами скрывают факт своего присутствия в системе. Известны стелс-вирусы всех типов, за исключением Windows-вирусов — загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы.

 

Резидентные вирусы. Под термином «резидентность» (DOS’овский термин TSR — Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы.

Нерезидентные вирусы, напротив, активны довольно непродолжительное время — только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы. Поэтому файлы, зараженные нерезидентными вирусами значительно проще удалить с диска и при этом не позволить вирусу заразить их повторно.

 

IRC-черви. IRC (Internet Relay Chat) — это специальный протокол, разработанный для коммуникации пользователей Интернет в реальном времени. Этот протокол предоставляет возможность Итрернет-«разговора» при помощи специально разработанного программного обеспечения. IRC чем-то похож на телефонный разговор, за исключением того, что в разговоре могут участвовать более двух собеседников, объединяющихся по интересам в различные группы IRC-конференций. Помимо общения существует также возможность передавать и принимать файлы — именно на этой возможности и базируются IRC-черви.

 

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

 

К «вредным программам», помимо вирусов, относятся также троянские кони (логические бомбы), утилиты скрытого администрирования удаленных компьютеров («backdoor»), программы, «ворующие» пароли доступа к ресурсам Интернет и прочую конфиденциальную информацию.

 

Большинство известных троянских коней являются программами, которые «подделываются» под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по BBS-станциям или электронным конференциям. По сравнению с вирусами «троянские кони» не получают широкого распространения по достаточно простым причинам — они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.

 

Троянские кони класса “backdoor” по своей сути является достаточно мощными утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов.

Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске троянец устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Будучи установленными на компьютер, утилиты скрытого управления позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т.п. — пораженные компьютеры оказываются открытыми для действий злоумышленников.

Программа-шутка

Программа-шутка — это вирусоподобная программа, которая обычно изменяет внешний вид элементов на экране компьютера.

Программа «троянский конь»

Троянский конь — это исполняемая программа, которая не копирует себя, а внедряется в систему для выполнения потенциально опасных действий, таких как открытие портов для доступа хакеров. Эта программа часто использует порты «троянских коней» для получения доступа к системе. Примером троянского коня может служить программа, утверждающая, что она избавляет ваш компьютер от вирусов, но при этом запускающая их в систему.

Вирус

Вирус — это программа, способная самовоспроизводиться. Для этого нужно, чтобы вирус был прикреплен к какой-либо программе. В результате он будет автоматически выполняться во время запуска этой программы.

  • Загрузочный вирус: тип вируса, заражающий загрузочный сектор раздела или диска.

  • Вредоносный код Java: не зависящий от операционной системы вирусный код, написанный на языке Java или встроенный в Java-приложения.

  • Макровирус: разновидность вируса, написанная как макрос для определенного приложения и зачастую встроенная в документ.

  • Вирусы HTML, VBScript или JavaScript: вирусы, находящиеся на веб-страницах и загружаемые через браузер.

  • Червь: автономная программа (или группа программ), заражающая своими копиями или фрагментами другие компьютеры. Зачастую заражение происходит через сообщение электронной почты.

Тестовый вирус

Тестовый вирус — это неактивный файл, который обнаруживается антивирусной программой. Тестовые вирусы (например, тестовый скрипт EICAR) используются для проверки правильности работы антивируса.

Упаковщик

Упаковщик — это сжатая и/или зашифрованная исполняемая программа для Windows или Linux, часто являющаяся «троянским конем». Сжатие исполняемого кода затрудняет определение упаковщика антивирусными программами.

Вероятный вирус/вредоносная программа

К этой категории вирусов и вредоносных программ относятся подозрительные файлы с некоторыми признаками вируса или вредоносной программы. Подробные сведения о вероятных вирусах или вредоносных программах см. на следующей странице интерактивной энциклопедии вирусов Trend Micro:

http://www.trendmicro.com/vinfo/emea/virusencyclo/default.asp

Прочие

В категорию «Прочие» попадают вирусы и вредоносные программы, которые не относятся ни к одному из перечисленных выше типов.

история развития от безобидных домашних шпионов до похитителей банковских карт / Хабр

ДИСКЛЕЙМЕР: Статья написана в информационно-познавательных целях и не претендует на высокий уровень «технической» составляющей. Диаграммы приведенные в статье не носят рекламный характер.

История появления компьютерных вирусов насчитывает уже почти 40 лет. Один из самых первых вирусов был разработан для компьютера Apple (но, в последствии, он так и не привёл к массовому заражению «яблочных» ПК). Произошло это в 1981 году, а звали «пионера» Elk Cloner (в вольном переводе «клонировщик лосей»). Этот «сохатый» был довольно безобиден, но надоедлив: при каждой загрузке пользователь заражённого компьютера видел на экране забавный (но не для владельца ПК) стишок, после чего компьютер начинал снова работать в обычном режиме.

Elk Cloner заражал компьютеры с дискеты: загружаясь с заражённой дискеты система запускала копию вируса. Никакого серьёзного влияния на работу компьютера он не оказывал, поскольку был написан американским школьником Ричардом Скрента забавы ради. Таким образом, Elk Cloner, который было бы правильнее назвать программой-шуткой, положил начало обширной категории «загрузочных вирусов», так как прописывался в сектор загрузки Apple II. Интересно, что в сети нередко можно встретить утверждение, что под OS X и iOS вирусов не бывает. Так вот, помимо «клонировщика лосей» есть и современные вирусы под ПО «яблочников», хотя надо признать, что их в разы меньше, чем под Windows и Android.

А первый распространённый вирус для ПК под управлением операционной системы MS DOS, появился в 1986 году, и назывался он Brain (в переводе с английского «мозг»). Впрочем, разработчики этого вируса, пакистанские братья Фарук Альви, не хотели вредить людям: они написали Brain для того, чтобы защитить написанную ими медицинскую программу от нелицензионного копирования.

Работал он так: в случае обнаружения пиратской программы вирус несколько замедлял работу дискеты, а также ограничивал память при взаимодействии с программой. Интересно, что создатели «Мозга» позаботились о том, что при его загрузке пользователь получал не только сообщение о заражении, но и телефон разработчиков, которые обещали выслать «лекарство» (привычных антивирусных программ тогда ещё, разумеется, не было). И слово своё до поры до времени братья держали, однако заражений оказалось так много, что можно было говорить уже о целой эпидемии: пользователи со всего мира стали атаковать несчастный пакистанский номер, и братьям ничего не оставалось, как просто отключить телефон. Так мир пережил первую «пандемию», вызванную компьютерным вирусом.

Какими бывают вирусы?

С момента своего появления компьютерные вирусы прошли большой эволюционный путь, и современные вредоносные программы работают куда тоньше, чем программы 80-х и 90-х годов, а обнаружить их значительно сложнее. В этом отношении компьютерные вирусы очень походят на своих «старших собратьев» вирусов биологических. Сегодня пользователи могут годами не замечать, что в их компьютере работает программка, которая либо тихо собирает информацию о ПК или ином электронном устройстве, либо заставляет компьютер пользователя выполнять определённые действия, либо маскирует действия других, куда более опасных программ. У каждого типа таких программ есть своё название и предназначены они для достижения злоумышленниками различных корыстных целей.

Worms или черви

Древнейшие вирусы были именно «червями». В 1961 году сотрудники американской Bell Labs придумали игру под названием «Дарвин», которая заключалась в том, что программы-«организмы» одного типа должны были захватывать «организмы» другого типа, а побеждал тот, чьи «организмы» захватывали всю память компьютера. Именно эта безобидная игрушка легла в основу принципа работы программы-червя, захватывающего дисковое пространство компьютера с тем, чтобы замедлить, а в некоторых случаях и полностью парализовать его работу.

Особую и наиболее распространённую сегодня группу представляют сетевые черви. Используя уязвимости сетевого ПО, такие программы автоматически перебираются из одного компьютера в другой, заражая всё большее количество ПК. Некоторые черви умеют перебирать пароли по составленным словарям и, взламывая почтовые ящики и аккаунты, распространяются дальше, самостоятельно выискивая новые жертвы. Цели создателей червей могут быть разными, но чаще всего их запускают ради рассылки спама или затруднения работы компьютерных сетей конкурентов вплоть до полной блокировки.

Trojans или троянцы

Как и древние троянцы, спрятавшиеся в деревянном коне, чтобы проникнуть в лагерь данайцев, эти вирусы проникают в компьютер в составе других совершенно безобидных программ, и, пока пользователь не запустит программу, в которой притаился троянец, ведут себя тише воды ниже травы. Однако, с запуском исполняющего файла программы вы активируете этого опасного гостя, который, в зависимости от типа, будет вам пакостить: красть информацию, распространять другие, не менее опасные вирусы, повреждать определённые файлы. За редким исключением троянцы не умеют размножаться, но по степени вреда они куда опаснее червей и могут нанести огромный ущерб владельцу компьютера.

Rootkits или маскировщики

Главной целью этих внешне безобидных программок является скрытие активности других вредоносных программ и действий злоумышленников. Для этого руткиты пускаются на самые разные ухищрения: изменяют режимы работы операционной системы, незаметно отключают или подключают различные функции, а особо продвинутые умеют даже почти незаметно блокировать работу антивирусных программ, чтобы те не нашли маскируемых руткитами электронных вредителей или ещё более опасных злодеев в человеческом облике, шарящих по вашему ПК.

Zombies или зомби

В природе существуют так называемые осы-дементоры, яд которых полностью парализует волю тараканов и подчиняет командам ос, направляющих их в свои гнёзда с тем, чтобы затем откладывать в них свои яйца — и таракан-зомби становится пищей для маленьких осят. Зомбирование так же распространено и в виртуальном мире. Такие вирусы-зомби действуют как те самые осы, заставляя компьютерную систему выполнять команды (например, совершать массовые атаки на различные ресурсы, рассылать спам и т. д.). При этом владельцы ПК в большинстве даже не догадываются, что их железный друг «зомбирован» и выполняет команды злоумышленника.

Spyware или шпионы

Основная задача шпиона — выкрасть ценную информацию в той стране, куда его заслал хозяин. Аналогичным образом шпионские программы пытаются украсть логины и пароли к аккаунтам пользователя, а значительная их часть ориентирована на пересылку создателям вируса информации о банковских картах и счетах ничего не подозревающих пользователей.

Особый тип шпионского ПО представляют собой кейлоггеры (от англ. Keyloggers), то есть программки, способные фиксировать ввод символов с клавиатуры и, записывая введённую информацию в журнал, отправлять эти логи прямо на сервер хозяина. Такие программы могут перехватывать практически любую вводимую информацию — от логинов и паролей на сайтах до переписки в мессенджерах и соцсетях, включая и тотальную запись клавиатурного ввода. Кейлоггеры — достаточно распространённый тип шпионских программ, причём не только среди хакеров, но и среди любителей слежки за своими «половинками» или домочадцами.

Adware или рекламные вирусы

Такие вирусы больше вредят не компьютеру, а пользователю, поскольку неожиданно на экране начинает показываться реклама, причём периодичность показа может быть очень разной. Мы сталкивались с программами, включавшими рекламу ежедневно в одно и то же время, а заражённый Adware браузер постоянно менял стартовую страницу или периодически переходил на сайт злоумышленников.

Winlocks или блокировщики

Один из самых неприятных типов вирусов, парализующий работу ПК появлением окна, которое невозможно закрыть без перезагрузки. Блокировщики выводят на экран информацию, что необходимо сделать пользователю, чтобы создатель вируса разблокировал его компьютер. В 100% случаев это платёжные данные злоумышленника, но не торопитесь отправлять деньги — блокировку вам никто не снимет.

Bootkits или загрузочные вирусы

В отличие от блокировщиков, явно сообщающих пользователю о своих целях, буткиты действуют незаметно, что куда более опасно для владельцев ПК. Прописываясь в загрузочные сектора дисков, буткиты тихо берут на себя управление ОС и получают доступ к личной информации хозяев компьютеров. Так злоумышленники завладевают аккаунтами пользователей, видят всю переписку, в том числе зашифрованную (ключи шифрования буткиты тоже воровать умеют) и даже могут похищать файлы.

Последние угрозы

Современные вирусы пишутся уже не только для ПК, но и для устройств под управлением Android, iOS и других мобильных ОС. Однако принцип их действия всё тот же, и в целом они укладываются в приведённую выше классификацию.

Кибепреступники по-прежнему используют любую возможность причинить вред другим в корыстных целях. Вот и недавно объявленная пандемия COVID-19 стала почвой для злоумышленников, стремящихся завладеть пользовательскими ценными данными. Так, в марте было запущено новое приложение, ворующее данные пользователей под видом приложения от ВОЗ по короновирусу. Запуская его, активируется троянец, который начинает собирать и пересылать своему создателю информацию об аккаунтах пользователей.

Также было организовано несколько кибератак на медицинские учреждения — одни злоумышленники пытались парализовать работу больниц, а другие (разработчики программы-вымогателя Maze) попытались заработать на шантаже, пообещав в случае невыполнения материальных требований слить данные о пациентах одного исследовательского центра в сеть. Денег вымогатели не получили, поэтому данные всех бывших пациентов были обнародованы.

Из других интересных новостей отметим 26 марта 2020 похищение одним из хакеров исходных кодов новых графических процессоров AMD. В сети появилось объявление от хакера о том, что он выложит эту информацию в открытый доступ, если не найдёт покупателя. Кроме этого, была обнаружена группа злоумышленников, разработавшая буткит Milum, который предоставляет своим владельцам полный доступ к заражённым хостам сайтов.

Легенды со знаком минус

Несмотря на то, что компьютерным вирусам нет ещё и полувека, за такой короткий период они уже успели хорошенько пошуметь и неоднократно вызывали страх у пользователей по всему миру.

Одна из самых первых эпидемий компьютерного вируса случилась в уже далёком 1988 году, когда по сети Arpanet в США стал гулять «великий червь» или червь Морриса, названный так по имени своего создателя, Роберта Морриса. Червь, подбирая пароли, наводнял своими копиями компьютеры пользователей сети и сумел таким образом заразить около 6 тысяч ПК, нанеся ущерб порядка 100 миллионов долларов — колоссальную по тем временам сумму, тем более для компьютерной программы. Создатель вируса добровольно во всём признался, поэтому получил 3 года условно, крупный штраф и был направлен на общественные работы. Это было первое наказание за компьютерное мошенничество. Впрочем, эпидемия червя Морриса сослужила добрую службу компьютерной безопасности — именно после атаки «великого червя» компьютерщики задумались о том, что после ввода неправильного пароля неплохо бы делать паузы. Сам же Моррис не потерялся и создал после этого несколько успешных проектов в сфере ПО.

В апреле 1999 года виртуальный мир узнал о новой угрозе — смертоносном для информации и ОС тайваньском вирусе CIH, который получил известность под другим названием: «Чернобыль» (был запущен в сеть 26 апреля). «Чернобыль» не только уничтожал файлы на жёстких дисках пользователей, но даже повреждал предустановленную систему BIOS, заразив таким образом около 500 тысяч ПК по всему миру. Впрочем, до массового распространения своего вируса тайваньский студент Чэнь Инхао (в 2000 году он был арестован, но затем отпущен) сначала потренировался «на кошках», беспечно заразив в июне 1998 года компьютеры родного университета, а затем под уже не контролируемую атаку вируса попали американские серверы, распространявшие компьютерные игры. Как потом выяснилось, ничего плохого Чэнь не замышлял, а вирус создал просто забавы ради, и после массового заражения переживал так сильно, что даже публично извинился перед пользователями китайского интернета, которые больше всего пострадали от «Чернобыля».

В мае 2000 года в компьютеры более трёх миллионов пользователей по всему миру проник через электронную почту филиппинский вирус ILOVEYOU, однако сделан он был не для признаний в любви. Ничего не подозревающие пользователи открывали вложения и через некоторое время обнаруживали, что важные файлы или уничтожены, или безнадёжно испорчены. При этом хитрый ILOVEYOU маскировался под текстовую программку (файлы вируса имели двойное расширение), поэтому распознать его было непросто. Этот «признавашка» нанёс ущерба приблизительно на 10 миллиардов долларов — больше, чем какой-либо другой компьютерный вирус.

Одним из самых долгоиграющих вирусов, который распространяется до сих пор, является буткит Backdoor.Win32.Sinowal. Этот загрузочный вирус прописывается в систему и берёт управление ей на себя, причём на уровне секторов диска. Этот вирус похищает даже ключи шифрования и отправляет разработчику личные данные, а также данные от аккаунтов пользователей. Подсчитать точный ущерб от него пока не представляется возможным, однако учитывая, что несколько лет антивирусные программы были не в состоянии даже обнаружить этого вредителя (Backdoor.Win32.Sinowal был разработан в 2009 году), то потери пользователей могут исчисляться многими миллионами и даже миллиардами долларов.

Одним из самых распространённых сетевых червей, использовавших уязвимости защиты Windows, стал Conficker (не совсем приличное англо-немецкое сокращение от Config Ficker, что можно перевести, как «имеющий конфигурации») запущенный в ноябре 2008 года. Уже через два месяца червь заразил более 12 миллионов компьютеров. Вычислить злодея было непросто, поскольку создатели научились оперативно менять серверы, с которых распространялась угроза. Помимо сетевого доступа, червяк мог также проникать в компьютеры через заражённые флешки. Conficker доставил пользователям немало неудобств: во-первых, он умел отключать обновления и «защитника» Windows и блокировать доступ к сайтам антивирусного ПО, из-за чего было невозможно получить актуальные базы данных вирусов. А главным неудобством было серьёзное замедление работы ПК: червяк на 100% нагружал процессор, не давая нормально работать. Также этот вредитель организовывал сетевые атаки с заражённых компьютеров.

Король электронного спама Festi, запущенный в 2009 году, ежедневно рассылал около 2,5 миллиардов имейлов с 250 тысяч айпи, то есть генерировал 25% всего мирового спама. Чтобы затруднить распознавание, разработчики снабдили свою вредоносную программку шифрованием, так что сигнатурный поиск антивирусными программами становится бесполезным и выручить может только глубокое сканирование. Распространяется этот вирус через установку платного кода (PPI), когда вебмастер получает деньги за то, что кто-то скачал файл с его сайта.

Вирус Stuxnet, в отличие от большинства «собратьев», приносит ущерб не виртуальной, а реальной инфраструктуре, проникая в цифровые системы управления и вызывая диверсии на промышленных и других важных объектах: например, электростанциях и аэропортах. Считается, что Stuxnet был разработан американцами и израильтянами для нанесения ущерба ядерной программе Ирана, однако успел навредить не только иранским объектам. Распространяется данный червь через USB-накопители и действует в компьютерах под управлением различных версий Windows.

Настоящим кошмаром для банкиров стал вирус Carbanak, который в 2014 году нанёс ущерб российским, американским, швейцарским, голландским, японским и украинским банкам на общую сумму 1 миллиард долларов. Carbanak действовал медленно, но уверенно, сначала собирая данные рядовых сотрудников банков, к которым попадал через вложения в электронных письмах, а затем внедряясь в верха и выводя крупные суммы. От проникновения в систему банка до успешного вывода могло пройти от 2 до 4 месяцев.

Более 500 тысяч пользователей компьютеров уже плачут из-за блокировщика WannaCry (переводится как «хочу плакать»), появившегося в мае 2017 года. Этот вымогатель, очень распространённый в России, на Украине и в Индии, шифрует содержимое ПК и выдаёт информацию на экран с требованием денег за разблокировку. Проникновение в систему происходит через открытые TCP-порты ПК. Сам червь не выбирает жертв по каким-либо признакам, поэтому парализует работу и обычных пользователей, и различных учреждений. Так, WannaCry стал причиной задержки важных операций в нескольких больницах в Великобритании, а у нас на некоторое время была парализована онлайн деятельность сотового оператора «Мегафон» и МВД России. Хотя сам по себе червь и «слеп», WannaCry может сознательно использоваться хакерами: например, в том же 2017 году при помощи этого червя были предприняты хакерские атаки на сетевую инфраструктуру «Сбербанка», но они были успешно отражены службой безопасности банка.

Интересно, что этот блокировщик был написан не с нуля: WannaCry представляет собой модифицированную версию Eternal Blue — вируса, написанного для нужд американского Агентства нацбезопасности (АНБ). Американцы в распространении этого вируса обвиняют спецслужбы КНДР, российское правительство уверено в том, что распространению WannaCry способствовали спецслужбы США, в то время как Microsoft использует более обтекаемые формулировки и говорит о «спецслужбах разных стран».

Как не заразить свой компьютер вирусами?

Переходим к рубрике Капитана очевидность 🙂

Прежде всего нужно позаботиться о наличии надёжного файервола, антивирусной и антишпионской программ (последние более эффективны при обнаружении и удалении вирусов категорий Spyware и Adware). Также существуют встроенные антивирусные решения для браузеров, ну а о том, что антивирусник должен работать с защитой в режиме реального времени, говорить, думаем, излишне.

Если на вашем ПК или в телефоне есть важные файлы (например, для работы), не забывайте регулярно делать их резервные копии («бэкапить»), причём копии должны храниться не в самом устройстве, а на внешних накопителях или в надёжных облачных хранилищах, которые в идеале должны быть защищены методом сквозного шифрования, чтобы никто, даже владельцы этого хранилища, не мог получить доступ к вашим файлам.

Позаботьтесь о безопасности при сёрфинге в интернете и отучитесь от привычки бездумно нажимать на баннеры и ссылки (тем более в электронных письмах!), а лучше вообще кликать только на те ссылки, в которых вы на 100% уверены. Сравнительно недавно (в 2014-2016 гг.) был весьма распространён способ воровства аккаунтов Skype: пользователю приходило сообщение со взломанного аккаунта из списка контактов, в котором содержалась только ссылка. После нажатия на ссылку со своим аккаунтом можно было попрощаться.

Также могут помочь и блокировщики рекламы, которые, помимо прочего, активно борются со всплывающими окнами, которые могут содержать вредоносный код. Не забывайте периодически чистить кэш браузера — в этих файлах могут таиться шпионские и рекламные программы.

Не посещайте сомнительные сайты даже если «очень хочется». С высокой долей вероятности на таких ресурсах содержится вредоносный код, используя который, владелец сайта попытается установить в ваш браузер шпионское или другое вредоносное ПО. Особого внимания заслуживают так называемые фишинговые, то есть поддельные сайты. По интерфейсу они выглядят один в один как настоящие, однако дьявол, как всегда, кроется в мелочах, в данном случае — в доменном имени. Например, вам присылают ссылку на сайт известной социальной сети, но вместо корректного facebook.com там будет faceboook.com (заметили разницу?). Невнимательный пользователь перейдёт на такой сайт и введёт там свой логин и пароль, что и нужно злоумышленнику, который получит доступ к вашему аккаунту на реальном «Фейсбуке». А теперь представьте, что вы на поддельном сайте банка ввели данные своей банковской карты, на которой лежит кругленькая сумма… Вообще же методов фишинга наберётся на пару десятков, но это тема отдельной статьи. Разумеется, блокировка сама по себе не является сигналом, что сайт фальшивый и заражённый, но ряд заблокированных сайтов действительно представляет опасность для пользователей.

Если вы бороздите океаны интернета под пиратским флагом, будьте осторожны при скачивании и установке хакнутых платных программ: далеко не все хакеры альтруисты и выкладывают взломанные программы по доброте душевной. Поэтому, если антивирусник громко ругается на кряк, задумайтесь, так ли уж важна для вас эта программа, ведь сказать с уверенностью, что это срабатывание ложное, не может никто. Не скачивайте программы с сомнительных сайтов по распространению софта — они, как правило, подсовывают в установщики (исполняемые файлы exe) шпионское и другое ПО. Так что лучшим решением будет качать приложения непосредственно на сайтах разработчиков.

Файлы из сторонних источников следует проверять на соответствие расширению — например, двойное расширение почти наверняка говорит о том, что перед нами программа-вирус, поэтому не забудьте включить в Windows отображение расширений. Также заведите привычку обязательно проверять все скачанные файлы антивирусной программой и не открывайть те файлы, в безопасности которых вы не уверены. Сканировать, кстати, нужно и подключаемые накопители USB.

Безвредные вирусы — такое тоже бывает

Были в истории компьютерных вирусов и примеры забавных безвредных программ, которые технически являлись вирусами, но никакого ущерба пользователям при этом не наносили. Так, ещё в 1997 году был разработан вирус HPS, который был ориентирован на временное изменение графические bmp-файлов, которые могли отображаться в перевёрнутом или отражённом виде, что, правда, могло доставлять неудобства пользователям старых версий Windows, ведь они были построены с использованием как раз bmp-графики. Впрочем, никакого реального ущерба HPS не наносил, поэтому его с полным основанием можно назвать безвредным шуточным вирусом.

«Заботливый» Welchia

Червяк Welchia претендует на звание самого полезного в истории: эта появившаяся в 2003 году программка после автоматической загрузки через сеть проверяла наличие заражения ПК опасным сетевым червём (программа была написана для устранения червя Blaster w32.blaster.worm, другое название — LoveSan), удаляла его и также в авторежиме пыталась установить обновления для Windows, закрывающие сетевые уязвимости. После успешного выполнения всех этих действий Welchia… самоудалялся. Правда, с Welchia тоже не всё было гладко — дело в том, что после установки обновлений Windows червь отдавал команду на принудительную перезагрузку ПК. А если в это время пользователь работал над важным проектом и не успел сохранить файл? Кроме того, устраняя одни уязвимости, Welchia добавлял другие — например, оставлял открытыми некоторые порты, которые вполне могли использоваться затем для сетевых атак.

Вирусы и как с ними бороться. Часть первая / Overclockers.ua

Статья прислана на конкурс Летний АвторRUN!

Если сравнивать компьютер с человеком, а вернее реальную жизнь с виртуальной, то можно провести параллели между человеческим здоровьем и компьютерным, а точнее между той заразой, которую мы и в реальной, и в виртуальной жизни называем вирусами.

Вирус (производное от латинского слова «яд») — микроскопическая частица, способная инфицировать клетки живых организмов.

На борьбу с биологическими вирусами брошены различные прививки и таблетки (а в перспективе и наномедицина), а на борьбу с программными (виртуальными) брошены антивирусные приложения. Но откуда берутся вирусы? Вот в чем вопрос.

С теми, которые вредят здоровью человека, все понятно: новые вирусы возникают вследствие природной мутации, а иногда не без человеческой помощи. Что же касается компьютерных вирусов, то они сами на свет появиться не в состоянии, их изначально придумали очень умные молодые люди. Одним из первых вирусописателей (а по некоторым источникам он был именно первым) стал Фред Коэн, аспирант калифорнийского университета. Свой первый вирус он написал в ноябре 1983 года в ходе исследований, связанных с компьютерной безопасностью. Немного позже работа над написанием вирусов была запрещена и прекращена. Что характерно, вирус, написанный Фредом, работал на машине VAX 11/750 под управлением системы Unix, той самой, на которой вирусы так и не прижились. Но именно этот день можно считать рождением новой забавы, которая со временем превратилась в настоящий террор и преступление в руках людей, начиная от несовершеннолетних одиночек и заканчивая целыми плотно сплоченными сетевыми бандами хакеров.

Если мы уж завели разговор о вирусах, то давайте разберемся с тем, какие именно типы вирусов бывают. Но для начала необходимо понять, что вирус, троян и червь — это разные вещи, а вирусами их называют, как бы объединив в единую группу логически. Если же называть все «по науке», то весь этот зоопарк нужно именовать не иначе как Riskware.

Бутовые вирусы (Boot viruses) — этот тип вирусов заражает загрузочную область дискет и жестких дисков; запускается во время загрузки системы и начинает свои зловредные действия.

Макро-вирусы — этот тип вирусов был разработан специально для распространения с помощью документов, созданных в пакете Microsoft Office (а точнее, MS Word). Принцип работы прост как день: в момент запуска текста или таблицы на редактирование (но не на просмотр сторонней программой вьювером) запускается деструктивная макрокоманда (вирус), написанная на языке Visual Basic.

Черви — обычно распространяются посредством почтовых программ при получении сообщения. Некоторые из них нужно запустить вручную из вложения, некоторые запускаются сами в момент загрузки, а некоторые вообще достаточно всего лишь выделить мышкой для удаления — и вирус запущен. Также могут быть черви, распространяющиеся через видеосервисы (типа YouTube). Если в процессе просмотра видео к вам на винчестер в ОС через дыру в браузере пролазит вирус и начинает вредить, я думаю, понятно, почему этот тип вируса называют червем. Черви как раз и используют слабые места (дыры) в операционных системах, браузерах и приложениях, а критические обновления призваны устранить такую возможность — но на практике обновления к дырам (заплатки, патчи) выпускают во много раз реже, чем черви и эксплойты к ним. Самое неприятное то, что черви, в отличие от вирусов, удалить антивирусом можно не во всех случаях, иногда пользователю приходится удалять их вручную. Нередко на сайтах производителей антивирусных программ можно узнать инструкции по удалению того или иного червя.

Трояны (троянские кони) — если вспомнить историю Древней Греции, то сразу станет понятно, что это за тип вируса. Вкратце напомню. Легенда гласит, что во время войны между греками и троянцами греки соорудили огромного деревянного коня и залезли внутрь него, а троянцы возьми да и втащи его в город. Ночью оттуда повылазили «гости» и тут такое началось.… В общем, в компьютерном мире то же самое: скачали вы, значит, какой-нибудь там кейген (генератор кодов к программам, обычно хакерская машинка для взлома платной продукции), и во время генерирования кода к вам на компьютер распаковывается программка в несколько десятков килобайт (а то и байт!) и приступает к работе. Обычно троянские кони выполняют кражу различной информации, начиная от паролей к банковским счетам и кошелькам и заканчивая отчетом обо всех нажатых клавишах в системе, ну и еще совершают массу неприятных действий. Конечно, трояны могут залазить на компьютер не только через различного рода сомнительные программы, они могут быть внедрены даже в антивирус, скачанный из ненадежного источника, или находиться в любой другой с виду надежной программе, так что следите за тем, откуда качаете софт.

Программы-звонилки (дайлеры) — вирусы этого типа призваны совершать через модем, установленный в системе, звонки на очень дорогие номера, находящиеся за границей, обеспечивая хозяину компьютера колоссальные счета за телефонные переговоры. Вообще этот тип вирусов из разряда вандальских шалостей, но иногда он может принести и материальную выгоду своему хозяину. Представьте тарифный пакет сотового оператора, в котором за каждую минуту входящего звонка начисляются бонусы. Прикинули?

Кейлоггеры — «слушают» прерывания клавиатуры и записывают их в лог-файл, после чего отправляют на некоторый почтовый адрес своего хозяина, который таким образом получает все пароли и секреты, вплоть до набранных документов в любом текстовом приложении.

Spyware (спайвары) — программы-шпионы. Интегрируясь в вашу систему очень глубоко (скрытые инсталляционные папки и скрытые процессы) они записывают о вас всю информацию и отправляют на e-mail или оставляют логи на компьютере. Сбор информации ведется, начиная о посещенных сайтах и заканчивая запущенными приложениями и разговорами через сервисы типа Skype. Иногда программы-шпионы распространяются совершенно легально и призваны следить за детьми, работающими на компьютере, о них часто пишут в компьютерных изданиях, они платные и зачастую содержат в себе модули, шпионящие за машиной, на которую инсталлированы.

Adware — это очень интересный тип вирусов; попадая к вам в систему, а именно в конфигурационные файлы почтовиков и браузеров, а также в реестр, они показывают вам рекламу с различных источников, которую вы вовсе не желаете лицезреть, тем самым, принося деньги хозяевам, заключившим сделку с рекламодателем.

Root-kit — это целый набор инструментов, которые позволяют управлять вашей системой удаленно и выполнять абсолютно все действия, вплоть до форматирования разделов. Происхождение этого типа вредоносных программ совсем безобидное, они относятся к инструментам для системных администраторов, загружаются на компьютеры через так называемые лазейки бэкдоры (backdoor), которые находят портсканерами или используя программы-эксплойты, предварительно снимая баннеры с системы удаленно и узнавая таким способом, какой тип ОС установлен на машине (сервере) и какой тип эксплойта туда применим. Ну, тут уже попахивает удаленным взломом системы.

Фишинг, спуффинг, тайпсквоттинг и спам тоже можно в некотором роде отнести к вирусам, хотя это скорее технологии обмана и мошенничества, которые нацелены на то, чтобы заработать денег на неопытном или невнимательном пользователе.

Полиморфные вирусы — вирусы этого типа, попадая на машину, сразу стараются видоизменить свой код, что очень затрудняет выпуск сигнатур и отслеживание мутации этой твари; также в эту группу не грех будет включить и вирусы-невидимки, которые маскируются в системе, становясь как бы обычным процессом word.exe.

Классический вирус (файловый вирус) — это понятие весьма неоднозначное, и один вирус не похож на другой как по действию, так и по принципу заражения файла, но стоит отметить, что иногда вирусы добавляют себя сразу в несколько файлов на компьютере, расположенных в системных папках. Одним словом, вирус с именем virus.bat может при запуске «расселить» себя в три файла xxx.dll, xxx.exe и xxx.com и таким образом выполнять свои деструктивные действия на компьютере, запускаясь при старте компьютера и попадая в оперативную память. Иногда вирусы просто добавляют себя в код какого-либо файла, например видео, фото или звукового, тем самым, выводя его из строя (разрушая).

Как видите, основной список компьютерной заразы очень обширен, и при активном и неосторожном пользовании компьютером (а особенно когда есть доступ в Интернет) можно заразить его вирусом, который может причинить множество неприятностей. О них давайте поговорим отдельно.

Каким образом вирусы попадают на компьютер, мы немного разобрались, теперь давайте рассмотрим, какой вред могут причинить вирусы и как они работают. Попав на ваш компьютер и запустившись, вирусы чаще всего записывают себя в ключе реестра на автозагрузку и после следующего старта начинают свои действия, спектр которых начинается мелкими шалостями в виде появляющихся на мониторе неприличных слов и заканчивается парализованной сетью или испорченными .exe файлами. Вообще на этот счет можно написать целую книгу, случаев много — и вы поймете по поведению системы, что с ней что-то не так. Стоит отметить, что любой вирус сначала нужно запустить, а каким методом это будет сделано — совершенно не важно, иногда вирусы способны даже блокировать работу брандмауэра и антивируса, полностью захватывая контроль над системой. Также уместно будет напомнить, что активный вирус всегда загружен в оперативную память (иначе он просто как кобра в ящике).

В *nix системах с вирусами дела обстоят намного лучше. Дело в том, что файловые вирусы здесь вообще не получили распространения, поскольку в эту операционную систему изначально была заложена концепция мониторинга целостности файлов встроенными утилитами типа Tripwire и AIDE, и незаметно изменить файл практически невозможно ни системой, ни пользователем. А если еще и учесть очень гибкую схему распределения прав пользователям, то получить доступ к системным файлам становится просто нереально. Конечно, как и во всех ОС, в *nix системах есть и слабые места, а именно атака на приложение и переполнение буфера. Сейчас идет усовершенствование работы стека памяти, и скоро нападающему будет трудно просчитать, какой стек будет использоваться следующим, так что выполнить метод переполнения буфера станет еще сложней. Существует немного троянов, шпионов, adware и червей для систем Linux, но их доля настолько ничтожна, что даже неудобно говорить, а уж взломать удаленно эту систему удается вообще только крутым асам. Немаловажную роль здесь играет и то, что это открытая ОС и, притом, что написать к ней вирус не так-то просто, заплатку сделают в одно мгновение.

В быту у пользователей ходят разные сказки о вирусах, которые якобы выводят из строя железо, начиная от сгоревших процессоров и заканчивая повреждением нулевой дорожки винчестера. Это неправда. Уже довольно долгое время вирусы могут создавать только программные (софтовые) проблемы (хотя иногда испорченная информация на корпоративном компьютере бухгалтера может стоить десятка геймерских машин). В незапамятные времена писались вирусы, которые могли причинить вред компьютерам, вернее их железной части, но в то время железо было столь ненадежное, что сравнивать с нынешним не приходится. В пример можно привести вирус, задача которого заключалась в том, чтобы свести лучи ЭЛТ-монитора в одну точку и через пару минут получить на этом месте прогоревший люминофор. Были вирусы, перепрошивающие системный BIOS, тем самым, выводя из строя машину — но это было уже не смертельно. А качество и безопасность нынешнего железа делает его повреждение просто невозможным.

Какие они, антивирусы?

Антивирусы бывают нескольких типов, а именно программные, аппаратные и онлайновые. Программные антивирусы — это те, которые мы привыкли видеть установленными на своих компьютерах, а аппаратные решения обычно применяются в бизнес-сетях. Аппаратные антивирусы способны «на лету» сканировать весь приходящий и исходящий IP трафик, что позволяет снимать нагрузку на процессоре сервера, а вдобавок ограждают всю сеть от входящих через Интернет вирусов (однако не стоит забывать, что вирусы попадают на компьютеры не только через сеть, но и посредством различных съемных носителей). В пример можно привести решение от компании ZyXEL и Лаборатории Касперского ZyWALL UTM.

Говоря об онлайн-антивирусах, замечу, что далеко не все компании предоставляют такой сервис, могу лишь отметить компанию Panda Software с ее сервисами TotalScan или NanoScan beta по адресу www.infectedornot.com.

Также существуют антивирусные решения, которые «вшиты» в железо, а именно в материнские платы и процессоры, но такие решения сразу лучше отключать, поскольку они очень сильно нагружают машину в целом, сканируя и анализируя работу приложений в реальном времени, да и эффективность их спорная.

У многих пользователей (даже старожилов «компьютерного фронта») выработалось свое мнение по поводу качества того или иного антивирусного пакета, но далеко не все представляют, сколько вообще в мире существует антивирусов, какими мерками измеряют их производительность и реально ли вообще это сделать. А споры на тему качества антивируса вообще в 99% случаев не подкреплены никакими серьезными аргументами, кроме «грузит систему и не ищет вирусы». Но давайте обо всем по порядку.

Для начала я бы хотел привести три основные группы антивирусных компаний, по мнению авторитетного журнала Virus Bulletin, который мы еще вспомним.

Первая группа:

Symantec (США)
McAfee (США)
Trend Micro (Тайвань; но доминирует на рынке Японии)

Вторая группа:

Sophos (Англия)
Panda Software (Испания)
Computer Associates (США)
F-Secure (Финляндия)
Norman (Норвегия)
AhnLab (Южная Корея)
AVP (Антивирус Касперского) (Россия)
(Вторая группа антивирусов наиболее популярна на локальных рынках).

Третья группа:

Alvil — Avast (Чехия)
Arcabit (Польша)
Doctor Web (Россия)
ESET — NOD32 (Словакия)
Frisk Software (Исландия)
Gri Soft (Чехия)
H+BDW (Германия)
Hauri (Южная Корея)
Soft Win (Румыния)
Virus Buster (Венгрия)
UNA (Украина)
STOP! (Украина)
Rising (Китай)
King Soft (Китай)

Также существуют компании, такие как немецкая G-Data, которая продает антивирус, созданный на базе российского AVP, они в список не попали, среди их продуктов есть и антивирусы с достаточно громкими именами. Не стоит воспринимать этот список как мерило для антивируса, это лишь отображение ситуации в расстановке сил на мировом рынке, а не продукта в целом, ведь в США пользователей ПК гораздо больше, чем в Украине или России, а уж про Китай и Японию я вообще молчу. Конечно, я бы с удовольствием написал о таких продуктах, как детища компании АО «Диалог Наука» Aidstest, Dr. Web, Adinf, и о лаборатории Касперского, и о таких людях, как Евгений Касперский, Игорь Данилов и Дмитрий Лозинский поименно, но боюсь, что статья получится просто огромной.

Также иногда случаются порой курьезные ситуации, когда пользователь скачивает из сети антивирус, устанавливает его (или вообще запускает единственный экзешник, из которого он состоит), и тот находит на эталонной (свежеустановленной) ОС несколько десятков «выдуманных» вирусов, попутно предлагая купить лицензию и скачать новые сигнатуры и полифаг, который вылечит зараженные файлы. Конечно, на такие обманные программы нужно обращать особое внимание. Кстати, вот один из таких псевдоантивирусов — Hoax.Renos.

Теперь нужно определиться с тем, для каких целей нам нужен антивирус, как происходит его установка, настройка, обновление и поддержка, с какими трудностями можно столкнуться в процессе использования антивируса, а для чего антивирус не подходит вообще. Также мы коснемся того, как антивирус обнаруживает вирусы, какие типы обнаружения существуют и как он работает в принципе.

Заинтересовались? Продолжение следует.

Профилактика вирусных заболеваний ПК

Трудно найти пользователя ПК, который никогда не слышал о компьютерных вирусах. Это одна из самых широко известных проблем. Однако она же, наверное, самая запутанная и мифологизированная. Часто даже ИТ-специалисты высказывают крайне противоречивые мнения о компьютерных вирусах. Цель данной статьи — осветить часто задаваемые вопросы о вредоносных программах и организации многоуровневой защиты от них. Как снизить вероятность заражения? Чтобы ответить на этот вопрос, нужно сначала разобраться, от чего же мы хотим себя защитить.

Часть 1. Занимательная вирусология

История

Сейчас трудно сказать, когда появились первые компьютерные вирусы, поскольку само понятие компьютерного вируса достаточно размытое. В быту вирусами часто называют любую программу, мешающую работать. В словарях и энциклопедиях вирусом называют программу или часть программы, способную к самокопированию в другие программы или на другие компьютеры. С этой точки зрения, вирусом не является «самоперемещающаяся» программа, удаляющая предыдущую копию после запуска новой (и, таким образом, не размножающаяся). Однако если такая программа перед перемещением будет удалять нужные файлы с диска, то с точки зрения пользователя она — типичный вирус. Её никто не звал, а она пришла, всё испортила и пошла портить дальше. Мы не будем разводить здесь терминологические дискуссии. Считайте, что в этой статье вирусом называется любая зловредная программа.

Если верить Истории компьютерных вирусов на Википедии, то первые самовоспроизводящиеся программы создавали ещё на границе 50-60-х годов прошлого века. Правда, делали это из академического интереса — моделировали на компьютере жизнь организмов. В конце 70-х появляются зловредные программы, которые под видом полезных выкладывались на «электронные доски объявлений» (BBS), но после запуска уничтожали данные пользователей. И вот, в начале 80-х, появились первые «бесспорные» со всех точек зрения вирусы — они размножались и мешали работать. В 1984 году выходит статья Фреда Коэна «Компьютерные вирусы — теория и эксперименты» (Fred Cohen. Computer Viruses — Theory and Experiments), в которой и введён термин «компьютерный вирус».

В том же 1984 году появляются первые антивирусные программы — Check4Bomb и Bombsqad. Check4Bomb искала подозрительные участки в загрузочном модуле (вывод текстовых сообщений, команды записи на диск и т. п.) Такой поиск сейчас принято называть «эвристическим». Он основывается на опытных знаниях о вирусах и понимании того, как должна «правильно» работать ОС. К примеру, вирус Elk Cloner 1981 года показывал стишок при загрузке DOS на ПК Apple II. А зачем вообще загрузчику DOS показывать пользователю длинные сообщения? Вторая программа — Bombsqad — перехватывала операции записи и форматирования, выполняемые через BIOS в обход ОС. Такое наблюдение за работой других программ в реальном времени сейчас называют антивирусным монитором. В 1985 году Том Нефф начал распространять по BBS список опасных заражённых программ («грязная дюжина»). Это — прообраз сигнатурной защиты, то есть поиска заранее известных зловредных программ.

С тех пор идёт непрестанная гонка вооружений: кто-то придумывает всё более изощрённые вирусы, другие разрабатывают более совершенные антивирусы. Гонка вооружений всегда приводит к крупным затратам и быстрому прогрессу участников. Сегодня большинство вирусов и антивирусов являются сложнейшими программными комплексами, в которые вложены тысячи человеко-часов высококлассных программистов. Интересующиеся могут сами поискать в интернете штаты ведущих производителей антивирусных программ и сравнить их со штатом, к примеру, ближайшего завода. Закончится ли когда-нибудь эта гонка? О полной победе над вирусами неоднократно сообщали многие уважаемые специалисты. В 1988 году Питер Нортон назвал компьютерные вирусы несуществующей угрозой, чем-то вроде «городской легенды». В 1995 году Билл Гейтс заявил на пресс-конференции, что выход Windows 95 покончил с вирусной угрозой. Недавно Стив Джобс заверил, что iPhone полностью защищен от вредоносных программ. Увы. Компьютерные вирусы — часть прогресса. Пока идёт прогресс, будут появляться и новые вирусы. Поэтому мы переходим от исторического экскурса к насущным проблемам.

Кто пишет вирусы

Один из распространённых мифов состоит в том, что вирусы пишут сами производители антивирусных программ, чтобы потом продавать свои продукты. Я не буду даже пытаться бороться с этим мифом, так как конспирология обладает всеми признаками религии. А победить религию можно только другой религией. Рационально мыслящим людям же стоит посмотреть Хронологию компьютерных вирусов и червей на Википедии. Авторы многих вирусов известны поимённо, некоторые из них за вирусописательство оказались в местах не столь отдалённых. Назначено вознаграждение за информацию о некоторых лицах, причастных к созданию вирусов. Справедливо сказать, что производители антивирусов иногда «перегревают» интерес к теме, но не более того.

Сложно ли сделать компьютерный вирус? Смотря какой. В самовоспроизведении программы нет принципиальной сложности. Все первые вирусы были написаны одиночками-энтузиастами, часто студентами. Даже сейчас можно создать вирус вообще без специальных средств разработки, с помощью одной только командной строки Windows (см. Bat-вирус). Вот только распространяться по сети он вряд ли будет. С 80-х годов прошлого века ОС существенно поумнели и теперь обладают многоуровневой системой защиты. Они просто не позволят процессу, запущенному рядовым пользователем, менять системные настройки ПК, тем более настройки другого ПК по сети. Подобные простейшие вирусы могут жить только при попустительстве системных администраторов, давших всем полные права на любые действия. Поэтому первый ключевой элемент антивирусной защиты — разграничение прав.

Положим, права разграничены. Тогда вирус должен найти пробел в системе безопасности, обойти защиту. Это уже задача принципиально иного уровня. Все массовые современные ОС написаны большими коллективами с высококлассными кадрами, с многоуровневой системой тестирования и поиска ошибок. Чтобы найти уязвимость, нужны не менее квалифицированные специалисты и не меньшие затраты на организацию работы. Следовательно, в разработку вируса необходимо вложить большие деньги. Если кто-то вкладывает деньги, то либо ему их девать некуда (см. конспирология), либо он хочет получить прибыль. Давайте рассмотрим, какие коммерческие цели преследуют компьютерные вирусы и к каким последствиям они приводят. Поскольку разных зловредных программ сейчас очень много, то для упрощения изложения мы условно разделим вирусы на две группы. Первая — вирусы с изначально записанным вредоносным алгоритмом, не требующие удалённого управления со стороны своего автора. Назовём их автономными. Вторая — вирусы, позволяющие автору удалённо запускать произвольный вредоносный код. Таким образом, автор вируса получает в своё распоряжение целую сеть подконтрольных компьютеров, которую называют «ботнет».

Автономные вирусы

Исторически, первые вирусы были автономными. Автор писал вирус и выпускал его «на волю». Дальше вирус жил своей, независимой жизнью. Сейчас автономные вирусы чаще всего преследуют следующие цели.

  1. Вымогательство (Ransomware). Такие вирусы блокируют работу ПК (или мешают другим образом) и просят пользователя заплатить за снятие блокировки. Ещё в 1989 году появился вирус AIDS, который шифровал имена файлов на диске C: и просил за расшифровку перевести $189 на счёт в Панаме. Автора AIDS вскоре арестовали при обналичивании чека, однако желающие лёгких денег не переводятся. Сегодня массово распространено вымогательство через блокировку рабочего стола Windows. Чтобы её снять, пользователю предлагается отправить платную SMS на указанный номер. В простейшем случае такой вирус безобиден — вы теряете время на разблокировку по стандартной инструкции (есть на многих сайтах, к примеру у Касперского, у Dr.Web, у ESET). А вот в случае с шифровкой данных заражение может привести к их полной потере.
  2. Воровство данных. В первую очередь производителям вирусов интересны учётные данные — пароли, номера кошельков платёжных систем и тому подобное. Первые вирусы, ворующие пароли доступа в интернет, зафиксированы ещё в 1997 году. Сейчас существует много способов такого воровства, к примеру:
    1. Запустить программу, следящую за действиями пользователя (spyware) — в том числе, за нажимаемыми клавишами (кейлогеры), снимками экрана, посещаемыми сайтами и т. п.
    2. Подложить пользователю вместо настоящей страницы ввода учётных данных поддельную, которая потом отправит пароль «куда следует» (фишинг).
    3. Подложить клиент-серверной программе вместо настоящего сервера поддельный, который извлечёт пароли из передаваемого трафика. Чаще всего для этого изменяются настройки DNS сетевого подключения или содержимое файла hosts. В результате ОС по имени настоящего сервера получит IP-адрес сервера мошенников и отправит ему логин и пароль.
    4. Перенаправить весь веб-трафик на сервера мошенников. Для этого изменяются настройки шлюза или прокси по умолчанию.
    5. Найти и извлечь пароли, которые сохранены в различных прикладных программах. У вас бывало, к примеру, что после замены одной программы обмена сообщениями на другую та автоматом находит и импортирует настройки старой — учётную запись, список контактов? Удобно? Вирусам тоже.
    Зафиксированный на сегодня рекорд компьютерного воровства — Альберт Гонсалес в 2005–2007 годах своровал и продал данные о более чем 170 миллионах банковских карт. Про возможные способы воровства данных из банк-клиентов можно почитать в статье на Хабре «Атака на банк-клиент…». Взгляд со стороны работника банка и далее по ссылкам в ней. Для конечного пользователя результаты воровства могут быть самые разнообразные — от опубликования переписки во взломанном почтовом ящике до увода денег со счетов. Исправить это уже практически невозможно.
  3. Подключение платных услуг. Во времена коммутируемых соединений были распространены так называемые порнодиалеры, которые отключали модем от провайдера и звонили с модема на платный номер. Сейчас распространены вирусы для мобильных устройств, отсылающие SMS на платные номера. Результат одинаковый — большие счета за несуществующие услуги. Вернуть деньги назад нереально. Во времена порнодиалеров некоторые провайдеры всем клиентам даже рассылали специальные уведомления о том, что никакой ответственности они не несут и помогать возвращать деньги не будут.
  4. Показ рекламы (Adware). Такие вирусы начали массово распространяться в начале 2000-х годов. Чтобы реклама была эффективней, её решили подстраивать под предпочтения конкретного человека. Для этого вирусы стали следить за действиями пользователей — какие сайты они посещают, что ищут в интернете (опять же, spyware). Отметим, кстати, что некоторую информацию собирают и легальные системы контекстной рекламы (к примеру, Google AdSense). Никаких вредных эффектов, кроме раздражения пользователей, рекламные вирусы не вызывают.
  5. Порча данных и оборудования. Порча данных возможна по разным причинам — от шифрования с целью шантажа до злонамеренного уничтожения в конкурентной борьбе. Порча оборудования — гораздо более редкое событие. Многие считают, что программа в принципе не может испортить «железо». Это не так. Теоретически, к порче оборудования может приводить его некорректное использование. К примеру, специалисты предполагали возможность сжечь принтер, постоянно держа включенным его термоэлемент. Практически же гораздо проще заблокировать работу устройства путём смены или стирания его прошивки. Физически такое устройство цело, по факту — как будто сломано, не работает и невозможно починить в домашних условиях. Яркий пример — вирус CIH 1998 года, портивший FlashBIOS материнских плат. Свежий пример вируса, в принципе способного портить оборудование — Stuxnet. Он внедрялся в промышленные системы управления (SCADA-системы) и атаковал контроллеры подключенных исполнительных механизмов, в частности электроприводов. Активно распространялись слухи, что Stuxnet должен был уничтожить объекты ядерной программы Ирана. Так это или нет — мы, скорее всего, никогда не узнаем.
Ботнеты

Перейдём теперь к вирусам, позволяющим произвольно управлять заражённым ПК. Ещё в 1989 году вышел вирус WANK Worm, менявший системный пароль на набор случайных знаков и пересылавший его определённому пользователю сети. История умалчивает, зачем это было сделано. Сегодня же удалённое управление чаще всего используется для создания ботнетов. Бот (от слова «робот») — программа (в данном случае вредоносная), имитирующая действия пользователя. Ботнет — сеть или группа ПК, которые управляются ботами. Такие ПК называют «компьютер-зомби». Хозяин ботнета передаёт команды «зомби», те их послушно исполняют. Передача команд и управление может быть организовано двумя способами. В первом способе хозяин ботнета создаёт централизованные управляющие сервера (command and control, C&C), которые поддерживают связь с ботами, к примеру, по протоколу IRC. Получается такой «чат для зловредных программ». Хозяин передаёт команды управляющим серверам, а те — ботам. C&C-сервера же и делают ботнет уязвимым. По ним легче найти хозяина, их легче заблокировать. К примеру, в ноябре 2010 года были выключены 143 C&C-сервера ботнета Bredolab, состоявшего из примерно 30 000 000 (тридцати миллионов) «ПК-зомби». Поэтому существует второй способ — децентрализованный (пиринговый). В нём сами боты работают как сервера управления. Хозяин передаёт команды нескольким ботам, они передают их другим ботам, те — третьим и так далее (см. P2P-сети). Ключевых узлов нет, каждый бот нужно выявлять и отключать сам по себе (такие операции, кстати, тоже проводятся). Зачем создают ботнеты? Для доставки и исполнения на «ПК-зомби» других вредоносных модулей. Ботнеты часто продаются или сдаются в аренду компьютерными злоумышленниками. Запуск вируса заказчика на большом количестве «ПК-зомби» сам по себе является коммерческой услугой нелегального рынка. Теоретически, модули ботнета могут преследовать любые вредоносные цели, включая перечисленные выше типы автономных вирусов. На практике же массовые ботнеты занимают вполне определённую нишу. Если запустить в ботнете, к примеру, программу-вымогатель, которая заблокирует рабочий стол, то пользователи сразу поймут, что ПК заражены, и вылечат их. Соответственно, размер ботнета уменьшится, снизится привлекательность ботнета для потенциальных заказчиков. Гораздо привлекательные использовать ботнет для показа рекламы (например, подменой легальных рекламных блоков на сайтах) и воровства данных. Так ботнет может приносить длительную прибыль, оставаясь незамеченным. Существуют и вредоносные модули, специфичные только для ботнетов. Им для успешной работы необходимо большое количество постоянно меняющихся заражённых ПК, поддерживающих связь между собой. Рассмотрим их.

  1. Рассылка спама. Ещё в 1864 году зафиксирована первая массовая рассылка рекламных телеграмм. Компьютеров тогда ещё не было, термина «спам» тоже. Слово SPAM появилось в 1937 году и обозначало мясные консервы (то ли SPiced hAM, то ли Shoulder of Pork and hAM, версии расходятся). Выпуск SPAM сопровождался агрессивной рекламой, а во время Второй мировой войны он стал одним из немногих мясных продуктов, более-менее доступных жителям США и Великобритании. В 1970 году британская комик-группа Монти Пайтон высмеяла вездесущие надоедливые консервы SPAM в своём телешоу, и имя SPAM стало нарицательным. В 90-х годах это название закрепилось за нежелательными рекламными рассылками в компьютерных сетях. Сейчас спам составляет порядка 80-85% всех писем электронной почты. И провайдеры, и хостеры, и рядовые пользователи стараются автоматически отсеивать (фильтровать) спам. Спамеры, в свою очередь, стремятся затруднить такую фильтрацию. В частности, им выгодно посылать спам с большого количества разных ПК, а не с одних и тех же серверов, которые (как и C&C-сервера) легко можно заблокировать. Поэтому, рассылка спама — распространённая работа ботнетов.
  2. Вывод из строя интернет-сервисов DDoS-атакой. DoS — аббревиатура от Denial of Service, то есть «Отказ в обслуживании». Злоумышленник отправляет на сервера выбранной жертвы (веб-сайта, электронной почты, платёжной системы и т. п.) большое число запросов-паразитов. Если плотность их потока (т. е. количество запросов в единицу времени) приблизится или превысит порог производительности серверов, то полезные запросы просто не смогут дойти по назначению. Это аналогично тому, как если бы бабушка пришла на почту, а там уже очередь из молодых наглых хулиганов, долго болтающих с симпатичной сотрудницей по ту сторону окошка. Понятно, бабушка свою посылку отправит нескоро. Поскольку производительность современных серверов и, тем более, датацентров значительно превышает производительность рядовых ПК, то для успешной атаки нужно одновременно слать паразитные запросы с большого числа ПК. Это и есть DDoS (от английского Distributed DoS) — распределённая DoS-атака. Это как если бы на почте хулиганы не в очереди стояли, а лезли бы и через дверь, и через все окна, и даже из подсобки. Тут у бабушки вообще шансов нет. Понятно, что для организации DDoS удобно использовать ботнет. Сначала злоумышленник может, оставаясь незамеченным, набрать критическую массу компьютеров-зомби. Затем модулям ботнета отдаётся команда начала атаки в заданное время. Когда сайт (или сервер электронной почты или любая другая служба) подверглась успешной DDoS-атаке, то его владелец получает простой и потери денег. Если атакованная служба из-за перегрузки вдобавок поведёт себя некорректно — выдаст страницу ошибки с системной информацией, станет неправильно проверять логины и пароли и т. п., — то возможны и далеко идущие последствия.
  3. Подбор паролей. Самый универсальный способ узнать чужой пароль — просто подобрать его, перепробовав все возможные варианты. Если никакой дополнительной информации о пароле нет (ни его длины, ни его отдельных частей и т. п.), то придётся перебрать все возможные комбинации букв, цифр и специальных символов. Чтобы прочувствовать масштаб задачи, попросите коллегу загадать двухбуквенный пароль и попробуйте отгадать его. Подбор же длинного пароля (8-10 символов) требует колоссального количества попыток. Поэтому такую атаку принято называть «грубой силой» (brute-force attack). Чтобы применить грубую силу, её сначала нужно иметь. Чем больше ПК параллельно пробуют пароли, тем в среднем быстрее они найдут нужный. Поэтому мошенники выносят подбор в ботнеты.
  4. Анонимный доступ для других злоумышленников. В вестернах злодей выходит к герою грудь на грудь, револьвер на револьвер. Жизненный опыт подсказывает, что реальные преступления обычно совершаются из-за чужой спины, а лучше из-за тёмного угла. Киберпреступления — аналогично. Поэтому когда нужно сделать «грязную работу» — перевести деньги со взломанного счёта или даже просто опубликовать компромат, то лучше поручить это «ПК-зомби». Ещё лучше, чтобы команду на это действие «зомби» получил от другого «зомби», а тот — от третьего и так далее, пока следы заказчика не потеряются. Есть и открытые системы анонимного доступа в сеть — к примеру, TOR. Однако известность TOR приводит и к целенаправленной борьбе против него. Доступ к некоторым сайтам закрыт с IP-адресов серверов TOR. Поэтому для преступников гораздо привлекательней использовать до поры до времени неизвестный ботнет.
  5. Хостинг преступных сервисов. Выше я упоминал про фишинг и перенаправление траффика на сервера мошенников. Если бы сервера постоянно были одни и те же, то их бы нашли и заблокировали. Поэтому преступникам выгодно создавать их средствами ботнета.
  6. Накрутка рейтингов. «ПК-зомби» имитирует заходы пользователей на определённые сайты, голосует там или просматривает рекламу и т. п.

Во всех перечисленных случаях пользователь заражённого ПК получает огромный объём сетевого траффика. Бывает, что полезные интернет-приложения просто не могут через него «пробиться», и пользователь после заражения жалуется на медленную работу интернета. Иногда в качестве ответной меры провайдер ограничивает доступ в сеть таким ПК. В частности, наша компания сталкивалась с блокировкой отправки любой электронной почты с заражённых ПК. Проблема решается звонком в техподдержку провайдера после излечения от вирусов.

Компьютерный вирус среди других современных опасностей

Нетрудно заметить, что перечисленные цели — воровство, вымогательство, вредительство — могут быть достигнуты и без привлечения высокооплачиваемых компьютерных специалистов. Поэтому чтобы точнее очертить круг вирусной угрозы, давайте проанализируем достоинства и недостатки этого вида криминального бизнеса.

Цена создания вируса высока. Если требуется украсть один пароль, то обычно это проще сделать «традиционным» путём — к примеру, шантажом знающего пароль человека. Некоторым кажется, что написание вредоносной программы — это чистая работа, а шантаж — грязная уголовщина. Спешу расстроить: оба варианта являются уголовно-наказуемыми. Но об этом позже. В целом, безопасность системы можно сравнить с водой в дырявой бочке. Неважно, какого размера и формы отверстия сверху — вода вытечет по уровню самого нижнего отверстия. Поэтому не следует делать из компьютерной безопасности самоцель, бесконечно совершенствуя её и забыв про всё остальное. Нужно обеспечить равномерную защиту, достаточную именно для вашего конкретного случая.

Достоинством вируса является возможность многократного применения и глобального охвата. К примеру, вызнать шантажом пароли у 1000 разных человек крайне затруднительно. Для этого нужно создать спецслужбу государственного масштаба. А заразить 1000 ПК вирусом — рядовое, в общем-то, событие. Сразу встаёт другой вопрос: а что ценного есть на 1000 случайно попавшихся ПК? На многих — ничего. На других ценную информацию нужно ещё суметь найти. Именно поэтому так популярны блокировщики рабочего стола, спам и DDoS-боты — они приносят пользу хозяевам после заражения любого ПК. Если же вирус, к примеру, ворует деньги из одной заданной банковской системы, то охват его заражения должен быть максимально широким, иначе он может просто не попасть на ПК, пользователи которых работают с данной системой и имеют солидные суммы на счетах. Если нужен вирус под атаку одного единственного предприятия, то цена данного предприятия должна перекрывать все расходы на создание вируса (смотри выше про Stuxnet и Иран). Поэтому я бы не стал ожидать, что кто-то что-то напишет специально для блокирования кассового ПК на районной автомойке. Скорее, найдут в интернете готовый вирус и принесут на флешке.

Каковы риски создания вируса? Как и у любого криминального бизнеса — ответственность перед законом, возможность «мести» пострадавшей стороны, конкуренция других преступников. В УК РФ есть глава 28 «Преступления в сфере компьютерной информации». Там есть статья 273 — создание, использование и распространение вредоносных компьютерных программ. В зависимости от тяжести содеянного, наказание может меняться от принудительных работ до лишения свободы на семь лет. Да-да, семь лет реальной тюрьмы, с реальной камерой и реальными соседями-уголовниками в ней за написание особо удачного вируса. Кому-то покажется, что статья — фикция, и по ней никого не осуждают. Однако факты говорят об обратном. К примеру, житель Воронежа, распространявший уже упоминавшийся вирус CIH, получил 2 года условно. Вроде и не страшно, и в то же время клеймо на всю жизнь — серьёзный работодатель такого сотрудника не возьмёт.

Сложно ли найти автора или распространителя вирусов? Тут важно понимать, что компьютерные преступления могут быть раскрыты вовсе не компьютерными методами. Пусть, к примеру, какой-то аноним украл или испортил ценную информацию Икс. К потерпевшему приезжает следователь и начинает задавать простые вопросы: кто знал про Икс, кто бывал возле Икс в последнее время, с кем дружили, с кем враждовали, кому ещё может понадобиться Икс и т. д. и т. п. В это время оперативник подтягивает заранее завербованную агентуру и спрашивает у неё: что слышно среди жуликов, где сейчас лица, ранее попадавшиеся на аналогичных преступлениях и т. д. и т. п. Поэтому если аноним хоть с кем-то в своей жизни общался (а он общался), то и вероятность его поимки ненулевая. Нетрудно понять, что чем специфичней объект атаки — тем проще искать преступника обычными полицейскими методами. Кто знает, кому выгоден вирус, поразивший миллионы ПК по всему миру? Зато если вирус поразит одно единственное учреждение, из которого недавно «по-плохому» уволили сотрудника, то этого сотрудника сразу возьмут в разработку.

Таким образом, видно два пути «рентабельного» вирусного бизнеса. Первый путь — разработка специального вируса для атаки на важный объект, к которому закрыты другие подступы. Значение цели и возможность удалённого воздействия на неё компенсируют затраты на разработку и риск вычисления заказчика. Второй путь — создание вируса для массового рынка, поражающего рядовые ПК через типовые уязвимости. Именно от таких вирусов нужно строить защиту подавляющему большинству пользователей.

Жизнь массового вируса на примере Kido

В качестве примера массового вируса рассмотрим Kido, он же Conficker. На пике эпидемии им было заражено, по разным оценкам, от 9 до 15 миллионов компьютеров. По оценкам Microsoft, с середины 2010 года до середины 2011 года количество заражённых ПК стабильно держалось в районе 1,7 миллиона. Известно несколько версий Kido, работа которых отличается друг от друга. Все они интересны сложным алгоритмом поведения, включающим в себя многие передовые вирусные технологии. Поэтому анализ Kido позволит точнее определить, от чего же нам в итоге нужно защищаться.

Заражение Kido может произойти по следующим путям:

  • По сети через уязвимость в протоколе RPC системы Windows. Уязвимость закрыта обновлениями, но, к сожалению, не все их себе поставили.
  • По сети через общие папки, к которым Kido подбирает пароль из списка наиболее популярных.
  • Через автозапуск со сменных носителей.

После заражения вирус регулярно проверяет наличие новой версии и, когда она появляется, устанавливает её. В конечном итоге, Kido загружает спам-модуль, т. е. Kido работает по принципу ботнета.

У вируса развитые механизмы самозащиты:

  • Блокировка доступа к сайтам известных производителей антивирусов и сайту Windows Update.
  • Отключение службы Windows Update.
  • Отключение возможности загрузки в безопасном режиме.
  • Ежесекундный поиск и выключение известных антивирусных и диагностических программ.

Во второй части статьи мы подробнее рассмотрим технические аспекты защиты от таких «продвинутых» массовых вирусов. Несмотря на сложный характер работы, общие черты этого вируса типовые. Поэтому и рецепты защиты будут типовые, применимые ко всем ПК.

Часть 2. Стратегия защиты от вирусов

Три кита защиты от вирусов

Что показывает нам пример с Kido как коллективным портретом современного вируса? Вирусы любят пользователей с простыми паролями. Всем, кто пользуется паролями типа qwerty, рекомендую поискать свой пароль в перечне Kido. Ещё вирусы любят автозапуск, особенно если он произойдёт у пользователя-администратора. Тут даже никакие защиты ОС обходить не надо, процесс стартует с полными правами на любые действия. Также вирусы любят, когда у пользователя стоит ОС без обновлений. Причём Kido активно борется с обновлениями путём блокировки Windows Update. И ещё вирусы не любят антивирусы (это у них взаимное). Поэтому профилактика вирусных заболеваний ПК стоит на трёх китах:

  • Разграничение прав пользователей, отключение лишних возможностей
  • Антивирус
  • Регулярная установка обновлений

Киты эти равноценны и необходимы, достаточно утонуть одному, как рухнет весь покоящийся на них мир. Пользователь, который творит, что хочет, не задумываясь о последствиях, рано или поздно вирус подхватит (чаще рано, чем поздно). Ему не помогут предупреждения антивируса, так как всегда есть вариант ответа «Продолжить». Антивирус часто бессилен против уязвимостей ОС. К примеру, тот же Kido категорически не лечится антивирусами до установки нужных обновлений. С другой стороны, ПК без антивируса, пусть и с полным комплектом обновлений Windows, тоже перед вирусами беззащитен. К примеру, фишинг происходит на уровне прикладных программ, логику работы которых ОС не контролирует. Так что организация защиты от вирусов — это не просто «мне друг дал ссылку на бесплатный антивирус, я скачал и поставил». Это многоуровневая комплексная задача. Начнём по порядку.

Ограничение и самоограничение пользователей

Как пользователь может заразить ПК вирусом? Вариантов два: явный запуск зловредной программы (к примеру, открытие заражённого exe-файла) или неявная провокация такого запуска (к примеру, вставил сменный носитель, на котором сработал автозапуск, открывший заражённый exe-файл). Как можно снизить риск заражения? В компьютере, как и в жизни, правила осторожности по сути являются ограничением от интересных, но потенциально опасных шагов. Конфликт интересов состоит в том, что интересность некоторых действий понятна всем (так, всем бывает интересно, когда в город приехал новый цирк), а вот опасность — только с определённым жизненным опытом (подумаешь, цирк даёт представление в трейлерном городке в лесополосе за промзоной). Большинство людей сначала игнорируют любые меры безопасности и рассказы о них, пока не столкнутся с проблемами лицом к лицу. Поэтому сначала безопасность обеспечивается принудительными ограничениями со стороны более опытных товарищей (вменяемые родители не пустят детей в упомянутый цирк, а вменяемые системные администраторы максимально защитятся от неопытных пользователей). Затем некоторые пользователи (прямо скажем, не все) дорастут до самостоятельного следования мерам предосторожности.

Кратко перечислю простейшие меры, которые соблюдаю лично я и которые рекомендую вам:

  1. Не открывайте неизвестные файлы. Задайте себе два простых вопроса. Во-первых, знаете ли вы хотя бы примерно, что там внутри и для чего оно нужно? Во-вторых, имеете ли связь с автором (или отправителем) файла в реальной жизни? Не бойтесь игнорировать сомнительную информацию и сомнительные программы. Если информация действительно важная, до вас доведут её и другим способом — отошлют повторно, позвонят, спросят о получении и т. п.
  2. Не открывайте обезличенные сообщения электронной почты или других средств коммуникаций. Любое приличное сообщение начинается с указания, кому оно предназначено — к примеру: «Уважаемый Имя Фамилия». Если текст сообщения можно адресовать кому угодно: «Здравствуйте. Мы предлагаем Вам и т. п.», — то это, в лучшем случае, спам.
  3. Не открывайте выданные поисковиком сайты, если не уверены в их полезности. Обратите внимание, что во всех приличных поисковиках под ссылкой приведена цитата с сайта, который вам предлагается. Посмотрите: это точно то, что вам нужно? Гугл, вдобавок, умеет заранее показать содержимое найденной страницы в правой части экрана. Очень удобно при работе с сомнительными источниками.
  4. Открыв сайт первый раз, оцените качество его исполнения. Хороший сайт делается долго, поэтому сайты-однодневки мошенников имеют неаккуратное исполнение — аляповатые цвета, уродливые картинки, текста нет, либо наоборот куча непонятного текста и т. д. и т. п.
  5. Не используйте простые пароли. Рекомендации Microsoft по созданию надёжных паролей можно посмотреть по ссылке. Почитать, что такое плохой пароль и насколько легко он подбирается, можно на хабре.
  6. Следите за использованием https. У приличных интернет-магазинов и других веб-сервисов, особенно связанных с приемом/передачей денег, строка адреса начинается с https, а не как обычно с http. Это значит, что подлинность сайта подтверждена цифровой подписью, а передаваемые на сайт данные шифруются. Чтобы не заставлять вас вчитываться каждый раз в буквы адреса, веб-браузеры отображают наличие https дополнительным значком или цветом. К примеру, Internet Explorer при безопасном соединении показывает замок в строке адреса.

Отображение https в Internet Explorer 9

Перечисление можно продолжить: интересующиеся легко найдут подобные правила на большинстве сайтов, посвящённых компьютерной безопасности. Перейдём к организации принудительного ограничения нерадивых (или просто неопытных) пользователей. Сначала нужно решить, что́ пользователям делать можно, а что́ — нельзя. Затем — найти технические средства, позволяющие отключить ненужные возможности.

Первое принципиальное решение: нужно ли пользователю изменять системные настройки, т. е. быть администратором компьютера? К примеру, задать другие параметры подключения к интернету или установить новое устройство в ПК? Большинству людей, использующих компьютер для работы, после установки и настройки рабочих программ ничего менять в системе больше не нужно. Конечно, некоторые профессиональные программы всё-таки требуют администраторских прав для своей работы. Поэтому окончательное решение по ограничению прав принимается опытным путём — ограничили, проверили работоспособность и, если необходимо, внесли коррективы. Инструкция по изменению администраторского статуса учётной записи пользователя есть, к примеру, на сайте Microsoft по ссылке. Эффективность такой меры очень высокая. BeyondTrust утверждает, что лишение прав администратора «закрывает» около 90% всех уязвимостей Windows (источник, перепост на русском языке). С одной стороны, конечно, BeyondTrust зарабатывает именно на разграничении прав, их интерес в подобной статистике понятен. С другой стороны, по нашему опыту могу сказать, что уменьшение количества сбоев после урезания прав в небольших сетях видно невооружённым взглядом. Некоторую аналогию наличию полных прав и «бесправности» можно проследить в политиках iOS (можно ставить программы только из одного источника) и Android (можно ставить программы откуда угодно). Желающие могут поискать статистику по вирусам на обеих платформах.

Положим, вывести пользователя из администраторов не получается, права ему действительно нужны. Насколько часто они нужны? Если от случая к случаю, то имеет смысл организовать выдачу прав по запросу. То есть пользователь работает без прав администратора, а когда они реально нужны, либо пароль администратора вводит старший товарищ, либо пользователь сам вводит дополнительный пароль. В Windows XP был механизм «Запустить от имени…» (Run As…), позволявший запустить программу под другой учётной записью. В Windows Vista Microsoft пошёл дальше и ввёл механизм контроля учётных записей пользователей (User Account Control, UAC). Теперь даже администратор ПК работает без прав администратора, но если такие права нужны какой-то программе, то она должна попросить у ОС повышение привилегий. Windows показывает пользователю дополнительный запрос на подтверждение и только затем выдаёт программе полные права. Технология, в принципе, нужная и полезная. Но на практике сразу после установки Vista на пользователя обрушивался град запросов — при установке каждого драйвера, каждой программы, настройки подключения к интернету, изменении некоторых опций интерфейса на привычные и т. п. Вдобавок обратите внимание, что программа должна сама запросить у Windows повышение прав. Поэтому многие программы, написанные до Vista, работать под ней отказались. Чаще всего проблема решается установкой галочки «Выполнять эту программу от имени администратора» во вкладке «Совместимость» диалога свойств программы. При этом Windows перед запуском автоматом инициирует запрос на повышение прав, и если пользователь подтвердит, то программа будет работать с полными правами. Но кто же из простых смертных знал об этом в первые дни? Как результат, массовые пользователи UAC выключили.

Настройка совместимости для программ, написанных до появления UAC

В Windows 7 появилась возможность немного скорректировать уровень «агрессивности» UAC. Можно выдавать запрос на повышение прав без затемнения рабочего стола, можно выдавать администраторам права без запроса, а пользователям — по запросу, можно не проверять цифровую подпись программы перед повышением прав и т. п. Считаю, что в Windows 7 нужно сосуществовать с включенным UAC.

Другое важное решение — это отключение всех лишних функций, приводящих к неявному запуску программ. Начать нужно с блокировки автозапуска со сменных носителей. Эта мера радикально снижает риск подхватить вирус с «флешек» и переносится пользователями сравнительно безболезненно. Хотя некоторым, конечно, придётся дополнительно объяснять, как теперь пользоваться любимым DVD-диском. Способов борьбы с автозапуском много — от выборочного отключения средствами панели управления до ручного редактирования реестра. В редакциях Windows от Professional и выше я рекомендую использовать групповую политику. С одной стороны, рядовой пользователь не сможет снять такую блокировку, а с другой стороны, групповые политики проще и удобней, чем реестр. В редакции Windows Home поддержки групповой политики нет, там придётся всё-таки править реестр. Инструкции по обоим вариантам отключения можно взять, к примеру, с форума iXBT.com по ссылке.

Следующий шаг по борьбе с неявными запусками программ — отключение лишних возможностей в сетевых программах. Нужно заблокировать открытие исполнимых вложений в почтовом клиенте. Порядок действий зависит от используемого почтового клиента, в некоторых (Outlook, к примеру) оно заблокировано по умолчанию. Но если ПК достался вам по наследству от предыдущего хозяина, то лучше проверьте, не снята ли эта блокировка. После победы над почтовым клиентом перейдём к браузеру. Подумайте, насколько пользователю нужна возможность ставить к нему надстройки, а также смотреть Flash и ActiveX (это всевозможное видео, игры в браузерах и т. п.)? К примеру, в большинстве офисных ПК они не нужны. Да и некоторым домочадцам тоже. Порядок действий по отключению зависит от используемого браузера.

Перечисленные шаги по ограничению пользователей — лишение прав администратора и отключение неявных запусков — уместны во многих случаях. Однако можно пойти ещё дальше и создать совсем «бесправного» пользователя. Возьмем, к примеру, ПК оператора с одной единственной рабочей программой. В подобных случаях открывается бескрайнее поле для ИТ-творчества, так как средства Windows по ограничению прав достаточно богатые. Здесь у каждого системного администратора свои рецепты и свои профессиональные секреты. С точки зрения защиты от вирусов бывает полезно, к примеру, заблокировать доступ к сетевым папками или запуск всех программ, кроме заданного списка рабочих, и т. п.

Антивирус

Вокруг антивирусов создано мистификаций ничуть не меньше, чем вокруг самих вирусов. Потребность в антивирусе мы уже обсудили. Теперь нужно разобраться, какой антивирус ставить и как с ним дальше жить. Конечно, у меня есть свой любимый антивирус, который я считаю безальтернативным по удобству и эффективности. Но так как статья не рекламная, то называть его я не буду. Вместо этого я объясню, на какие критерии я ориентировался при выборе.

Что должен делать идеальный антивирус? Во-первых, удалять из ПК любой вредоносный код, независимо от того, где именно тот находится — в файле на диске, в уже запущенной программе в памяти или в сетевом трафике браузера. Во-вторых, снижать риск получения вредоносного кода в дальнейшем. В-третьих, поменьше беспокоить меня ложными срабатываниями, малопонятными вопросами или вопросами, ответ на которые всегда однозначный. Давайте разбираться, как это реализуется технически.

Чтобы найти вредоносный код, антивирус должен постоянно следить за содержащейся в ПК информацией и определять, опасная она или нет. Поэтому первое требование — в ПК должен стоять антивирусный монитор, включающийся при загрузке и постоянно сканирующий данные, тем или иным образом обрабатываемые ПК. Бесплатные программы для одноразового сканирования ПК (к примеру, Dr.Web CureIt! или Kaspersky Virus Removal Tool) не являются средствами защиты. Они помогут удалить вирусы с уже заражённого ПК, но в промежутках между ручными запусками таких программ ПК не защищён.

Положим, некоторый антивирусный монитор установлен. Чтобы следить за системой, ему нужно глубоко в неё интегрироваться — загружаться на раннем этапе, перехватывать сетевой трафик, перехватывать обращения к жёсткому диску, желательно поставить модули в популярные программы коммуникаций (почтовый клиент, к примеру) и т. д. Поэтому мне всегда подозрительно, если после установки антивирус себя вообще никак не проявляет кроме дежурной иконки на панели задач.

Как антивирус отличает вирусы от невирусов? Технологий несколько, самая известная — сигнатурный поиск. Сигнатура (подпись, если переводить дословно) — это характерный набор отличий, существующий у некоторого вируса и позволяющий отличить его от любых других программ и данных. К примеру, набор байтов с кодом вируса или посылаемое вирусом сообщение. У антивируса есть база сигнатур. Проверяя программы на наличие в них каждой сигнатуры из базы, антивирус определяет, заражены программы или нет. По мере появления новых вирусов базу сигнатур тоже нужно обновлять. Значит, разработчик антивируса должен постоянно собирать данные о вирусах и выпускать обновления, а антивирусный монитор пользователя должен эти обновления загружать и устанавливать (обычно это происходит автоматически). Чем больше база сигнатур, тем больше вычислений приходится делать при проверке, ведь необходимо проверить каждую программу на наличие каждой сигнатуры из базы. Поэтому сигнатурная защита — это достаточно ресурсоёмкая задача.

Сколько известно сигнатур? Разные производители называют разные цифры, одна другой страшнее. Но все сходятся в одном: количество вирусов растёт опережающими темпами. Каждый год новых вирусов появляется значительно больше, чем в предыдущем. Поэтому для выпуска новых баз сигнатур нужен постоянно растущий штат хороших специалистов. Соответственно, крайне затруднительно выпускать качественный бесплатный антивирус — зарплату-то надо откуда-то брать. Коммерческие антивирусы продаются по принципу подписки — необходимо каждый год платить за продолжение обновления баз. Поэтому следующее требование к антивирусу такое: купленный продукт крупного производителя с продлённой подпиской.

Какой бы антивирус вы ни взяли, появление сигнатур в базах неизбежно будет отставать от появления вирусов. Даже если отставание будет измеряться несколькими часами, за эти часы технически возможно заразить огромное количество ПК (спасибо социальным сетям, смартфонам и прочим средствам массовых коммуникаций). Поэтому мало искать сигнатуры известных вирусов — хороший антивирус должен каким-то образом уметь находить и ещё неизвестные вирусы. Введено даже специальное понятие — 0day, то есть угроза, с момента обнаружения которой прошло нуль дней, и защиты ещё нет. К примеру, Stuxnet использовал неизвестную ранее уязвимость Windows, против которой не существовало патчей. Поэтому Stuxnet — это тоже 0day-угроза. Обнаружение и защита от подобных неприятностей — задача крайне сложная. Для её реализации серьёзные антивирусы помимо сигнатурного поиска могут использовать различные так называемые проактивные технологии: от эвристики (то есть поиска вирусов по некоторым дополнительным гипотезам) до полной виртуализации программ (то есть исполнения программ не на самом ПК, а в некотором его эмуляторе). Ограничение прав пользователей и UAC, кстати, это тоже, в каком-то смысле, проактивная защита. Думаю, что по мере нарастания вирусной армии подобные технологии выйдут на первый план, а гонка за сигнатурами будет в итоге проиграна.

Раз уж зашла речь о проактивной защите, то желательно, чтобы антивирус сам искал потенциальные уязвимости в системе — некорректные настройки, программы с известными ошибками в системе безопасности и т. п. Теоретически, это не его работа — обновлять и настраивать ОС и ПО. На практике же большинство пользователей смотрит на антивирус, как на панацею, совершенно не заботясь о других мерах предосторожности. А в случае заражения, опять же, именно на антивирус падёт гнев пользователя: «Я его купил, и вот опять полный ПК вирусов!!!» С другой стороны, сейчас объективно нет сущности, централизованно следящей за обновлениями всех программ. Windows следит только за обновлениями самой себя и других продуктов Microsoft, Adobe Flash — только за обновлениями Adobe Flash — и так каждый сторонний браузер, каждый сторонний почтовый клиент и т. д. и т. п. Поэтому логично ожидать подобной функциональности в хорошем антивирусе. Тут мы опять приходим к базам и обновлениям, но только теперь это базы известных проблем.

Другое направление проактивной защиты — борьба с вирусами «на стороне противника», т. е. поиск и подавление в рамках закона вирусописателей и их серверов. Для ведения подобных дел необходим большой объём фактического материала о вирусах, который есть у производителей антивирусов. Поэтому хорошо, когда производители антивирусов сотрудничают с компетентными органами разных стран с целью искоренения компьютерной «заразы». Плата за коммерческий антивирус такого производителя — это ещё и финансирование борьбы за общее благо. Как говорится, лучшая оборона — это атака.

Наконец, антивирус не должен мешать жить рядовому пользователю ПК. Вспоминая неудобства, приносимые UAC, в первую очередь хочется поменьше вопросов от антивируса. Почему антивирус вообще задаёт вопросы? Во-первых, у методов обнаружения вирусов есть определённая погрешность работы. В ряде случаев они приводят к ложным срабатываниям, то есть полезную программу определяют как вирус. Поэтому необходим ручной контроль со стороны пользователя. Во-вторых, нужна определённость, что́ делать с найденными угрозами: блокировать, разрешать, помещать в карантин и т. д. Чтобы снизить количество вопросов, каждый антивирус имеет набор правил: такие-то ситуации разрешаем, такие-то ситуации блокируем автоматически, в таких-то ситуациях всё-таки спрашиваем у пользователя и т. п. Чем богаче набор встроенных правил для массовых программ (тех же браузеров), тем меньше будет вопросов. А значит, опять нужны базы с обновлениями, но уже базы доверенных программ. Хорошо, когда антивирус самообучается (хотя бы на уровне автоматического создания правил по уже полученным ответам). Конечно, нужен удобный интерфейс системных настроек, чтобы быстро найти и поменять неудачное правило.

Говоря о неудобствах, нельзя обойти тему медленной или нестабильной работы ПК из-за антивируса. И вот это уже не совсем легенда. Выше отмечалось, что сигнатурная защита требует много ресурсов ПК, так как количество сигнатур растёт с невообразимой скоростью. Требуют ресурсов и другие методы защиты. Поэтому на старых ПК многие современные антивирусы, увы, действительно заметно замедляют работу. В ряде случаев антивирус может и современный ПК «уложить на лопатки». Со стабильностью тоже не всё гладко. Антивирус — не рядовое приложение, не всегда его постороннее вмешательство проходит гладко. Масштаб проблемы таков, что Microsoft завела специальную Wiki-страницу для описания правил настройки антивирусов. В основном там описаны правила исключений для серверов, т. е. списки файлов на серверах, которые не нужно проверять антивирусами. Скептики, правда, говорят, что публичный призыв к исключению файлов из проверки, наоборот, привлечёт к ним повышенное внимание вирусописателей. Опыт компании показывает, что настройка исключений по правилам Microsoft действительно снижает «тормоза», привносимые антивирусом в работу серверов.

Резюмируя раздел про антивирусы, получаем:

  • На ПК должен быть установлен антивирусный монитор.
  • Антивирусный монитор — это в первую очередь услуга, на которую нужно иметь постоянную подписку. Если антивирус давно не обновлял свои базы, то он — бесполезен.
  • Качество защиты определяется не только богатыми базами сигнатур, но и другими фирменными технологиями производителя. Чем больше в антивирусе компонентов, тем лучше.
  • Желательно, чтобы у производителя антивируса были и другие направления деятельности в области компьютерной безопасности.
  • У антивируса должен быть удобный интерфейс и возможности по самообучению. Иначе весьма возможны крайности — от вала вопросов, над которыми никто не задумается, до отключения защиты пользователем, «чтобы не мешала».
  • Антивирус будет потреблять ресурсы ПК. Если «тормоза» заметны даже на хорошем ПК, то, возможно, причина в неправильной настройке.
Обновление ОС и прикладных программ

Теоретически, уязвимости могут быть у любой программы, даже у текстового редактора. На практике целью злоумышленников является ОС и массовые программы (браузеры и т. п.) Обновления на все продукты Microsoft можно загружать централизованно через службу обновлений Windows. Далеко не каждое обновление направлено на улучшение безопасности. Windows 7 делит обновления на две группы — важные и рекомендуемые. Сервер обновлений Windows имеет более тонкое деление на классы: драйверы, критические обновления, накопительные пакеты обновлений, обновления определений, обновления системы безопасности, просто обновления, пакеты новых функций, пакеты обновлений, средства. Стандартные определения этих классов довольно «корявые», поэтому обращу ваше внимание на следующее. Для защиты от вирусов обязательно нужно устанавливать обновления системы безопасности. У них в названии всегда есть словосочетание «обновление безопасности» (Security Update в английской версии). Если у вас используется антивирус Microsoft, то нужно ставить ещё и обновления определений (Definition Updates в английской версии, это те самые базы сигнатур). Остальные обновления прямого отношения к защите от вирусов не имеют.

Многие пользователи испытывают суеверный страх перед обновлениями Windows и отключают автоматическое обновление просто по принципу «как бы чего не вышло». Реальных причин обычно две: либо использование нелицензионной копии ОС (о чём вслух говорить не принято), либо боязнь испортить и так стабильно работающий ПК. На официальном сайте Microsoft на странице часто задаваемых вопросов о проверке подлинности написано, что нелицензионные копии Windows имеют возможность ставить обновления системы безопасности. Конечно, кто-то может решить, что это ловушка, чтобы вычислить всех «пиратов» (см. конспирология). Думаю, что если бы такая цель стояла, то информацию собрали бы независимо от настроек службы обновлений, по-тихому. Конечно, риск испортить работу ПК неудачным обновлением есть всегда. Из недавних примеров — средство проверки файлов Microsoft Office (KB2501584) после установки радикально замедляло открытие файлов по сети (KB2570623). Однако это единичные случаи. Все серьёзные производители уделяют много внимания тестированию своих продуктов и обновлений к ним. А работа по откату одного обновления раз в несколько лет не столь велика по сравнению с ценой пропуска действительно важного обновления (см. Kido). Обновления безопасности надо ставить всегда, и лучше, чтобы это происходило автоматически.

Управлять обновлениями прикладных программ не столь удобно. У каждого производителя свои средства обновлений. Часто даже у разных программ одного производителя нет единого центра обновлений. Тем не менее, основные черты сказанного про обновления Windows справедливы и здесь. Обновления безопасности выходят, их нужно ставить, есть теоретический риск испортить работу, но риск поймать вирус через незакрытую уязвимость популярной программы гораздо выше. Поэтому обновления нужно ставить, и лучше, чтобы каждая программа делала это автоматом.

А как же фаервол?

Есть ещё один важный элемент компьютерной безопасности, который я не назвал — это сетевой экран, он же фаервол, он же брандмауэр. Существует распространённое мнение, что он тоже нужен для защиты от вирусов. В моей практике был неописуемый случай, когда испуганный угрозой вирусов пользователь решил подключить два особо важных ПК к локальной сети через аппаратные фаерволы. Не знаю, что именно он рассказывал в магазине продавцу, но в итоге были закуплены… два ADSL-модема.

Сетевой экран блокирует трафик на основе определённых правил. Это позволяет разграничить или закрыть доступ к некоторым сетевым службам, регистрировать сетевую активность, может защитить от DDoS-атаки и т. п. Но как может экран отличить вирус в трафике от невируса? Большинство вирусов распространяется через стандартные протоколы — к примеру, загружаются с веб-сайтов через http и распространяются по локальной сети через RPC. Закрыв эти протоколы целиком, вы останетесь, по большому счёту, вообще без сети. Чтобы осуществить выборочную фильтрацию, в экране должен быть собственный интегрированный антивирус, с базами сигнатур и т. п. Или, наоборот, сетевой экран должен быть частью комплексного антивирусного продукта. На практике, включенный сетевой экран помогает обнаружить факт заражения, показав сетевую активность заражённой программы. К примеру, если экран показывает, что ваш текстовый редактор при запуске соединяется с интернетом, а раньше такого не делал, то это серьёзный повод проверить ПК. Но предотвратить сам факт заражения сетевым экраном без его объединения с антивирусом невозможно.

Несколько слов про другие ОС

Бо́льшая часть статьи посвящена защите Windows-систем. Может сложиться впечатление, что вирусы — это только проблема Windows. Некоторые «специалисты» с таким убеждением вообще всю жизнь проводят. Поэтому развеем очередной миф. Хорошо известны вирусы под практически все современные ОС. См., к примеру, Вредоносные программы для Unix-подобных систем на Википедии. Первая массовая вирусная эпидемия состоялась, кстати, ещё в 1988 году на Unix (червь Морриса). Windows тогда ещё пешком под стол ходил (или ходила), вирусов для Windows никто не сочинял. В новейшей истории тоже известны массовые эпидемии: в 2001 году Ramen, в 2002 году Slapper и Scalper. Антивирусов под другие ОС достаточно (см., к примеру, Linux malware — Anti-virus applications на Википедии). Уязвимостей в ОС, которые нужно закрывать — сколько угодно (см. LinuxSecurity). Часть упомянутой выше BeyondTrust начинала, кстати, с обеспечения безопасности Unix.

И отдельным абзацем про Apple. Есть ботнет под iPhone, ворующий банковские данные (правда, только у iPhone, взломанных их хозяевами). Есть ботнет из Маков, распространяющийся через ошибку в системе безопасности, для закрытия которой нужно ставить обновление. В общем, тех же щей, да пожиже влей.

Заключение

Вирусы — наша общая беда. Даже если мой ПК не заражён, мне приходится разгребать спам, приходящий от заражённых ПК. Поэтому борьба с ними — общее дело. Помните сами и доносите до всех остальных пользователей три простых правила защиты:

  1. Будьте осторожными, а тому, кто не может быть осторожным, ограничьте права.
  2. Установите хороший антивирусный монитор и следите за продлением подписки.
  3. Ставьте обновления безопасности на все программы.

Если у вас упущен хотя бы один пункт из списка, риск заражения высок.

Способы защиты от компьютерных вирусов.

Дата письма 13.09.2018

 

Способы защиты от компьютерных вирусов.

 

Чтобы эффективно бороться с вирусами, необходимо иметь представление о «привычках» вирусов и ориентироваться в методах противодействия вирусам. Если вирус попал в компьютер вместе с одной из программ или с файлом документа, то через некоторое время другие программы или файлы на этом компьютере будут заражены.

Если компьютер подключен к локальной или глобальной сети, то вирус может распространиться и дальше, на другие компьютеры. Поэтому сегодня я расскажу о всех способах защиты от них.

Для защиты от вирусов можно использовать:

Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

специализированные программы для защиты от вирусов.

Для защиты от проникновения вирусов необходимо проводить мероприятия, исключающие заражение программ и данных компьютерной системы. Основными источниками проникновение вирусов являются коммуникационные сети и съемные носители информации.

Для исключения проникновения вирусов через коммуникационную сеть необходимо осуществлять автоматический входной контроль всех данных, поступающих по сети, который выполняется сетевым экраном (брандмауэром), принимающим пакеты из сети только от надежных источников, рекомендуется проверять всю электронную почту на наличие вирусов, а почту, полученную от неизвестных источников, удалять не читая.

Средства антивирусной защиты

Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации жесткие диски переформатируются и подготавливают к новой эксплуатации. На «чистый» отформатированный диск устанавливают все необходимое программное обеспечение, которое тоже берут с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.

Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, простое отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флеш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус, злоумышленник или неосторожный пользователь.

Классификация антивирусных средств

Детекторы осуществляют поиск компьютерных вирусов в памяти и при обнаружении сообщают об этом пользователю.

Ревизоры выполняют значительно более сложные действия для обнаружения вирусов. Они запоминают исходное состояние программ, каталогов, системных областей и периодически сравнивают их с текущими значениями. При изменении контролируемых параметров ревизоры сообщают об этом пользователю.

Фильтры выполняют выявление подозрительных процедур, например, коррекция исполняемых программ, изменение загрузочных записей диска, изменение атрибутов или размеров файлов. При обнаружении подобных процедур фильтры запрашивают пользователя о правомерности их выполнения.

Доктора являются самым распространенным типом антивирусных программ. Эти программы не только обнаруживают, но и удаляют вирусный код из файла «лечат» программы. Доктора способны обнаружить и удалить только известные им вирусы, поэтому их необходимо периодически, обычно раз в месяц, обновлять.

Вакцины — это антивирусные программы, которые так модифицируют файл или диск, что он воспринимается программой-вирусом уже зараженным и поэтому вирус не внедряется.

Популярные антивирусные средства

Антивирус Касперского

Антивирус Касперского (Kaspersky Anti-Virus) использует проактивные и облачные антивирусные технологии для защиты от новых и неизвестных угроз. Включает веб-антивирус, мониторинг активности и дополнительные инструменты безопасности. Он обеспечивает базовую защиту в режиме реального времени от всех типов вредоносных программ. Kaspersky Anti-Virus предлагает следующие возможности:

Защита в режиме реального времени от вирусов, программ-шпионов, троянов, руткитов и других угроз;

Быстрая работа и эффективная производительность ПК;

Быстрое реагирование на новые и возникающие угрозы;

Мгновенная антивирусная проверка файлов, приложений и веб-сайтов;

Откат изменений, сделанных вредоносными программами.

ESET NOD32 Antivirus

Антивирус NOD32 — новое антивирусное решение от ESET, предлагающее улучшенный эвристический анализ неизвестных угроз, «облачные» технологии ESET Live Grid для определения репутации файлов и обновленный интерфейс.

Включает возможности автоматического сканирования компьютера во время его простоя, проверки файлов непосредственно во время загрузки и возможность отменять установленные обновления.

Антивирус Dr.Web

Антивирус Dr.Web надежная и популярная отечественная антивирусная программа. Имеет эффективный эвристический анализатор, позволяющий с большой долей вероятности обнаруживать неизвестные вирусы.

Новый компонент Превентивная защита блокирует любые автоматические модификации критических объектов системы, позволяя пользователям контролировать доступ к тем или иным объектам Windows, различным приложениям и сервисам, обеспечивая проактивную защиту от вредоносных программ.

Avast Pro Antivirus

Avast Pro Antivirus — высокоэффективная защита, усиленная технологией Nitro, с минимальной нагрузкой на системные ресурсы и ваши финансы. Современная, высокоэффективная защита от всех типов вредоносного ПО в сочетании с дополнительными компонентами защиты и гибкими настройками для более качественной защиты вашего ПК.

Он обеспечивает надежную защиту ПК с минимальной нагрузкой на системные ресурсы благодаря новейшей технологии Nitro, основополагающим принципом которой являются облачные вычисления.

 

Автор: УГД по Наурызбайскому району по г. Алматы главный специалист ОИТ Каржаубаев Н.Т.

Интернет: Интернет и СМИ: Lenta.ru

Компьютерные вирусы размножаются в геометрической прогрессии. По оценкам специалистов, с 2010 по 2014 год количество новых выявляемых видов увеличилось почти в 40 раз и превысило 10 тысяч наименований. Всего в мире циркулирует более семи миллионов разновидностей компьютерной «заразы».

Начиналось все не столь масштабно. Почти 30 лет назад — в 1986 году — была создана первая широко распространившаяся вредоносная программа для персональных компьютеров (ПК) — вирус Brain. Он предназначался для IBM-совместимых компьютеров, самых массовых на тогдашнем рынке ПК. Эпидемия Brain прокатилась по миру в 1987-1988 годах. Это первый случай множественного поражения персональных компьютеров вредоносным ПО.

Если проследить эволюцию программ, созданных за без малого 30 лет для нанесения вреда персональным вычислительным устройствам, можно увидеть, насколько сильно видоизменились и сами вирусы, и их цели, и методы «работы».

Неживые микробы

На профессиональном языке под компьютерными вирусами понимается особый вид вредоносного программного обеспечения, отличающийся способностью создавать собственные копии и распространять их по различным каналам связи или на разных физических носителях. Еще одна особенность этой виртуальной микрофауны — умение внедряться в код других программ. Результат «жизнедеятельности» вирусов — нарушение работы установленных на компьютере программ, удаление или приведение в негодность хранящейся там информации, блокирование доступа к ней или даже повреждение аппаратной части компьютера.

Название «вирусы» этот вид программ заслужил именно за способность «размножаться» и распространяться от компьютера к компьютеру, подобно тому, как их живые «родственники» делают в биологическое среде.

Виртуальные вирусы в последнее время даже приобрели способность к самостоятельному видоизменению, что делает их еще более похожими на биологический микромир.

Первые среди вредных

Специалисты компании ESET по просьбе «Ленты.ру» выделили в мутном потоке вредоносного ПО «особей», наиболее примечательных с точки зрения качеств своей вредности и ее степени.

Первый в этом ряду — уже упомянутый Brain. Вирусы для компьютеров Apple появились раньше, однако в то время это был нишевый продукт, массового распространения не получивший. А Brain, созданный для IBM PC, вызвал первую в истории компьютерную эпидемию: им были заражены 18 тысяч устройств, что по нынешним меркам не так уж и много, но тогда стало весьма неприятной новостью.

Вскоре, в 1988-м, мир узнал о так называемом черве Морриса — первом сетевом черве in-the-wild (то есть обнаруженном при распространении в сети, в данном случае — в ARPANET). Он заразил уже десятки тысяч ПК и нанес реальный финансовый ущерб (по некоторым оценкам, 96 миллионов долларов).

В 1991 году родилась программа Michelangelo — классический пример деструктивного вируса, удаляющего все данные с жесткого диска компьютера.

Пожиратели денег

А потом вредоносные программы стали не просто устраивать всякие виртуальные пакости пользователям, но и заниматься хищением или вымогательством самых что ни на есть реальных денег.

Вирус OneHalf, созданный в 1994 году, — прообраз современных шифраторов, требующих денежный выкуп за расшифровку файлов на зараженных ими ПК.

В 1997 году зарождаются AOL-трояны и фишинг — приемы склонения пользователей с помощью обмана на совершение тех или иных действий, приводящих, в конечном счете, к потере денег. Этот метод мошенничества процветает до сих пор, а началось все с кражи троянами кодов доступа к сети America Online.

Распространение программы Melissa в 1999 году привело к крупным финансовым потерям компаний (около 100 миллионов долларов) из-за массового отключения корпоративных почтовых серверов.

Вирус CommWarrior сам по себе был безобидным, но оказался предтечей мобильных вирусов, которые крадут данные (в том числе онлайн-банкинга), подписывают жертву на платные услуги и так далее. Обнаружен в 2005 году.

Потом вирусы стали жить «колониями» — в сетях для автоматического распространения (ботнетах). Крупнейший ботнет Conficker возник в 2008 году и получил широкую известность за счет массового распространения, долговечности и алгоритма, препятствующего его обнаружению.

Первое реально (и успешно) использованное кибероружие зафиксировано в 2010 году — программа Stuxnet. Так компьютерные вирусы обрели возможность разрушать физические объекты с системами, подключенными к средствам цифрового управления.

С 2013 года киберпреступники все больше интересуются пользователями онлайн-банкинга и все профессиональнее обходят банковскую киберзащиту. Троян Hesperbot 2013 года рождения — образец вредоносного ПО, специально нацеленного на преодоление защиты банковских и других финансовых сервисов.

И, наконец, Windigo — беспрецедентная вредоносная вирусная кампания с точки зрения сложности задействованного программного обеспечения и инфраструктуры киберпреступников. Кстати, ее организаторы и операторы пока не найдены.

К сожалению, нет сомнений, что через пару-тройку лет этот перечень пополнится новыми «выдающимися» представителями вирусного племени и новыми изощренными способами их внедрения и распространения. Компьютерной Эболы, судя по всему, не избежать.

7 типов компьютерных вирусов, которых следует остерегаться, и что они делают

Типов компьютерных вирусов или вредоносных программ очень много. Некоторые не опасны. Но некоторые из них могут быть поистине смертельными для вашей безопасности и банковского счета. Вот семь типов компьютерных вирусов, на которые следует обратить внимание.

1. Вирус загрузочного сектора

С точки зрения пользователя, вирусы загрузочного сектора являются одними из самых опасных. Поскольку они заражают главную загрузочную запись, их, как известно, трудно удалить, часто требуя полного форматирования системы.Это особенно актуально, если вирус зашифровал загрузочный сектор или чрезмерно повредил код.

Обычно они распространяются через съемные носители. Они достигли пика в 1990-х годах, когда дискеты были нормой, но вы все еще можете найти их на USB-накопителях и во вложениях электронной почты. К счастью, улучшения в архитектуре BIOS снизили их распространенность за последние несколько лет.

2. Вирус прямого действия

Вирус прямого действия — это один из двух основных типов файловых вирусов-инфекторов (второй является резидентным вирусом).Вирус считается «нерезидентным»; он не устанавливается и не остается скрытым в памяти вашего компьютера.

Он работает, прикрепляя себя к определенному типу файла (обычно EXE или COM-файлам). Когда кто-то запускает файл, он оживает, ища другие похожие файлы в каталоге, чтобы распространить его.

Следует отметить, что вирус обычно не удаляет файлы и не снижает производительность вашей системы. Помимо того, что некоторые файлы становятся недоступными, он оказывает минимальное влияние на пользователя и может быть легко удален с помощью антивирусной программы.

3. Резидентный вирус

Резидентные вирусы — это еще один основной тип файловых инфекторов. В отличие от вирусов прямого действия, они устанавливаются на компьютер. Это позволяет им работать даже тогда, когда первоисточник инфекции был искоренен. Таким образом, эксперты считают их более опасными, чем их кузены прямого действия.

В зависимости от программирования вируса их бывает сложно обнаружить и еще сложнее удалить.Резидентные вирусы можно разделить на две части; быстрые и медленные инфекторы. Быстрые инфекторы наносят как можно больший ущерб как можно быстрее, и поэтому их легче обнаружить; медленных инфекторов труднее распознать, потому что их симптомы развиваются медленно.

В худшем случае они могут даже присоединиться к вашему антивирусному ПО, заразив каждый файл, сканируемый программой. Вам часто требуется уникальный инструмент — например, патч операционной системы — для их полного удаления.Приложения для защиты от вредоносных программ будет недостаточно, чтобы защитить вас.

4. Многокомпонентный вирус

В то время как некоторые вирусы могут распространяться одним способом или доставлять одну полезную нагрузку, многосторонние вирусы хотят все это. Вирус этого типа может распространяться по-разному, и он может выполнять различные действия на зараженном компьютере в зависимости от переменных, таких как установленная операционная система или наличие определенных файлов.

Они могут одновременно заражать как загрузочный сектор, так и исполняемые файлы, что позволяет им действовать быстро и быстро распространяться.

Двусторонняя атака затрудняет их устранение. Даже если вы очистите программные файлы машины, если вирус останется в загрузочном секторе, он немедленно воспроизведется, как только вы снова включите компьютер.

5. Полиморфный вирус

Согласно Symantec, полиморфные вирусы являются одними из самых сложных для обнаружения / удаления антивирусных программ. В нем утверждается, что антивирусным фирмам необходимо «потратить дни или месяцы на создание процедур обнаружения, необходимых для обнаружения одного полиморфного вируса».

Но почему от них так сложно защититься? Подсказка кроется в названии. Антивирусное программное обеспечение может занести в черный список только один вариант вируса, но полиморфный вирус меняет свою сигнатуру (двоичный шаблон) каждый раз, когда реплицируется. Для антивирусной программы это выглядит как совершенно другое программное обеспечение и, следовательно, может ускользнуть из черного списка.

6. Перезапись вируса

Для конечного пользователя перезапись вируса — одна из самых неприятных проблем, даже если она не особенно опасна для вашей системы в целом.

Это потому, что он удалит содержимое любого зараженного файла; единственный способ удалить вирус — удалить файл и, как следствие, потерять его содержимое. Он может заражать как отдельные файлы, так и целые программы.

Вирусы перезаписи, как правило, плохо заметны и распространяются по электронной почте, что затрудняет их идентификацию для обычного пользователя ПК. Они пережили расцвет в начале 2000-х с Windows 2000 и Windows NT, но вы все еще можете найти их в дикой природе.

7. Spacefiller Virus

Также известные как «вирусы полости», вирусы spacefiller более интеллектуальны, чем большинство их аналогов. Типичный способ работы вируса — просто прикрепить себя к файлу, но заполнители пробелов пытаются проникнуть в пустое пространство, которое иногда можно найти внутри самого файла.

Этот метод позволяет ему заразить программу, не повреждая код и не увеличивая его размер, тем самым позволяя обойти необходимость в скрытых методах защиты от обнаружения, на которые полагаются другие вирусы.

К счастью, этот тип вирусов относительно редок, хотя рост числа переносимых исполняемых файлов Windows дает им новую жизнь.

Большинство типов компьютерных вирусов легко избежать

Как всегда, разумные меры по защите предпочтительнее борьбы с потенциально опасными последствиями, если вам не повезло заразиться.

Для начала вам нужно использовать хорошо зарекомендовавший себя антивирус.(В крайнем случае, подойдет даже бесплатный онлайн-сканер вирусов и инструменты для удаления.) Кроме того, не открывайте электронные письма из неизвестных источников, не доверяйте бесплатным USB-накопителям с конференций и выставок, не позволяйте посторонним использовать вашу систему и не устанавливайте программное обеспечение со случайных сайтов. И убедитесь, что ваша клавиатура не предает вас.

Чтобы быть готовым к худшему, получите один из этих бесплатных загрузочных антивирусных дисков и узнайте, как спасти свои данные с зараженного компьютера.

15 команд командной строки Windows (CMD), которые вы должны знать

Командная строка по-прежнему остается мощным инструментом Windows.Вот самые полезные команды CMD, которые должен знать каждый пользователь Windows.

Читать далее

Об авторе Дэн Прайс (Опубликовано 1611 статей)

Дэн присоединился к MakeUseOf в 2014 году и является директором по партнерству с июля 2020 года.Обратитесь к нему с вопросами о спонсируемом контенте, партнерских соглашениях, рекламных акциях и любых других формах партнерства. Вы также можете найти его каждый год бродящим по выставочной площадке CES в Лас-Вегасе, поздоровайтесь, если собираетесь. До своей писательской карьеры он был финансовым консультантом.

Более От Дэна Прайса
Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Нажмите здесь, чтобы подписаться

Топ 5 новейших компьютерных вирусов

Внесение компьютерных вирусов в пятерку лучших компьютерных вирусов немного похоже на прославление хакеров и других угроз кибербезопасности.Что, собственно, выводит вирусы на первое место в списке, так это их невероятная угроза. для предприятий и частных лиц, которые оставляют уязвимость на волю случая.

Как для домашних систем, так и для предприятий любого размера и отрасли должен принимать все возможные меры предосторожности и защиты от различных типов компьютерных вирусов:

Malware — вредоносное ПО — широкий термин, включающий не только компьютерные вирусы. Черви, трояны, рекламное ПО и даже программы-вымогатели могут считаться вредоносными.Это любой компьютер код, намеренно созданный для нанесения ущерба компьютерным системам, получения несанкционированного доступа доступ к компьютерам или кража информации.

Программа-вымогатель — программа-вымогатель отключает доступ к компьютерным файлам путем шифрования данных. Спрос на платеж или другие запросы должны быть выполнены, прежде чем нарушающее программное обеспечение будет разблокирован, чтобы восстановить доступ к серверам или бизнес-файлам. Даже большой предприятия и городские власти стали жертвами атак программ-вымогателей в последние месяцы.

Трояны — Трояны обычно требуют, чтобы получатель предпринял какие-либо действия, например, запустил программа или доступ к вредоносному веб-сайту по ссылке, переданной по электронной почте. А Обычно троянская атака используется для того, чтобы сначала уведомить пользователя компьютера о наличии вируса. заразил их. Предлагается щелкнуть ссылку или запустить прикрепленную программу для решения Проблема, ничего не подозревающий пользователь становится жертвой троянской атаки.

Основные угрозы компьютерных вирусов

Осведомленность о самом вредоносном или печально известном компьютере вирусы, поражающие домашних пользователей и бизнес в 2020 году, создают потенциал для минимизация рисков и построение защиты от них.

Cyborg Ransomware

Очень похоже на вирусы, которые распространялись через зараженные дискеты (помните те?), Cyborg Ransomware пробирается на компьютеры и шифрует файлы. Последняя эволюция киборга — проникновение Системы WIN 10 замаскированы под обновления Windows. Чтобы защитить ваши системы от Киборг — также известный как Дисковый троян Aids Info (СПИД), избегайте открытия любых сомнительный или неизвестный файл с расширением «jpg».

Как только Киборг вступает во владение, пользователям предоставляется уведомление о том, что файлы зашифрованы, и они не будут восстановлены, если выкуп уплачен.Сумма выкупа и инструкции предоставляются, как правило, сумма в пределах 300 долларов США. К сожалению, расшифровка часто не выполняется. при условии — даже если выкуп уплачен. После заражения вирус можно удалить, но это не восстанавливает доступ к файлам. Обычно единственное восстановление — это удаление вируса, а затем восстановление файлов из недавних резервных копий.

GoBrut

GoBrut — это вирус, который является одним из самых последних компьютерных вирусов. вирусы, которые будут распространять хакеры. Он не так уж и сложен в своем технологии, но они все равно могут нанести ущерб.Основанный на Golang, он использует методологию грубой силы для расшифровки паролей. и получить доступ к системам Windows и Linux.

GoBrut может замедлить интернет-доступ к зараженным машинам. Настоящая угроза этого вируса — возможность обнаружения и утечки конфиденциальная информация, такая как пароли, имена пользователей и т. д.

Джокеру

Jokeroo — серьезная вредоносная программа в виде программы-вымогатели, которые предлагаются на подпольных хакерских сайтах для распространения посредством другие кибер-воры.Его можно распространять через социальные сети, в том числе Твиттер и другие.

хакеров, присоединившихся к программе-вымогателю как услуге (RaaS) Схема получает часть выкупа, полученного от своих жертв.

Программа-вымогатель CryptoMix Clop

CryptoMix Clop использует другой подход. Вместо нацелившись на отдельные компьютеры, он фокусируется на атаках целых сетей. Этот создает значительные проблемы для ИТ-администраторов, поскольку CryptoMix Clop распространяется на компьютерах с Windows, отключая критически важные службы и процессы, такие как Microsoft Security Essentials и Защитник Windows.Это приводит к системе это беззащитно перед вирусом.

Затем программа-вымогатель

берет на себя ответственность, шифруя файлы и представляя записка о выкупе. Это еще один вирус, который на данный момент не имеет бесплатной расшифровки. решение доступно.

Троян Glupteba

Один из самых известных вирусов, троянский вирус Glupteba. проникает в компьютеры через другой эксплойтный код или другое вредоносное ПО. Это держится в тени, многие зараженные пользователи даже не подозревают о атака.

Используя IP-адрес системы и информацию о порте, он передает с другими веб-сайтами для сбора конфиденциальной информации. Вы также можете неосознанно быть направленным на вредоносные веб-сайты.

Как избежать уязвимости для компьютерных вирусов

Все пользователи компьютеров должны выполнить несколько шагов. повысить кибербезопасность и минимизировать уязвимости вирусов:

  • Установите качественный антивирусная программа и регулярно устанавливайте обновления
  • Продолжайте работать система обновлена, чтобы воспользоваться преимуществами новых средств защиты по мере их добавления
  • Никогда не нажимайте ссылки или открытые вложения, отправленные с подозрительным или неизвестным адресом электронной почты
  • Регулярно создавайте резервные копии критических файлов
  • Используйте сильные пароли и часто меняйте их
  • Используйте надежные шифрование с помощью сетевого маршрутизатора
  • Не сохраняйте заводские учетные данные маршрутизатора по умолчанию — хакеры знают их
  • Никогда не используйте общедоступные Wi-Fi для конфиденциальной деятельности, если не используются службы VPN

Безопасные управляемые службы от Cartridge World Quad Cities

Картридж

World Quad Cities предлагает полную управляемые службы, включая сетевые службы и службы управляемой печати, а также продажа и аренда ведущего в отрасли полиграфического оборудования.

Свяжитесь с нашей командой технических специалистов сегодня, чтобы узнать как сделать свой бизнес более эффективным и прибыльным.

типов компьютерных вирусов: функции и примеры — видео и стенограмма урока

Загрузочный сектор, Программа, Макрос

Загрузочный сектор

Вирусы загрузочного сектора могут захватить ваш компьютер при загрузке. Они не так широко распространены, как когда-то (когда компьютеры больше работали со вставными дисками), но они все еще могут передаваться в основном через съемные носители, такие как USB или флэш-накопитель.

Программный вирус

Программный вирус запускается при установке или запуске программы. Их также можно прикрепить к компакт-дискам, съемным носителям или даже к электронной почте, но вместо заражения компьютера при запуске они начинают работать, когда вы открываете программу, даже на первый взгляд невинную. Их иногда называют «вирусами троянских коней», поскольку они скрыты от ничего не подозревающей жертвы.

Макро

Макровирус маскируется под язык программирования в текстовых редакторах и электронных таблицах.Он присутствует в таких вещах, как текстовые редакторы и программы для работы с электронными таблицами, и написан на том же макроязыке, который эти программы используют для своих законных процессов. Этот вирус, внедренный, например, в документ Microsoft Word, заставит задействованную программу выполнить серию непреднамеренных действий сразу после ее открытия.

Hijacker, Direct Action, Resident

Hijacker

Если вы когда-либо входили в Интернет и заметили, что ваша домашняя страница или настройки в окне браузера были изменены без вашего разрешения, вы, вероятно, стали жертвой угонщика браузера .Часто это рекламное или шпионское ПО, которое прикрепляется к вашему компьютеру, когда вы загружаете какой-либо тип программы из Интернета.

Прямое действие

Один из наиболее распространенных типов компьютерных вирусов, вирус прямого действия , прикрепляется к файлам .exe и .com и становится активным после запуска этих файлов. Этот вирус устанавливается в память компьютера и может заразить любое количество файлов — от тех, которые находятся рядом с ним, до файлов во всей компьютерной сети на предприятии.После запуска файла вирус оживает.

Резидентный вирус

Резидентный вирус внедряется на ваш компьютер и может заразить любой файл в вашей системе, даже не выполняя программу. Он оживает, когда загружается операционная система вашего компьютера, что делает его одним из самых сложных для отслеживания и удаления. По сути, резидентный вирус может работать сам по себе. Они бывают двух распространенных типов: быстрые и медленные инфекторы, каждый из которых работает так, как он назван: быстрые инфекторы быстро сеют хаос, в то время как медленным инфекторам требуется время, чтобы нанести ущерб.

Полость и полиморфный

Полость

Вирус полости , иногда называемый вирусом-заполнителем пространства, вставляется в пустые места, существующие в обычных компьютерных файлах. Киберпреступники используют этот метод, чтобы сделать вирус менее обнаруживаемым, поскольку он не меняет размер файла, а они используют его для уничтожения или кражи конфиденциальной информации. Вирусы Spacefiller вызывают заражение не самой программы, а других файлов на компьютере.

Полиморфный

Полиморфный вирус трудно найти, меняя свое имя каждый раз при запуске зараженного файла.Именно поэтому антивирусное программное обеспечение особенно сложно уловить. Поскольку вирус часто меняет свое имя, он может обойти антивирусное программное обеспечение, которое распознает его как новый файл.

Перезапись и многораздельная

Перезапись

Если мысль о потере важного файла вызывает у вас кошмары, вирус перезаписи может быть пугающим, так как он может перезаписать ваши файлы. Если перезаписывающий вирус, обычно распространяемый по электронной почте, заражает один из ваших файлов, удаление файла и потеря его содержимого является единственным выходом.Это может быть дорогостоящим для конечных пользователей. Большинству людей сложно обнаружить этот вирус.

Multipartite

Из всех существующих вирусов этот может быть дикой картой. Многокомпонентные вирусы могут распространяться множеством способов и заражать ваш компьютер в зависимости от различных переменных, включая запуск операционной системы, выполняемое программное обеспечение или отдельные файлы при их открытии.

Краткое содержание урока

Компьютерные вирусы — это фрагменты вредоносного компьютерного кода, которые могут передаваться с одного устройства на другое.Вирусы могут передаваться через Интернет, съемные носители, такие как флэш-накопители, или даже по электронной почте. Каждый вирус делает что-то немного другое.

  • Загрузочный сектор занимает компьютер при запуске.
  • Программные вирусы скрыты в программах и начинают работать после выполнения.
  • Макровирус маскируется под язык программирования в текстовых редакторах и электронных таблицах.
  • угонщик браузера прикрепляется к загрузкам из Интернета и изменяет ваш браузер.
  • Вирус прямого действия прикрепляется к файлам .exe и .com и становится активным после запуска этих файлов.
  • Резидентные вирусы поселяются на вашем компьютере.
  • Перезапись вирусов перезаписывает ваши файлы.
  • Вирус полости скрывается в пустых файловых пространствах.
  • Полиморфные вирусы меняют свое имя, чтобы избежать обнаружения.
  • , состоящий из нескольких частей, сочетает в себе некоторые характеристики других вирусов.

20 распространенных типов вирусов, поражающих ваш компьютер

Когда мы говорим о компьютерной безопасности, вирус является ведущей угрозой. Вместо этого он может уничтожить отдельную программу или всю компьютерную систему. Самый первый вирус был создан в 1970-х годах и назывался Creeper virus, поражая компьютеры в сети ARPANET. В 1981 году появился первый вирус, созданный хакерами, который распространился через дисководы Apple.

По данным Агентства по продвижению информационных технологий, в 2004 году количество вирусов выросло до 52 151.Однако из-за некоторых программ, полностью уничтожающих вирусы, их количество снизилось примерно до 14 000 в 2010 году.

57% угроз, влияющих на безопасность вашего компьютера, — это вирусы. Среди других угроз — трояны, рекламное ПО, черви и вредоносное ПО. Сейчас вирусы по-прежнему широко распространены, влияя на производительность ПК. Вирусы также являются инструментом хакеров для получения несанкционированного доступа к вашей системе и кражи личной информации. Важно, чтобы вы знали о различных типах вирусов, поражающих ваши компьютеры.

Резидентный вирус

Резидентных вирусов живут в вашей оперативной памяти. Это может помешать нормальной работе системы, что может привести к повреждению файлов и программ. Самыми популярными примерами резидентных вирусов являются CMJ, Meve, MrKlunky и Randex.

Многосторонний вирус

Этот тип вируса может легко распространиться в вашей компьютерной системе. Это очень заразно, выполняя несанкционированные действия в вашей операционной системе, в папках и других программах на компьютере.У них есть возможность заражать как исполняемые файлы, так и загрузочный сектор.

Вирус прямого действия

Вирусы прямого действия атакуют определенные типы файлов, обычно файлы .exe и .com. Основная цель этого вируса — реплицировать и заражать файлы в папках. С другой стороны, они обычно не удаляют файлы и не влияют на производительность и скорость ПК. Его легко удалить антивирусами.

Угонщик браузера

Этот тип вируса заражает ваш веб-браузер, с помощью которого вы переходите на разные веб-сайты.Обычно, если вы вводите доменное имя в адресной строке Интернета, угонщик браузера открывает несколько поддельных веб-сайтов, которые могут нанести вред вашему компьютеру. С другой стороны, самые надежные браузеры имеют встроенные функции, которые блокируют их.

Перезаписать вирус

Судя по названию, вирус перезаписывает содержимое файла, теряя исходное содержимое. Он заражает папки, файлы и даже программы. Чтобы удалить этот вирус, вам также необходимо избавиться от вашего файла. Таким образом, важно сделать резервную копию ваших данных.

Вирус веб-скриптов

Этот вирус обитает в определенных ссылках, рекламе, размещении изображений, видео и макете веб-сайта. Они могут содержать вредоносные коды, при нажатии на которые вирусы загружаются автоматически или перенаправляют вас на вредоносные веб-сайты.

Вирус загрузочного сектора

Вирусы загрузочного сектора поражают дискеты. Они возникли, когда дискеты сыграли важную роль в загрузке компьютера. Хотя сегодня они не очень распространены, они по-прежнему вызывают появление других компьютерных устройств, особенно устаревших.Некоторые примеры включают Polyboot.B и AntiEXE.

Макро-вирус

Макровирусы нацелены на приложения и программное обеспечение, содержащие макросы. Эти вирусы могут выполнять ряд операций, влияющих на производительность программы или программного обеспечения. Некоторые примеры макровирусов: O97M / Y2K, Bablas, Melissa.A и Relax.

Вирус каталога

Каталог вирусов изменяет пути к файлам. Когда вы запускаете программы и программное обеспечение, зараженные каталожными вирусами, вирусная программа также работает в фоновом режиме.Кроме того, вам может быть сложно найти исходное приложение или программное обеспечение после заражения каталогными вирусами.

Полиморфный вирус

Полиморфные вирусы используют особый метод кодирования или шифрования каждый раз, когда заражают систему. При этом антивирусному программному обеспечению трудно найти его с помощью сигнатурного поиска. Они также легко воспроизводятся. К полиморфным вирусам относятся Satan Bug, Elkern, Tuareg и Marburg.

File Infector Вирус

Этот вирус также заражает исполняемые файлы или программы.Когда вы запускаете эти программы, также активируется вирус файлового инфектора, который может замедлить работу программы и вызвать другие разрушительные эффекты. К этой категории относится большой блок существующих вирусов.

Зашифрованный вирус

Этот тип вирусов использует зашифрованные вредоносные коды, которые затрудняют их обнаружение антивирусным программным обеспечением. Их можно обнаружить только тогда, когда они расшифровывают себя во время репликации. Хотя они не удаляют файлы и папки, они могут сильно повлиять на производительность ПК.

Вирус-компаньон

Это тип вируса, который не выживает без сопровождения существующего файла или папки. Для устранения повреждений необходимо открыть или запустить файл или папку, сопровождаемые вирусами-компаньонами. Некоторые примеры вирусов-компаньонов включают Terrax.1069, Stator и Asimov.1539.

Сетевой вирус

В основном этот тип вируса распространяется через локальную сеть (LAN) и через Интернет. Эти вирусы размножаются через общие ресурсы, включая диски и папки.Когда сетевые вирусы проникают в компьютер, они ищут свою потенциальную жертву. К опасным сетевым вирусам относятся Nimda и SQLSlammer.

Нерезидентный вирус

Нерезидентные вирусы реплицируются через модули. Когда модуль будет запущен, он выберет один или несколько файлов для заражения.

Стелс-вирус

Вирусы

Stealth обманывают антивирусное ПО, выглядя как настоящие файлы или программы и перехватывая его запросы к ОС. Некоторые антивирусные программы не могут их обнаружить.Иногда он временно удаляется из системы без удаления.

Редкий возбудитель

Редкие инфекторы используют разные методы, чтобы свести к минимуму их обнаружение. Это вирусы, которые заражают «время от времени». Например, они могут захотеть заразить программу только при каждом десятом выполнении. Поскольку они являются случайными зараженными, антивирусному программному обеспечению трудно их обнаружить.

Spacefiller Вирус

Также известные как «пустые» вирусы, заполнители пространства прикрепляются к файлу и могут изменить начало программы или зашифрованный код.Они также реализуют скрытые методы, чтобы пользователи не могли определить увеличение кода файла. Самый популярный Spacefiller — вирус Lehigh.

FAT Вирус

По сути, этот тип вируса разрушает систему размещения файлов, в которой существует информация о файлах, включая их местонахождение.

прочие

Другие угрозы технически не называются «вирусами», но они также имеют такой же разрушительный эффект, как и вирусы. Сюда входят черви, рекламное ПО, вредоносное ПО, трояны и программы-вымогатели.

Чтобы эти вирусы не повлияли на ваш компьютер, важно установить лучшее и наиболее конкурентоспособное антивирусное программное обеспечение, которое может обнаруживать, блокировать и устранять все типы компьютерных вирусов.

Полное руководство на 2021 год

ВВЕДЕНИЕ

Компьютерный вирус — это вредоносная программа, которая копирует себя в другую программу для воспроизведения. Другими словами, компьютерные вирусы копируют себя, заражая другой исполняемый код или документы.Компьютерный вирус нацелен на заражение уязвимых систем, получение административных полномочий и кражу конфиденциальных данных у пользователей. Хакеры создают различные типы компьютерных вирусов и червей со злым умыслом и используют обман, чтобы охотиться на пользователей Интернета.

Открытие вложения в электронном письме, посещение зараженного веб-сайта, нажатие на исполняемый файл или просмотр зараженной рекламы — все это хорошие способы распространения вирусов на ваше устройство. Инфекции, напротив,

Инфекции также могут распространяться, когда пользователи подключаются к зараженным съемным запоминающим устройствам, таким как USB-накопители.

Вредоносное ПО может легко проникнуть на компьютер, ускользнув от механизмов безопасности. Эффективное нарушение может, среди прочего, заразить другие ресурсы или системное программное обеспечение, изменить или удалить ключевые функции или программы, а также скопировать, удалить или зашифровать данные.

В 1971 году Роберт Томас, инженер BBN Technologies, создал первый задокументированный компьютерный вирус. Первый вирус получил название «Creeper», и экспериментальное программное обеспечение Томаса заразило мэйнфреймы в ARPANET. «Я крипер: поймай меня, если сможешь», — гласило сообщение телетайпа на экранах.

Фред Коэн придумал слово «компьютерный вирус» в 1983 году, после года исследований. Когда он попытался написать научную статью под названием «Компьютерные вирусы — теория и эксперименты», в которой описывались бы вредоносные программы, используемые в его работе, он придумал этот термин.

  1. Список различных типов компьютерных вирусов
  2. W Предназначен для предотвращения компьютерных вирусов и различных типов угроз безопасности
  3. Симптомы вирусной инфекции после атаки вредоносным ПО

1.Список различных типов компьютерных вирусов

Компьютерный вирус — это разновидность вредоносного ПО, которое включает свой вирусный код в программы и приложения для размножения. Вредоносный код повторяется на компьютере, заражая его. Программные вирусы бывают разных форм и размеров и по-разному заражают систему. Вот несколько самых популярных типов компьютерных вирусов.

  • Вирус в загрузочном секторе
  • Вирус с прямым действием
  • Резидентный многосторонний вирус
  • Вирус с полиморфными формами
  • Вирус Spacefiller
  • Вирус загрузочного сектора — Этот тип вируса заражает главную загрузочную запись, и его удаление является сложный и трудоемкий процесс, часто требующий форматирования машины.В основном он распространяется через съемные носители.
  • Вирус прямого действия — также известный как нерезидентный вирус, этот тип вируса устанавливается или скрывается в памяти компьютера. Он остается прикрепленным к тем же типам файлов, которые заражает. Это не влияет на работу пользователя или производительность системы.
  • Резидентные вирусы. В отличие от вирусов прямого действия, резидентные вирусы остаются на машине после монтирования. Распознать вирус и уничтожить резидентный вирус гораздо сложнее.
  • Многосторонний вирус. Этот вирус может распространяться различными способами. Он одновременно заражает загрузочный сектор и исполняемые файлы.
  • Полиморфный вирус. Обычным антивирусным системам сложно идентифицировать эти вирусы. Это связано с тем, что по мере размножения полиморфных вирусов паттерн их сигнатур меняется.
  • Перезапись вируса. Когда этот вид вируса заражает компьютер, он удаляет все файлы, которые он заражает. Единственный способ устранить это — удалить зараженные файлы, что означает, что конечный пользователь потеряет все содержимое файлов.Вирус перезаписи трудно обнаружить, поскольку он распространяется по электронной почте.
  • Spacefiller Virus — также известен как «вирусы полости». Это потому, что они заполняют пробелы между текстовыми строками, предотвращая повреждение файла.

2. Способы предотвращения компьютерных вирусов и различных видов угроз безопасности

  • Воспользуйтесь услугами профессиональной электронной почты, например Runbox. Услуги на основе подписки обеспечивают большую безопасность и поддержку.
  • Убедитесь, что ваш Runbox Trojan, вредоносные программы / вирусный фильтр включен.
  • Прочтите свою электронную почту, используя интерфейс веб-почты на сайте www.runbox.com, а не загружайте все это в почтовый клиент. Прежде чем загружать действующий адрес электронной почты в локальный почтовый клиент, проверьте свою электронную почту и удалите все подозрительные или нежелательные сообщения.
  • Убедитесь, что у вас установлена ​​последняя версия антивирусного программного обеспечения и оно работает локально на вашем компьютере. Для эффективной защиты от вирусов необходимы автоматические обновления. Теперь у вас есть два уровня защиты, когда вы комбинируете сканирование на стороне клиента со сканированием на стороне сервера.
  • Отключите предварительный просмотр сообщений в почтовом клиенте, особенно на платформах Windows. В противном случае вредоносные программы, прикрепленные к входящим сообщениям, могут запускаться и автоматически заражать ваш компьютер.
  • Игнорировать или удалять сообщения, которые, похоже, были отправлены с официальных адресов электронной почты Runbox и содержат вложения. Помимо ответов на запросы и уведомлений об оплате, Runbox редко отправляет электронные письма своим пользователям. Мы редко отправляем пользователям электронные письма с вложениями.
  • Будьте осторожны при открытии графических файлов и вложений мультимедиа, поскольку вирусы могут маскироваться под эти типы файлов.

3. Симптомы вирусной инфекции после атаки вредоносного ПО

Любой пользователь компьютера должен знать об атаке вредоносного ПО после следующих предупреждающих знаков —

  • Более медленный вывод системы
  • Всплывающие окна бомбардируют экран
  • Программы работают сами по себе
  • Файлы размножаются / дублируются сами по себе
  • Новые файлы или программы в машине
  • Потерянные или поврежденные файлы, каталоги или программы

ЗАКЛЮЧЕНИЕ

Это означает, что вирус будет бездействовать на вашем компьютере в течение длительного времени, не вызывая каких-либо заметных симптомов.Как только вирус заразит ваш компьютер, он распространится на другие компьютеры в той же сети. Взятие паролей или записей, регистрация нажатий клавиш, повреждение файлов и рассылка спама вашим контактам электронной почты являются примерами киберпреступлений.

Итак, вы решили сделать карьеру в сфере кибербезопасности? Посетите наш мастер-сертификат в области кибербезопасности (Red Team) для получения дополнительной помощи. Это первая программа по наступательным технологиям в Индии, которая позволяет учащимся практиковаться в смоделированной экосистеме в реальном времени, что даст им преимущество в этом конкурентном мире.

ТАКЖЕ ПРОЧИТАЙТЕ

Что такое компьютерный вирус?

Компьютерный вирус — это вредоносный код, который копирует себя в другую программу, загрузочный сектор компьютера или документ и изменяет работу компьютера. Вирус распространяется между системами после некоторого вмешательства человека. Вирусы реплицируются, создавая свои собственные файлы в зараженной системе, присоединяясь к законной программе, заражая процесс загрузки компьютера или заражая документы пользователей. Вирус требует, чтобы кто-то сознательно или неосознанно распространял инфекцию.В отличие от этого компьютерный червь представляет собой автономную программу, которая не требует вмешательства человека для распространения. Вирусы и черви — это два примера вредоносных программ, широкая категория, которая включает в себя любой тип вредоносного кода.

Вирус может распространяться, когда пользователь открывает вложение электронной почты, запускает исполняемый файл, посещает зараженный веб-сайт или просматривает рекламу зараженного веб-сайта, что называется вредоносной рекламой. Он также может передаваться через зараженные съемные устройства хранения данных, такие как USB-накопители.После того, как вирус заразил хост, он может заразить другое системное программное обеспечение или ресурсы, изменить или отключить основные функции или приложения, а также скопировать, удалить или зашифровать данные. Некоторые вирусы начинают репликацию, как только они заражают хост, в то время как другие вирусы будут бездействовать, пока определенный триггер не вызовет выполнение вредоносного кода устройством или системой.

Многие вирусы также включают возможности обхода или обфускации, предназначенные для обхода современного антивирусного и антивредоносного программного обеспечения, а также других средств защиты.Рост разработки полиморфных вредоносных программ, которые могут динамически изменять свой код по мере распространения, затруднил обнаружение и идентификацию вирусов.

Типы компьютерных вирусов

Инфекторы файлов. Некоторые вирусы-инфекторы прикрепляются к программным файлам, обычно к файлам COM или EXE. Другие могут заразить любую программу, для которой требуется выполнение, включая файлы SYS, OVL, PRG и MNU. Когда загружается зараженная программа, загружается и вирус.Другие вирусы-инфекторы файлов поступают в виде полностью содержащихся программ или сценариев, отправляемых в виде вложения к электронному письму.

Макровирусы. Эти вирусы специально нацелены на команды макроязыка в таких приложениях, как Microsoft Word и другие программы. В Word макросы — это сохраненные последовательности команд или нажатий клавиш, встроенные в документы. Макровирусы или вирусы-скрипты могут добавлять свой вредоносный код в допустимые последовательности макросов в файле Word. Microsoft отключила макросы по умолчанию в более поздних версиях Word; в результате хакеры использовали схемы социальной инженерии, чтобы убедить целевых пользователей включить макросы и запустить вирус.

Перезаписать вирусы. Некоторые вирусы разработаны специально для уничтожения файлов или данных приложения. После заражения системы перезаписывающий вирус начинает перезаписывать файлы собственным кодом. Эти вирусы могут атаковать определенные файлы или приложения или систематически перезаписывать все файлы на зараженном устройстве. Вирус перезаписи может устанавливать новый код в файлы и приложения, которые программируют их для распространения вируса на дополнительные файлы, приложения и системы.

Полиморфные вирусы. Полиморфный вирус — это тип вредоносного ПО, которое может изменять или применять обновления к своему базовому коду без изменения его основных функций или возможностей. Этот процесс помогает вирусу избежать обнаружения многими продуктами для защиты от вредоносных программ и угроз, которые полагаются на идентификацию сигнатур вредоносных программ; после того, как сигнатура полиморфного вируса идентифицирована продуктом безопасности, вирус может измениться так, что он больше не будет обнаруживаться с помощью этой сигнатуры.

Резидентные вирусы. Этот тип вируса внедряется в память системы. Исходная вирусная программа не нужна для заражения новых файлов или приложений. Даже если исходный вирус удален, версия, хранящаяся в памяти, может быть активирована, когда операционная система (ОС) загружает определенное приложение или службу. Резидентные вирусы представляют собой проблему, поскольку они могут уклоняться от защиты от вирусов и вредоносных программ, скрывшись в оперативной памяти (ОЗУ) системы.

Руткит-вирусы. Вирус руткита — это тип вредоносной программы, которая устанавливает несанкционированный руткит в зараженную систему, предоставляя злоумышленникам полный контроль над системой с возможностью фундаментального изменения или отключения функций и программ.Вирусы руткитов были разработаны для обхода антивирусного программного обеспечения, которое обычно проверяет только приложения и файлы. Более свежие версии основных антивирусных и антивредоносных программ включают сканирование руткитов для выявления и устранения этих типов вирусов.

Вирусы системного или загрузочного сектора. Эти вирусы заражают исполняемый код, находящийся в определенных областях системы на диске. Они подключаются к загрузочному сектору ОС (DOS) на дискетах и ​​флэш-накопителях USB или к главной загрузочной записи (MBR) на жестких дисках.В типичном сценарии атаки жертва получает устройство хранения, содержащее вирус загрузочного диска. Когда ОС жертвы запущена, файлы на внешнем запоминающем устройстве могут заразить систему; перезагрузка системы вызовет вирус загрузочного диска. Зараженное запоминающее устройство, подключенное к компьютеру, может изменить или даже заменить существующий загрузочный код в зараженной системе, так что при следующей загрузке системы вирус будет загружен и немедленно запущен как часть MBR. Загрузочные вирусы сейчас менее распространены, поскольку современные устройства меньше полагаются на физические носители.

Типы вирусов

Как распространяется компьютерный вирус?

Отличительной особенностью вируса является то, что он распространяется от системы к системе после того, как пользователь предпримет действия, намеренно или случайно способствующие этому распространению. Это распространение известно как распространение вируса , и существует множество различных методов, которые вирусы могут использовать для распространения между системами. Самый простой пример — это когда вирус содержится в исполняемом файле, который пользователь загружает из Интернета, получает в сообщении электронной почты или копирует со съемного запоминающего устройства.Как только пользователь запускает этот файл, начинает действовать вирус, выполняя вредоносный код, заражающий систему пользователя.

Другие вирусы могут распространяться более сложными механизмами. В таких случаях вирус, запущенный в зараженной системе, может начать свое собственное распространение. Например, вирус может копировать себя на все съемные носители, установленные в системе, прикрепляться к сообщениям электронной почты, отправляемым контактам пользователя, или копировать себя на общие файловые серверы. В таких случаях стираются границы между вирусами, для распространения которых требуется помощь человека, и червями, которые распространяются сами по себе, используя уязвимости.Ключевое отличие заключается в том, что вирусу всегда требуется, чтобы человек совершил действие, обеспечивающее этот последний шаг в процессе распространения, в то время как червю не требуется эта человеческая помощь.

Вирусы также могут распространяться между системами без записи данных на диск, что затрудняет их обнаружение с помощью механизмов защиты от вирусов и удаления вирусов. Эти бесфайловые вирусы часто запускаются, когда пользователь посещает зараженный веб-сайт, а затем полностью запускаются в памяти целевой системы, выполняя свою вредоносную нагрузку, а затем исчезают без следа.

Как атакуют компьютерные вирусы?

Распространение вируса — это только половина уравнения. Как только вирус проникает в новую зараженную систему, он начинает использовать любую уязвимость, которую разработал автор вируса. Это процесс доставки полезной нагрузки, при котором вирус атакует целевую систему. В зависимости от методов, используемых вирусом, и привилегий пользователя, создавшего заражение, вирус может выполнять любые действия, которые он пожелает, в целевой системе.Это одна из основных причин, по которой специалисты по безопасности побуждают организации следовать принципу наименьших привилегий (POLP) и не предоставлять пользователям административные права в их собственных системах. Этот тип доступа может увеличить ущерб, причиненный вирусом.

Полезная нагрузка, которую несет вирус, может нарушать один или несколько принципов кибербезопасности: конфиденциальность, целостность и доступность (триада CIA). Атаки на конфиденциальность направлены на обнаружение конфиденциальной информации, хранящейся в целевой системе, и передачу ее злоумышленнику.Например, вирус может искать на локальном жестком диске (HD) номера социального страхования, номера кредитных карт и пароли, а затем направлять их обратно злоумышленнику. Атаки на целостность направлены на несанкционированное изменение или удаление информации, хранящейся в системе. Например, вирус может удалять файлы, хранящиеся в системе, или вносить несанкционированные изменения в ОС, чтобы избежать обнаружения. Атаки доступности стремятся лишить законного пользователя доступа к системе или содержащейся в ней информации.Например, программа-вымогатель — это тип вируса, который шифрует информацию на жестком диске пользователя, предотвращая законный доступ. Затем он требует уплаты выкупа в обмен на ключ дешифрования.

Вирусы также могут присоединять систему к ботнету, передавая ее под контроль злоумышленника. Системы, присоединенные к ботнетам, обычно используются для проведения распределенных атак типа «отказ в обслуживании» (DDoS) на веб-сайты и другие системы.

Как вы предотвращаете компьютерные вирусы?

Следующие меры могут помочь вам предотвратить заражение вирусом:

  • Установите текущее антивирусное и антишпионское программное обеспечение и поддерживайте его в актуальном состоянии.
  • Ежедневно проверять наличие антивирусного программного обеспечения.
  • Отключите автозапуск, чтобы предотвратить распространение вирусов на любые носители, подключенные к системе.
  • Регулярно обновляйте ОС и приложения, установленные на компьютере.
  • Не нажимайте на веб-ссылки, отправленные по электронной почте от неизвестных отправителей.
  • Не загружайте файлы из Интернета или сообщения электронной почты от неизвестных отправителей.
  • Установите аппаратный брандмауэр.

Каковы признаки того, что вы можете заразиться компьютерным вирусом?

Следующие признаки указывают на то, что ваш компьютер может быть заражен вирусом:

  • Компьютер долго загружается и его производительность низкая.
  • На компьютере часто возникают сбои, выключение и сообщения об ошибках.
  • Компьютер работает нестабильно, например не реагирует на щелчки или открывает файлы самостоятельно.
  • HD компьютера ведет себя странно — например, постоянно вращается или издает постоянный шум.
  • Электронная почта повреждена.
  • Объем памяти на компьютере уменьшен.
  • Пропали файлы и другие данные на компьютере.

Как удалить компьютерный вирус?

В случае заражения вашего персонального компьютера (ПК) вирусом вы можете предпринять следующие шаги для его удаления:

  1. Войдите в безопасный режим.Процесс будет зависеть от версии Windows, которую вы используете.
  2. Удалите временные файлы. В безопасном режиме используйте инструмент очистки диска для удаления временных файлов.
  3. Загрузите антивирусный сканер по запросу и в режиме реального времени.
  4. Запустите сканер по запросу, а затем сканер в реальном времени. Если ни один из сканеров не удаляет вирус, возможно, его необходимо удалить вручную. Это должен делать только эксперт, имеющий опыт работы с реестром Windows и умеющий просматривать и удалять системные и программные файлы.
  5. Переустановите все файлы или программы, поврежденные вирусом.

История компьютерных вирусов

Первый известный компьютерный вирус был разработан в 1971 году Робертом Томасом, инженером BBN Technologies. Экспериментальная программа Томаса, известная как вирус Creeper, заразила мэйнфреймы в сети Агентства перспективных исследовательских проектов (ARPANET), отобразив телетайпное сообщение: «Я крипер: поймайте меня, если сможете».

Первым компьютерным вирусом, обнаруженным в дикой природе, был Elk Cloner, который заражал операционные системы Apple II через дискеты и отображал юмористические сообщения на зараженных компьютерах.Elk Cloner, разработанный 15-летним Ричардом Скрентой в 1982 году, был задуман как шутка, но он продемонстрировал, как потенциально вредоносная программа может быть установлена ​​в память компьютера Apple и помешать пользователям удалить программу.

Термин компьютерный вирус использовался только год спустя. Фред Коэн, аспирант Университета Южной Калифорнии (USC), написал научную статью под названием «Компьютерные вирусы — теория и эксперименты» и поручил своему научному руководителю и соучредителю RSA Security Леонарду Адлеману ввести термин «компьютерный вирус ». в 1983 г.

Известные компьютерные вирусы

Примечательные примеры ранних компьютерных вирусов включают следующее:

  • Вирус мозга , впервые появившийся в 1986 году, считается первым вирусом для ПК Microsoft DOS (MS-DOS). Brain был вирусом загрузочного сектора. Он распространялся через зараженные загрузочные секторы гибких дисков и после установки на новый компьютер устанавливался в память системы и впоследствии заражал все новые диски, вставленные в этот компьютер.
  • Вирус Иерусалим , также известный как вирус Friday the 13th , был обнаружен в 1987 году и распространился по всему Израилю через дискеты и вложения электронной почты.Вирус DOS заражал систему и удалял все файлы и программы, когда системный календарь достигал пятницы 13-го числа.
  • Вирус Melissa , впервые появившийся в 1999 г., распространялся в виде вложения электронной почты. Если бы в зараженных системах был Microsoft Outlook, вирус был бы отправлен первым 50 людям в списке контактов зараженного пользователя. Этот вирус также затронул макросы в Microsoft Word и отключил или снизил защиту программы.
  • Троян Archiveus , дебютировавший в 2006 году, был первым известным случаем вируса-вымогателя, который использовал надежное шифрование для шифрования файлов и данных пользователей.Archiveus нацелился на системы Windows, использовал алгоритмы шифрования Ривест-Шамир-Адлеман (RSA) — тогда как более ранние версии программ-вымогателей использовали более слабые и легко поддающиеся поражению технологии шифрования — и требовали от жертв покупать продукты в интернет-аптеках.
  • Zeus Trojan или Zbot , один из самых известных и широко распространенных вирусов в истории, впервые появился в 2006 году, но с годами эволюционировал и продолжает вызывать проблемы по мере появления новых вариантов. Первоначально троян Zeus использовался для заражения систем Windows и сбора банковских учетных данных и информации об учетных записях жертв.Вирус распространяется посредством фишинговых атак, скрытых загрузок и «злоумышленника в браузере». Набор вредоносных программ Zeus был адаптирован киберпреступниками для включения новых функций для обхода антивирусных программ, а также для создания новых вариантов трояна, таких как ZeusVM, который использует методы стеганографии, чтобы скрыть свои данные.
  • Вирус Cabir — первый проверенный образец вируса для мобильных телефонов для ныне не существующей ОС Nokia Symbian. Считалось, что вирус был создан группой из Чехии и Словакии под названием 29A, которая разослала его ряду компаний, производящих программное обеспечение для обеспечения безопасности, в том числе Symantec в США.С. и Лаборатория Касперского в России. Cabir считается доказательством концепции (POC) вирусом, потому что он доказывает, что вирус может быть написан для мобильных телефонов, в чем когда-то сомневались.

История компьютерных вирусов и что нас ждет в будущем

Когда дело доходит до кибербезопасности, существует несколько терминов с более узнаваемым именем, чем «компьютерные вирусы». Однако, несмотря на распространенность этих угроз и их широкое влияние, многие пользователи не знают об основной природе вирусов.Далее следует краткая история компьютерного вируса и то, что ждет эту широко распространенную киберугрозу в будущем.

Теория самовоспроизводящихся автоматов

Что такое компьютерный вирус? Эта идея впервые обсуждалась в серии лекций математика Джона фон Неймана в конце 1940-х годов и в статье, опубликованной в 1966 году, «Теория самовоспроизводящихся автоматов». Документ был фактически мысленным экспериментом, в котором предполагалось, что «механический» организм — такой как кусок компьютерного кода — может повредить машины, скопировать себя и заразить новых хозяев, как биологический вирус.

Программа Creeper

Как отмечает Discovery, программа Creeper, которую часто называют первым вирусом, была создана в 1971 году Бобом Томасом из BBN. Creeper был фактически разработан как тест безопасности, чтобы увидеть, возможна ли самовоспроизводящаяся программа. Это было… вроде того. При заражении каждого нового жесткого диска Creeper пытался удалить себя с предыдущего хоста. Creeper не имел злого умысла и отображал только простое сообщение: «Я КРИПЕР. ПОЛУЧИТЕ МЕНЯ, ЕСЛИ ВЫ МОЖЕТЕ!»

The Rabbit Virus

Согласно InfoCarnivore, вирус Rabbit (или Wabbit) был разработан в 1974 году, имел злой умысел и мог дублировать себя.Попав на компьютер, он сделал несколько своих копий, что сильно снизило производительность системы и, в конечном итоге, привело к сбою машины. Скорость репликации дала имя вирусу.

Первый троянец

Под названием ANIMAL, первый троянец (хотя есть некоторые споры о том, был ли это троянец или просто другой вирус) был разработан программистом Джоном Уокером в 1975 году, согласно Fourmilab. В то время чрезвычайно популярными были «программы для животных», которые пытаются угадать, о каком животном думает пользователь, с помощью игры из 20 вопросов.Версия, созданная Уокером, пользовалась большим спросом, и отправка ее своим друзьям означала изготовление и передачу магнитных лент. Чтобы упростить задачу, Уокер создал PERVADE, который установился вместе с ANIMAL. Во время игры PREVADE проверил все компьютерные каталоги, доступные пользователю, а затем сделал копию ANIMAL во всех каталогах, где его еще не было. Здесь не было злого умысла, но ANIMAL и PREVADE подходят под определение трояна: внутри ANIMAL пряталась еще одна программа, которая выполняла действия без одобрения пользователя.

The Brain Boot Sector Virus

Brain, первый компьютерный вирус, начал заражать 5,2-дюймовые дискеты в 1986 году. Как сообщает Securelist, это была работа двух братьев, Басита и Амджада Фарука Альви, которые владели компьютерным магазином в Пакистане. . Устав от того, что клиенты делают нелегальные копии своего программного обеспечения, они разработали Brain, который заменил загрузочный сектор дискеты на вирус. Вирус, который также был первым стелс-вирусом, содержал скрытое сообщение об авторских правах, но на самом деле не повредил любые данные.

The LoveLetter Virus

Внедрение надежных и скоростных широкополосных сетей в начале 21 века изменило способ передачи вредоносных программ. Больше не ограничиваясь дискетами или корпоративными сетями, вредоносные программы теперь могли очень быстро распространяться по электронной почте, через популярные веб-сайты или даже напрямую через Интернет. В результате начали формироваться современные вредоносные программы. Ландшафт угроз превратился в смешанную среду, в которой обитают вирусы, черви и трояны — отсюда и название «вредоносное ПО» как общий термин для обозначения вредоносных программ.Одной из самых серьезных эпидемий этой новой эры стала LoveLetter, которая появилась 4 мая 2000 года.

Как отмечает Securelist, она следовала образцу более ранних почтовых вирусов того времени, но в отличие от макровирусов, которые доминировали над угрозой. landscape с 1995 года он не принимал форму зараженного документа Word, а поступал в виде файла VBS. Это было просто и понятно, и, поскольку пользователи не научились с подозрением относиться к нежелательным электронным письмам, это сработало. В теме письма было «Я люблю тебя», и к каждому электронному письму было прикреплено «LOVE-LETTER-FOR-YOU-TXT».vbs. «Создатель ILOVEYOU, Онель де Гусман, сконструировал своего червя, чтобы перезаписывать существующие файлы и заменять их собственными копиями, которые затем использовались для распространения червя по электронной почте всех жертв. Поскольку сообщения часто приходили новым жертвам. от кого-то знакомого, они с большей вероятностью откроют его, что сделало ILOVEYOU доказательством концепции эффективности социальной инженерии.

The Code Red Virus

Червь Code Red был червем «без файлов» — он существовал только в памяти и не пытался заразить файлы в системе.Воспользовавшись недостатком Microsoft Internet Information Server, быстро реплицирующийся червь вызвал хаос, манипулируя протоколами, которые позволяют компьютерам общаться и распространяться по всему миру всего за несколько часов. В конце концов, как отмечает Scientific American, взломанные машины были использованы для запуска распределенной атаки отказа в обслуживании на веб-сайте Whitehouse.gov.

Heartbleed

Один из самых последних крупных вирусов, появившихся в 2014 году, «Heartbleed» ворвался на сцену и поставил под угрозу серверы в Интернете.Heartbleed, в отличие от вирусов или червей, возникает из-за уязвимости в OpenSSL, универсальной криптографической библиотеке с открытым исходным кодом, используемой компаниями по всему миру. OpenSSL периодически отправляет «контрольные сигналы», чтобы гарантировать, что защищенные конечные точки по-прежнему подключены. Пользователи могут отправить OpenSSL определенный объем данных, а затем запросить обратно тот же объем, например, один байт. Если пользователи заявляют, что отправляют максимально разрешенный объем, 64 килобайта, но отправляют только один байт, сервер ответит последними 64 килобайтами данных, хранящихся в оперативной памяти, отмечает технический специалист по безопасности Брюс Шнайер, которые могут включать все, что угодно, начиная с имен пользователей. к паролям для защиты ключей шифрования.

Будущее компьютерных вирусов

На протяжении более 60 лет компьютерные вирусы были частью коллективного человеческого сознания, однако то, что когда-то было просто кибервандализмом, быстро превратилось в киберпреступность. Черви, трояны и вирусы постоянно развиваются. Хакеры мотивированы и умны, всегда готовы раздвинуть границы возможностей связи и кода, чтобы разработать новые методы заражения. Будущее киберпреступности, похоже, связано с большим количеством взломов PoS (точек продаж), и, возможно, недавний троянец удаленного доступа Moker является хорошим примером того, что нас ждет в будущем.Эту недавно обнаруженную вредоносную программу трудно обнаружить, сложно удалить и обойти все известные средства защиты. Нет ничего точного — перемены — это источник жизненной силы как для атаки, так и для защиты.

Другие полезные материалы и ссылки, относящиеся к компьютерным вирусам

Краткая история компьютерных вирусов и их будущее

Kaspersky

Навигация по записям

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *