Компьютерный вирус

Jerusalem

Вирус Jerusalem был создан в 1988 году в Израиле, и наделал много шума среди пользователей с Ближнего Востока, а также из Европы и США. В те времена никто не знал, как бороться с вирусным программным обеспечением, а антивирусы были диковинкой и не пользовались большой популярностью.

Вреда этот вирус приносил немало: он заражал файлы, созданные или открытые за день, а при запуске просто удалял их. Весь процесс сопровождался медленным удалением всех данных, сохраненных на жёстком диске.

Автор вируса и его мотивы так и остались неизвестными. Однако сам вирус стал одним из самых опасных на планете, и положил начало семейству резидентных вирусов Suriv.

Криминализация

Создателю вируса Scores, нанесшего в 1988 ущерб пользователям компьютеров Macintosh, не было предъявлено обвинений, поскольку его действия не подпадали под имеющийся на тот момент в США закон Computer Fraud and Abuse Act либо другие законы. Этот случай привёл к разработке одного из первых законов, имеющих отношение к компьютерным вирусам: Computer Virus Eradication Act (1988). Сходным образом создатель самого разрушительного вируса ILOVEYOU в 2000 году избежал наказания из-за отсутствия на Филиппинах соответствующих ситуации законов.

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в некоторых странах как отдельный вид правонарушений: в России согласно Уголовному кодексу РФ (), в США согласно Computer Fraud and Abuse Act, в Японии. Во многих странах, однако, создание вирусов само по себе не является преступлением, и нанесенный ими вред подпадает под более общие законы о компьютерных правонарушениях.

Рекомендуемые действия

Возможно, что устарел набор антивирусных баз — необходимо скачать последние обновления и проверить компьютер. Если это не помогло, то, возможно, помогут антивирусы от других производителей. Большинство известных антивирусных компаний выпускают бесплатные версии своих продуктов (пробные версии или одноразовые «чистильщики») — рекомендуется воспользоваться этой услугой. Если вирус или троянская программа обнаружена другим антивирусом — в любом случае зараженный файл следует отослать разработчику того антивируса, который его не определил. Это поможет более оперативно добавить его в обновления и защитить от заражения других пользователей этого антивируса.

Если ничего не обнаружено, то, прежде чем приступить к поиску зараженного файла, рекомендуется физически отключить компьютер от интернета или от локальной сети, если он был к ней подключен, выключить Wi-Fi-адаптер и модем (если они есть). В дальнейшем пользоваться сетью только в случае крайней необходимости. Ни в коем случае не пользоваться системами интернет-платежей и банковскими интернет-сервисами. Избегать обращения к персональным и любым конфиденциальным данным, не пользоваться интернет-службами, для доступа к которым необходимо ввести логин и пароль.

Code Red I и Code Red II

Вирусы семейства «Code Red» были очень подлыми компьютерными червями.

От вас не требуется никаких действий, чтобы ваш ПК заразился. Все, что нужно —  активное подключение к интернету, чтобы воспользоваться уязвимостью в операционной системе Windows. И что же делали вирусы?

Они создавали все условия, чтобы зараженным ПК можно было управлять дистанционно. А это означало, что злоумышленник на расстоянии мог заполучить всю информацию с компьютера жертвы или использовать в корыстных целях, например, перегрузить компьютеры Белого дома. При этом адрес зараженного компьютера не скрывался.

К счастью, правительство смогло перейти на другой адрес, чтобы избежать нападения, а вот иным организациям повезло меньше. В конце концов, более 200000 серверов пострадали от вируса «Code Red» в 2001 году.

3 Если полностью удалить вирус, то компьютер будет работать как прежде

Многие шпионские программы наносят вред операционной системе и вносят в нее непоправимые изменения. Поэтому нередки такие ситуации, когда даже после полного удаления вредоносных программ неполадки все же остаются. Чтобы их устранить, дополнительно потребуется восстановление системы.

Чтобы понять, нужно ли восстанавливать систему уже после того, как отработал антивирус – полезно еще и еще раз проверить и перепроверить весь компьютер на наличие в нем остатков вирусов. Если что-то осталось, и антивирус это показывает – заново запускаем очистку с помощью антивируса. И так повторяем неоднократно, если необходимо.

К сожалению, не всегда антивирус помогает полностью избавиться от последствий «вторжения». В таком случае операционная система может даже «умереть» после работы антивируса или чуть позже. На практике с подобным сталкивалась, например, с баннером – это грустная история. Сначала тратишь силы и время для проверки компьютера и для его очистки от вредоносного кода с помощью антивируса. А потом, увы, получаешь полностью неработающий компьютер. Далее требуется уже восстановление операционной системы и утерянных данных.

Но повода для оптимизма, на самом деле, предостаточно. Современные антивирусы довольно хорошо справляются со своей задачей и полностью «убивают» все вредоносные программы. Но для этого нужен не просто антивирус, но и его самая последняя, самая актуальная версия. Следовательно, нужно постоянно обновлять антивирус. И регулярно им пользоваться и правильно конфигурировать, чтобы антивирус проверял компьютер регулярно, систематически и автоматически.

Из практики: 40.000 вирусов

Обратился пользователь, у которого компьютер, практически, не работал, не загружался. «Вылечили» просто: включили компьютер и не стали его торопить. Он загружался долго-долго, потом что-то непрерывно делал – загрузка процессора и жесткого диска была на пределе возможного. Операционная система не реагировала даже на «шевеление» компьютерной мышкой.

Через несколько часов такой весьма странной «работы» вдруг компьютер «высвободился», начал «двигаться», откликаться на любые действия пользователя.

Открыли антивирус, посмотрели статистику, а там информация: антивирус обновлен, им обнаружено и обезврежено (удалено, помещено на карантин и т.п.) столько-то вирусов (их было больше 40 тыс. штук!). Дополнительной помощи не потребовалось, повторный «прогон» антивируса показал, что компьютер чист, в нем не осталось вредоносного кода.

Лучшие антивирусные программы

Если с компьютером что-то не так, то его нужно проверить операционную систему на наличие того или иного заражения, иначе возможны последствия в виде нестабильной работы системы. Ниже я описал на мой взгляд самые лучшие программы, по борьбе с вирусами.

Malwarebytes Anti-Malware

Программа эффективно удаляет с устройства большинство  заражений, троянских коней, и множество новых разновидностей опасного содержимого. Если нужно срочно избавиться от них на вашем компьютере, то достаточно запустить программу MalwarebytesAnti-Malwarefree (бесплатную) версию и она все сделает сама. Для большей эффективной защиты  устройства ее следует периодически обновлять.

Во время установки вам будет задан вопрос о  ее версии: какую выбрать полную или с 14 дневным периодом. Здесь лучше выбрать второе, поскольку в  нее установлен резидентский модуль, он запускается со стартом операционной системы. Скорее всего, ее не признает основная антивирусная программа, посчитает ее вредной и постарается удалить.

Также в полной версии есть такая опция, как блокировка сайта, и каждый раз при открытии той или иной страницы вас будут спрашивать о ее блокировке. Лучше эту опцию совсем отключить, иначе вам некогда будет работать, а только отвечать на вопросы программы. Эта опция отсутствует в бесплатной версии, и для безопасного путешествия по просторам интернета она будет лучше.

Avast! Free Antivirus

Антивирусное программное обеспечение от чешских разработчиков. Оно очень популярно  у множества пользователей. Его любят за простой интерфейс, быструю работу, и качественную чистку компьютера от заражений. Файл установки Аваста небольшой, не загружает память, просто устанавливается и работает незаметно.

Есть так называемая «песочница». Работа в этом режиме заключается в ограждении установки новой программы, пока она не проверится на наличие вируса. Эта опция незаменима при работе с банковскими картами при покупке товаров через интернет: хакерам не удастся украсть данные вашей карты, пароли и т.д. Аваст успешно справляется с поиском руткитов, работает в режиме реального времени и сразу реагирует на любые опасности в интернете.

Avira AntiVir Personal

Чистильщик вирусов от немецких разработчиков, которые основали его в 1986 году. Он бесплатный. Работает быстро, надежно защищает от множества угроз. Но есть один недостаток: если оперативной памяти маловато, то работает с торможением, и вирусы удаляет медленно. Есть  защита в реальном времени.

AVG Antivirus

Программа от чешских разработчиков. Есть платный и бесплатный вариант, но платная версия работает надежней. Это современное и эффективное средство. Очень многие пользователи сделали выбор в пользу этого продукта, причем в платном варианте AVG Internet Security неоднократно выходил на высшие позиции рейтинга в своей категории. Работает в режиме реального времени, сразу предупреждает об угрозах, выводя на экран сообщение.

Dr.Web CureIt

Очистка компьютера от вирусов представленной программой имеет кучу плюсов.

1. Доктор Веб имеет первосортный механизм защиты, поэтому ни одни троянский единорог не сможет вывести его из строя.
2. Dr.Web CureIt работает даже при внезапной атаке вирусов, которые блокируют основную часть рабочего стола. В таких случаях, программа еще сможет вернуть все на свои места.
3. Данный экземпляр наделен отличным сканером, работающим в режиме реального времени. Он способен попутно обнаруживать угрозы на вашем компьютере и мгновенно предупреждать об этом.

Как использовать Dr.Web CureIt

Ниже находятся некоторые настройки программы, к примеру, что делать с обнаруженной угрозой. Имеются стандартные варианты – удаление, перемещение, лечение. Dr.Web CureIt решает все самостоятельно, но вы можете настроить все таким образом, чтобы такие решения принимались пользователем, а не искусственным интеллектом.

Имеется несколько вариантов сканирования – от беглого до глубокого. Последний вариант займет много времени, но для полноценной профилактики лучше потратить пару часов и заставить Dr.Web поработать. Все данные по статистике и очистке находятся на следующей вкладке.

Другие популярные программы

Вот еще несколько хороших платных антивирусов. Один из самых лучших — Антивирус Касперского, стоит своих денег. Лично я предпочтение отдаю Avast!, есть бесплатная версия. Вы же смотрите сами для себя, что вам нужно:

• Антивирус Касперского — https://www.kaspersky.ru/free-trials/anti-virus
• ESET NOD32 Антивирус — https://www.esetnod32.ru/download/overview/

Новые и экзотические вирусы

По мере развития компьютерных технологий совершенствуются и
компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. Новый
вирус W32/Perrun, сообщение о котором есть на сайте компании Network Associates
(http://www.nai.com), способен распространяться… через файлы графических
изображений формата JPEG!

Сразу после запуска вирус W32/Perrun ищет файлы с
расширением имени  JPG и дописывает к ним свой код. После этого зараженные
файлы JPEG будут содержать не только изображения, но и
код вируса. Надо сказать, что данный вирус не опасен и требует для своего
распространения отдельной программы.

Среди новых «достижений» создателей вредоносных программ
заслуживает упоминания вирус Palm.Phage. Он заражает приложения «наладонных»
компьютеров PalmPilot, перезаписывая файлы этих приложений своим кодом.

Появление таких вирусов, как W32/Perrun и Palm.Phage,
свидетельствует о том, что в любой момент может родиться компьютерный вирус,
троянская программа или червь, нового, неизвестного ранее типа, или известного
типа, но нацеленного на новое компьютерное оборудование. Новые вирусы могут
использовать неизвестные или несуществующие ранее каналы распространения, а
также новые технологии внедрения в компьютерные системы.

В следующей нашей статье, посвященной проблемам
антивирусной защиты, мы рассмотрим технологии, методики и антивирусные
средства, с помощью которых можно защититься не только от известных, но в ряде
случаев и от новых, доселе не исследованных вредоносных компьютерных программ.

Классификация

Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через локальные и глобальные (Интернет) сети. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

• по поражаемым объектам (файловые вирусы, загрузочные вирусы, сценарные вирусы, макровирусы, вирусы, поражающие исходный код);
• файловые вирусы делят по механизму заражения: паразитирующие добавляют себя в исполняемый файл, перезаписывающие невосстановимо портят заражённый файл, «спутники» идут отдельным файлом.
• по поражаемым операционным системам и платформам (DOS, Windows, Unix, Linux, Android);
• по используемым технологиям (полиморфные вирусы, стелс-вирусы, руткиты);
• по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, сценарный язык и др.);
• по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

Что такое компьютерный вирус

Частое заблуждение, что любое вредоносное ПО является вирусом. Особенностью компьютерных вирусов (КВ) является то, что они при выполнении копируют себя, изменяя другие приложения, внедряя в них свой программный код. Когда это действие совершается, говорят что происходит «заражение». Таким образом, код вируса обязательно содержит в себе алгоритм размножения.

Компьютерные вирусы могут быть совершенно безобидными, но сейчас такие встречаются редко. Чаще всего они снижают производительность компьютерных систем, могут уничтожить какое-то конкретное ПО или всю систему в целом. В любом случае, каждый из них, помимо материального ущерба, приносит очевидный дискомфорт пользователям.

История появления

Первая научная работа по теории самовоспроизводящихся компьютерных программ была начата в 1949 году математиком Джоном фон Нейманом, который в Иллинойском университете вел занятия «Теория и организация сложных автоматов», а позднее опубликовал работу «Теория самовоспроизводящихся автоматов», в которой описал, какой должна быть программа для компьютера, чтобы она могла воспроизводить себя сама. Неймана полагают «отцом-теоретиком» компьютерной вирусологии, а описанный им макет — КВ номер один.

В 1972 году В. Рисак опирался на работу фон Неймана и опубликовал свою статью, в которой описывается полнофункциональный вирус, написанный на языке программирования ассемблер для компьютерной системы SIEMENS 4004/35.

Первые вирусы

Роберт Томас, инженер из Масачусетса, в 1971 году разработал первый КВ, приведенный в действие. Он получил название «Creeper». Программа заражала мэйнфреймы в сети ARPANET. Сообщение телетайпа, отображаемое на экранах, гласило: «I’m the creeper: Catch me if you can.» («Я крадущийся: поймай меня, если сможешь».) Это была по большому счету просто шутка. И она не получила значительного распространения.

Первым « диким» КВ (т.е. на самом деле получившим широкое распространение) считают «Elk Cloner», появившийся в 1982 году. Через зараженные дискеты он поражал операционные системы (ОС) Apple II. Его целью было также отображение юмористического сообщения на зараженных компьютерах.

Примечательно, что этот вирус был разработан подростком.

Хотя и этот вирус не был запрограммирован для пагубных действий, он наглядно продемонстрировал, что сторонняя программа может тайно попасть ​​на ПК, что она может скрытно находиться на устройстве и, тем самым, вмешиваться в жизнь пользователей.

Это навело на размышления Фреда Коэна, который в 1983 году вел понятие «компьютерный вирус». Известна его исследовательская работа «Компьютерные вирусы — теория и эксперименты», подробно описывающая вредоносные программы.

Создатели вирусов

Авторами КВ становятся самые разные люди, но всех их объединяют отличные знания об уязвимостях компьютерных систем безопасности. Кроме того, злоумышленники используют методы социальной инженерии для выявления слабых мест системы и получения информации для первичного заражения хорошо защищенных компьютерных структур, например коммерческих организаций.

Мотивами для разработки вирусов служат порой совершенно противоположные замыслы:

• желание обогатиться;
• выразить политическое мнение;
• развлечение;
• продемонстрировать существующие огрехи в безопасности ПО;
• саботаж с целью отказа в обслуживании корпоративных систем;
• простое любопытство (желание исследовать проблемы кибербезопасности, искусственного интеллекта или эволюционные процессы).

Компьютерные вирусы наносят ущерб в миллиарды долларов каждый год. С расширением сфер использования ПО сегодня, сбоям и повреждению данных наносимых КВ подвержены не только компьютеры, но также смартфоны и планшеты.

Мой компьютер заражен! Что делать?

Если вы заметили, что компьютер ведет себя подозрительно, выполните следующие шаги:
1. Отключите ПК от Интернета и локальной сети, чтобы вредоносная программа не могла распространяться дальше.
2. Сохраните важные документы на внешнем накопителе (винчестере, оптическом или флэш-диске) и пометьте его как еле или компакт-диске и пометьте носитель информации как зараженный.
3. Запустите антивирусную программу, чтобы она проверила жесткий диски вашего компьютера, обнаружила и уничтожила вредителей.
4. После прохождения «курса лечения» просканируйте носитель, созданный в шаге 2, чтобы не занести вирус в систему повторно. Если избавиться от вируса не удалось, перешлите зараженный файл разработчикам антивируса. Как правило, создание «противоядия» занимает несколько часов.

Формальное определение

Нет общепринятого определения вируса. В академической среде термин был употреблён Фредом Коэном в его работе «Эксперименты с компьютерными вирусами», где он сам приписывает авторство термина Леонарду Адлеману.

Формально вирус определён Фредом Коэном со ссылкой на машину Тьюринга следующим образом:

M : (S_M, I_M, O_M : S_M x I_M > I_M, N_M : S_M x I_M > S_M, D_M : S_M x I_M > d)

с заданным множеством состояний S_M, множеством входных символов I_M и отображений (O_M, N_M, D_M), которая на основе своего текущего состояния s ∈ S_M и входного символа i ∈ I_M, считанного с полубесконечной ленты, определяет: выходной символ o ∈ I_M для записи на ленту, следующее состояние машины s’ ∈ S_M и движения по ленте d ∈ {-1,0,1}.

Для данной машины M последовательность символов v : v_i ∈ I_M может быть сочтена вирусом тогда и только тогда, когда обработка последовательности v в момент времени t влечёт за собой то, что в один из следующих моментов времени t последовательность v′ (не пересекающаяся с v) существует на ленте, и эта последовательность v′ была записана M в точке t′, лежащей между t и t″:

∀ CM ∀ t ∀ j:
SM(t) = SM ∧
PM(t) = j ∧
{ CM(t, j) … CM(t, j + |v| - 1)} = v ⇒
∃ v' ∃ j' ∃ t' ∃ t":
t < t" < t' ∧
{j' … j' +|v'|} ∩ {j … j + |v|} = ∅ ∧
{ CM(t', j') … CM(t', j' + |v'| - 1)} = v' ∧
PM(t") ∈ { j' … j' + |v'| - 1 }

где:

• t ∈ N число базовых операций «перемещения», осуществлённых машиной
• P_M ∈ N номер позиции на ленте машины в момент времени t
• S_M начальное состояние машины
• C_M(t, c) содержимое ячейки c в момент времени t

Данное определение было дано в контексте вирусного множества VS = (M, V) — пары, состоящей из машины Тьюринга M и множества последовательностей символов V: v, v’ ∈ V. Из данного определения следует, что понятие вируса неразрывно связано с его интерпретацией в заданном контексте, или окружении.

Фредом Коэном было показано, что «любая самовоспроизводящаяся последовательность символов: одноэлементный VS, согласно которой существует бесконечное количество VS, и не-VS, для которых существуют машины, по отношению к которым все последовательности символов является вирусом, и машин, для которых ни одна из последовательностей символов не является вирусом, даёт возможность понять, когда любая конечная последовательность символов является вирусом для какой-либо машины». Он также приводит доказательство того, что в общем виде вопрос о том, является ли данная пара (M, X) : X_i ∈ I_M вирусом, неразрешим (то есть не существует алгоритма, который мог бы достоверно определить все вирусы) теми же средствами, которыми доказывается неразрешимость проблемы остановки.

Другие исследователи доказали, что существуют такие типы вирусов (вирусы, содержащие копию программы, улавливающей вирусы), которые не могут быть безошибочно определены ни одним алгоритмом.

Вредоносные программы других типов

К сожалению, не только вирусы мешают нормальной работе
компьютера и его программному обеспечению. Принято выделять еще, по крайней
мере, три вида вредоносных программ. К ним относятся троянские программы,
логические бомбы и программы-черви. Четкого разделения на эти виды не
существует, троянские программы могут содержать вирусы, в вирусы могут быть
встроены логические бомбы и так далее.

Троянские программы

Известен греческий миф о том, как была завоевана
неприступная Троя. Греки оставили ночью у ворот Трои деревянного коня, внутри
которого притаились солдаты. Когда горожане, движимые любопытством, втащили
коня за стены города, солдаты вырвались наружу и завоевали город.

Троянские программы действуют подобным образом. Их основное
назначение совершенно безобидное или даже полезное. Но когда пользователь
запишет программу в свой компьютер и запустит ее, она может незаметно выполнять
другие, чаще всего, вредоносные функции.

Чаще всего троянские программы используются для
первоначального распространения вирусов, для получения удаленного доступа к
компьютеру через Интернет, для кражи данных или их уничтожения. После того как
троянская программа выполнит свою скрытую функцию, она может самоуничтожиться,
чтобы затруднить обнаружение причины нарушений в работе системы.

Логические бомбы

Логической бомбой называется программа или ее отдельные
модули, которые при определенных условиях выполняют вредоносные действия.
Логическая бомба может сработать по достижении определенной даты, когда в базе
данных появится или исчезнет запись и так далее. Условие, при котором
срабатывает логическая бомба, определяется ее создателем. Логическая бомба
может быть встроена в вирусы, троянские программы, и даже в обыкновенное
программное обеспечение.

Программы-черви

Программы-черви нацелены их авторами на выполнение
определенной функции. Они могут быть ориентированы, например, на проникновение
в систему и модификацию некоторых данных. Можно создать программу-червь,
подсматривающую пароль для доступа к банковской системе и изменяющую базу
данных таким образом, чтобы на счет программиста была переведена большая сумма
денег.

Широко известная программа-червь была написана студентом
Корнельского (Cornell) университета Робертом Моррисом (Robert Morris). Червь
был запущен в Интернет второго ноября 1988 года. За пять часов червь Морриса
смог проникнуть на более чем 6000 компьютеров, подключенных к этой сети.

Очень сложно узнать, является ли программа троянской и
заложена ли в нее логическая бомба. Программист имеет полную власть над своим
детищем. Изучение сомнительной программы или системы может занять очень много
времени и потребовать значительных финансовых затрат. Поэтому мы не рекомендуем
обмениваться программным обеспечением со своими знакомыми и приобретать
незаконные копии фирменного программного обеспечения. В любую из этих программ
могут быть встроены дополнительные вредоносные функции. Их активация может
привести к нарушению работы компьютерной системы.