I.) История возникновения и развития компьютерных вирусов.

II.) Классификация вирусов.

Известные программные вирусы условно можно классифицировать по следующим признакам:

¨ среде обитания

¨ способу заражения среды обитания

¨ деструктивным возможностям

¨ особенностям алгоритма вируса

1). В зависимости от среды обитания вирусы можно разделить на:

¨ сетевые

¨ файловые

¨ загрузочные

¨ файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Они могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

2). По способу заражения среды обитания вирусы делятся на:

¨ резидентные

¨ нерезидентные.

Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

3). По степени воздействия (деструктивные возможности) вирусы можно разделить на следующие виды:

¨ безвредные, практически не влияют на работу, уменьшают свободную память на диске в результате своего размножения

¨ неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

¨ опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

¨ очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

 

I.) История возникновения и развития компьютерных вирусов.

 

Считают, что идея создания компьютерных вирусов была придумана писателем-фантастом Т. Дж. Райн, который в одной из своих книг, опубликованной в США в 1977 г., описал эпидемию, за короткое время поразившую более 7000 компьютеров. Причиной эпидемии стал компьютерный вирус, который, передаваясь от одного компьютера к другому, внедрялся в их операционные системы и выводил их из-под контроля человека.

По-видимому, самым ранним примером могут служить первые прототипы будущих вирусов- программы-кролики. Не причиняя разрушений, они тем не менее были сконструированы так, что многократно копируя себя, захватывали большую часть ресурсов системы, отнимая процессорное время у других задач.

Затем, в конце 60-х годов была обнаружена саморазмножающаяся по сети ARPAnet программа, известная сегодня как Creeper(Вьюнок), которая будто бы была написана Бобом Томасом.

Вьюнок проявлял себя текстовым сообщением («я вьюнок… поймай меня, если сможешь») и экономно относился к ресурсам поражённой машины, не причиняя ей никакого вреда и разве что слегка беспокоя владельца. С появлением Вьюнка родились и первые системы защиты.

Ущерб, наносимый компьютерными вирусами, быстро возрастает, а их опасность для таких жизненно важных систем, как оборона, транспорт, связь, поставила проблему компьютерных вирусов в ряд тех, которые обычно находятся под пристальным вниманием органов государственной безопасности.

В Уголовном Кодексе России обозначена статья 273 за "Создание, использование и распространение вредоносных программ для ЭВМ", которая гласит:

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети а равно использование либо распространение таких программ или машинных носителей с такими программами – наказываются лишением свободы на срок до 3 лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

В США, вскоре после объявления в 1993 году Белым домом о подключении президента Билла Клинтона и вице-президента Альберта Гора к сети Internet, администрация поддержала идею проведения Национального дня борьбы с компьютерными вирусами. Такой день отмечается теперь ежегодно. Национальной ассоциацией по компьютерной защите США (NCSA) и компанией Dataquest опубликованы следующие данные по результатам исследований вирусной проблемы:

- 63% опрошенных пострадали от компьютерных вирусов;

- предполагаемые потери американского бизнеса от компьютерных вирусов в 1999 году составят около 3 млрд. долларов;

- идентифицировано более 23000 компьютерных вирусов;

- каждый месяц появляется более 50 новых вирусов;

- в среднем от каждой вирусной атаки страдает 142 персональных компьютера: на ее отражение в среднем уходит 2,4 дня;

- для компенсации ущерба в 114 случаев требовалось более 5 дней.

Начиная с конца 1990 г., появилась новая тенденция, получившая название "экспоненциальный вирусный взрыв". Количество новых вирусов, обнаруживаемых в месяц, стало исчисляться десятками, а в дальнейшем и сотнями. Поначалу эпицентром этого взрыва была Болгария, затем он переместился в Россию. После 1994 г. темп роста вирусов пошел на убыль, хотя их общее количество продолжает увеличиваться. Это связано с тем, что ОС MS D0S, которая и дает 99% существующих компьютерных вирусов, постепенно сдает свои лидирующие позиции как операционная система для персональных компьютеров, уступая их Windows, 0S\2, UNIX и т.п.

Кроме того, вирусы постоянно расширяют свою "среду обитания" и реализуют принципиально новые алгоритмы внедрения и поведения. Так, в 1995 году появились представители, опровергающие ключевые принципы антивирусной защиты – то, что компьютер, загруженный с заведомо чистой системной дискеты, не может содержать вирус; и то, что вирусы не заражают файлы с данными.

Первым появился вирус, который таким образом корректирует конфигурацию компьютера, что при попытке загрузки с дискеты он все равно загружается с зараженного жесткого диска, и вирус активизируется в системе.

Программа, внутри которой находится вирус, называется «заражённой». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия.

Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жёстком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half незаметно шифрует данные на жёстком диске. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-II разразилась в 1991 году.

Другой вирус, появившийся в середине августа 1995 г. в США и ряде стран Западной Европы, использует возможность представления информации в виде конгломерата данных и программ. Он заражает документы, подготовленные в системе MS Word for Windows – файлы типа.DOC. Так как такие файлы ежедневно десятками тысяч циркулируют в локальных и глобальных сетях, эта способность вируса обеспечила его мгновенное распространение по всему свету в течение нескольких дней и 25 августа он был обнаружен в Москве. Вирус написан на макроязыке пакета Word. Он переносит себя в область глобальных макросов, переопределяет макрос FileSaveAs и копирует себя в каждый файл, сохраняемый с помощью команды Save As. При этом он переводит файл из категории "документ" в категорию "шаблон", что делает, невозможным его дальнейшее редактирование. Обнаружить наличие этого вируса можно по появлению в файле winword6.ini строки ww6i=1.

Новым словом в вирусологии стал вирус под названием «Чернобыль» или WIN95.CIH. Данный вирус в отличие от своих собратьев в зависимости от модификации мог уничтожать MBR жесткого диска, таблицу размещения данных и не защищенную от перезаписи Flash-память. Волна эпидемии этого вируса прокатилась по всему миру. Громадный материальный ущерб был нанесен в Швеции. 26 апреля 1999 года пострадало большое количество пользователей и в России.

Наиболее известен вызвавший всемирную сенсацию и привлекший внимание к вирусной проблеме инцидент с вирусом-червем в глобальной сети Internet. Второго ноября 1988 года студент Корнелловского университета Роберт Моррис запустил на компьютере Массачусетского технологического института программу-червь, которая передавала свой код с машины на машину, используя ошибки в системе UNIX на компьютерах VAX и Sun. В течение 6 часов были поражены 6000 компьютеров, в том числе Станфордского университета, Массачусетского технологического института, университета Беркли и многих других. Кроме того, были поражены компьютеры Исследовательского института НАСА и Национальной лаборатории Лоуренса в Ливерморе – объекты, на которых проводятся самые секретные стратегические исследования и разработки. Червь представлял собой программу из 4000 строк на языке "С" и входном языке командного интерпретатора системы UNIX. Следует отметить, что вирус только распространялся по сети и не совершал каких-либо разрушающих действий. Однако это стало ясно только на этапе анализа его кода, а пока вирус распространялся, в вычислительных центрах царила настоящая паника. Тысячи компьютеров были остановлены, ущерб составил многие миллионы долларов.

Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия. Термин «компьютерный вирус» появился позднее- официально его автором считается сотрудник Лехайского университета (США) Ф.Коэн, который вёл егов 1984 году на 7-й конференции по безопасности информации.

Эксперты считают, что на сегодняшний день число существующих вирусов перевалило за 50 тысяч, причём ежедневно появляется от 6 до 9 новых. «Диких», т.е. реально циркулирующих, вирусов в настоящее время насчитывается около 260.

II.) Классификация вирусов.

Известные программные вирусы условно можно классифицировать по следующим признакам:

¨ среде обитания

¨ способу заражения среды обитания

¨ деструктивным возможностям

¨ особенностям алгоритма вируса

1). В зависимости от среды обитания вирусы можно разделить на:

¨ сетевые

¨ файловые

¨ загрузочные

¨ файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Они могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

2). По способу заражения среды обитания вирусы делятся на:

¨ резидентные

¨ нерезидентные.

Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

3). По степени воздействия (деструктивные возможности) вирусы можно разделить на следующие виды:

¨ безвредные, практически не влияют на работу, уменьшают свободную память на диске в результате своего размножения

¨ неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

¨ опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

¨ очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.