Первые прототипы компьютерных вирусов

История появления вирусов

Первые прототипы компьютерных вирусов

В 1951 году, Джон фон Нейман предложил модель «Самовоспроизводящихся» файлов. В 1957 году в американском журнале «Nature», Л.С Пенроуз и Р. Пенроуз (Нобелевский лауреат по физике) выпустили первую публикацию, посвященную созданию самовоспроизводящихся систем. В этой статье, наряду с примерами чисто механических конструкций, была приведена некая двумерная модель подобных структур, способных к активации, захвату и освобождению. По материалам этой статьи Ф. Ж. Шталь запрограммировал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При поедании некоторого числа символов существо размножалось, причём дочерние механизмы могли мутировать. Если кибернетическое существо двигалось определённое время без питания, оно погибало.В феврале 1980 года студент Дортмундского университета Юрген Краус подготовил дипломную работу по теме «Самовоспроизводящиеся программы», в которой помимо теории приводились так же и листинги строго самовоспроизводящихся программ (которые вирусами на самом деле не являются) для компьютера Siemens.

Первые вирусы(1980-1999)

ELKCLONER

В 1981 году Ричард Скрента написал один из первых загрузочных вирусов для ПЭВМ Apple II — ELKCLONER. Он обнаруживал своё присутствие сообщением, содержащим небольшое стихотворение:

ELKCLONER:

THE PROGRAM WITH PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES, IT’S CLONER

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM, TOO

SEND IN THE CLONER!

Перевод:

ЭЛК КЛОНЕР:

ОНА ПРОНИКНЕТ ВО ВСЕ ВАШИ ДИСКИ
ОНА ВНЕДРИТСЯ В ВАШИ ЧИПЫ
ДА, ЭТО — CLONER!

ОНА ПРИЛИПНЕТ К ВАМ КАК КЛЕЙ
ОНА ДАЖЕ ИЗМЕНИТ ОПЕРАТИВНУЮ ПАМЯТЬ
CLONER ВЫХОДИТ НА ОХОТУ.

 

Джо Деллинджер

Другие вирусы для Apple II были созданы студентом Техасского университета A&M Джо Деллинджером в 1981 году. Они были рассчитаны на операционную систему Apple DOS 3.3 для этой ПЭВМ. Вторая версия этого вируса «ускользнула» от автораи начала распространяться по университету. Ошибка в вирусе вызывала подавление графики популярной игры под названием CONGO, и в течение нескольких недель все («пиратские») копии этой игры перестали работать. Для исправления ситуации автор запустил новый, исправленный вирус, предназначенный для «замещения» предыдущей версии. Обнаружить вирус можно было по наличию в памяти счётчика заражений: «(GEN 0000000 TAMU)», по смещению $B6E8, или в конце нулевого сектора заражённого диска.

«Червь Морриса»

В конце 80-ых в мире существовало как минимум две крупные сети, объединявшие множество компьютеров — это ARPANET и NSFNet (из которой и вырос современный Интернет). И конечно же вирусописатели не могли себе отказать в соблазне заразить по сети сразу множество ПК.

Первый такой вирус был написан аспирантом Корнеллского университета Робертом Таппаном Моррисом и запущен в ARPANET 2 ноября 1988 года. После этого началось массовое заражение компьютеров в сети: ведь тогда понятия сетевой безопасности толком и не было, и большинство паролей совпадало с логинами. Если это не помогало — вирус начинал перебирать пароли по словарю из 400 слов — сейчас этого кажется мало, но тогда — вполне хватало.Плюс сам червь был достаточно «умным»: он удалял свой исполняемый файл после запуска, переименовывал свой процесс в sh (то есть маскировался под командную оболочку Unix), каждые три минуты ветвился, да еще и случайным образом при попадании на каждый новый ПК решал, перезаписывать ли существующую копию вируса или нет — это была своеобразная защита от подделки.Увы — как обычно бывает, Моррис допустил небольшую ошибку, которая привела к фатальным последствиям: вирус самокопировался слишком часто, многократно заражая ПК и тем самым замедляя или полностью парализуя их работу (а может, он так и хотел?) В итоге всего за несколько дней было инфицировано 6200 подключенных в сети компьютеров — около 10% от общего их числа. Страшно представить, чтобы сейчас случилось в мире, если бы каждый десятый подключенный к Интернету гаджет был заражен. И если общий ущерб был оценен тогда «всего» в 96.5 млн долларов, то сейчас это были бы заоблачные сотни миллиардов.

И хотя сам Моррис достаточно хорошо законспирировал код вируса, и скорее всего его бы не нашли, его отец, компьютерный эксперт Агентства национальной безопасности, решил, что Моррису все же лучше во всем сознаться. В итоге с учетом всех смягчающих обстоятельств отделался он можно сказать «легким испугом»: 3 года условно, штраф в 10000 долларов и 400 часов общественных работ.
Сам же червь дал толчок к развитию сетевой безопасности — появились требования по выбору пароля и его длины, и ужесточили администрирование сетевых узлов. Конечно, это помогло лишь отчасти, но хотя бы начало было положено.

Чернобыль или же CIH

Пожалуй, первую серьезную эпидемию, затронувшую множество ПК по всему миру, начал вирус, написанный студентом ЧэньИнхао, живущим в Тайване. Особенностью же вируса стало то, что он мог быть неактивным долгое время, а запуск был приурочен к 26 апреля — годовщине аварии на ЧАЭС, из-за чего вирус и приобрел свое второе название. Ну а первое название — CIH — это всего лишь инициалы Чэня.

Но изначально как таковой привязки к времени не было — еще в июне 1998 года автор опробовал свой вирус в собственном университете, за что чуть было из него не вылетел. Привязка ко времени была придумана позже, и вирус не стал бы таким массовым, если бы он не заразил несколько американских веб-серверов, распространявших компьютерные игры. Более чем полмиллиона человек качали с них себе на компьютеры игры, уже зараженные вирусом, и 26 апреля 1999 произошел «взрыв» — в одночасье была уничтожена информация на жестких дисках этих ПК, а также повреждены данные на микросхемах BIOS.

Сам вирус работал только на популярных в то время системах Windows — 95, 98 и ME (все дальнейшие ОС на ядре NT — то есть 2000, XP и выше — в безопасности), а принцип его действия был достаточно прост: вирус копировал свой код память, перехватывал запуск EXE-файлов и записывал в них свою копию. В зависимости от версии при этом могли повреждаться как программы на жестком диске, так и микросхемы BIOS. Примечательно, что решение последней проблемы было достаточно простым: так как BIOS в то время еще не припаивали к плате, то достаточно было просто найти «живую» материнскую плату и на загруженной системе поставить в нее микросхему с поврежденным BIOS и просто-напросто ее перепрошить.

Нанесенный ущерб варьировался от 20 до 80 млн долларов, если не учитывать около миллиона выведенных из строя ПК и терабайты потерянных данных. Причем самому Чэню ничего не было — в то время тайваньские законы не предусматривали наказаний за киберпреступления, так что он никогда не привлекался к уголовной ответственности за этот вирус, а в настоящее время работает в Gigabyte.

 

Вирусы нулевых(2000-2009)

ВирусILOVEYOU

Также был известен под названием Loveletter представлял своего рода класс червя. В мае 2000 года многие пользователи получили по электронной почте письмо с признанием в любви, к которому был прикреплен файл вирус. Радость признания в любви была не долгой как только пользователь открывал почту, вирус прочно заседал в почтовой программе и на жестком диске. Потом приступал к само распространению, отправляя себя по почте всем адресам из адресной книги. Целью его было похищение паролей и перезапись графических файлов. Он преподнес урок всем пользователям о значении вредоносных программ и использовании защиты в виде антивирусных программ. Им было инфицировано порядка 3 млн. компьютеров, ущерб составил 15 млрд. долларов США. Предположительное место рождения вируса это Филиппины.

 

 

ВирусCODERED

Этот червь, появился в 2001 году. Он прокрался через уязвимость в Internet Information Server компании Microsoft и стал распространяться от одного веб-сервера к другому. Цель червя заключалась в том, чтобы менять содержимое веб-страниц. Кроме того в направлении определенных IP адресов им была инициирована Ddos атака, которая сделала недоступными эти сервера. Самой известной жертвой стал сервер белого дома в США. Всего было инфицировано 400 тысяч серверов в течении одной недели. В общей сложности червем было затронуто порядка 1 млн. персональных компьютеров. Ущерб от действия червя составил 2,6 млрд. долларов США.

Вирус «SLAMMER»

Он появился в 2003 году, представляет собой червя. Имеетнескольконазваний: SQL Slammer, Saphire, WORM SQLP1434.A, SQL Hell, Helkern. Инфицировал около 200 тысяч компьютеров. Ущерб от действия вируса оценивается 1,2 млрд. долларов. Целью вируса стали серверы баз данных на которых был установлен Microsoft SQL Server 2000. Вирус отправлял непрерывный поток данных и тем самым существенно замедлял доступ к Интернету. Из за этого некоторые хосты совсем застопорились. Пострадал сервер одной из американских АЭС.

Вирус «SOBIG.F»

Смесь червя и трояна, появился в августе 2003 года. На его счету 2 миллиона инфицированных компьютеров и нанесенный ущерб 37 млрд. долларов США. В течении 24 часов сумел оправить около миллиона своих копий. Им были не только перегружены почтовые сервера но и упали целые системы. В Вашингтоне в течении некоторого времени были парализованы почтовые сервера и обмен данными. Многие компьютеры крупных фирм работали медленно. Компания Air Canada в результате заражения вирусом отменила некоторые рейсы. Microsoft объявила награду за поимку автора этого вируса в размере 250 тыс. долларов, но увы безрезультатно, автор этого вируса до сих пор не известен и не пойман.

Вирус «MYDOOM»

Период его существования январь-февраль 2004 года. Вирус распространялся через Bounce Message. Это уведомления «Non Delivery Notification», которые создает почтовый сервер в том случае если сообщение не возможно доставить. Как только пользователь открывал такое сообщение компьютер заражался. Затем он рассылал себя по всем контактам которые ему только удалось обнаружить на зараженном компьютере. MyDoom замедлял работу интернет в среднем на 10 процентов, время загрузки страниц увеличивалось до 50 процентов. Пик его активности пришелся на 26 января 2004 года. Инфицировано более 2 миллионов компьютеров, ущерб 38 млрд. долларов США. За поимку автора объявлена награда в четверть миллиона долларов США.

Вирусы 2010-х

Вирус «ZeusGameover»

Zeus впервые был обнаружен в 2011 году. Это приложение представляет собой разновидность вредоносного программного обеспечения, нацеленного на операционную систему Microsoft Windows. Два основных метода заражения – спам-сообщения и скрытые загрузки. Основная цель ZeusGameover – получить доступ к конфиденциальным реквизитам банковского счета жертвы и списать с него все средства. Вирус может обходить защиту централизованных серверных систем и сканировать личную информацию пользователя. Пользователи даже не могут отследить каналы, по которым уходят их украденные данные. Также в некоторых случаях Zeus может загрузить программу-вымогатель, шифрующую файлы и требующую денег в обмен на их разблокировку.

Это зловредное приложение, как и рассмотренный ранее вирус CryptoLocker, создал российский хакер Евгений Богачев, за поимку которого, в феврале 2015 года ФБР предложило рекордное вознаграждение в размере 3 миллионов долларов.

Вирус «Stuxnet»

Червь Stuxnet появился в сети в 2010 году и первоначально был нацелен на ядерные объекты Ирана. Вирус уничтожил более 1000 центрифуг на иранском предприятии по обогащению урана в Натанзе, филиала крупной компании FooladTechnic. Stuxnet распространяется через USB-накопители и компьютеры с ОС Windows. В основе троянской программы Stuxnet лежит поиск конкретной модели программируемого логического контроллера (ПЛК) производства Siemens. Это небольшие промышленные системы управления, выполняющие всевозможные автоматизированные процессы, например, на химических заводах, в производственных цехах, на нефтеперерабатывающих заводах, а также на атомных электростанциях. Эти ПЛК управляются компьютерами, и это основная цель червя Stuxnet. Сообщалось, что червь уже заразил более 50 000 компьютеров, а немецкая компания Siemens сообщила о 14 зараженных системах управления, которые находились в основном в Германии.

 

«Cryptolocker»

CryptoLockerRansomware был выпущен в сентябре 2013 года. Вирус распространялся посредством электронной почты. Стоило пользователю открыть письмо, как прикрепленная к нему программа автоматически запускалась и зашифровывала все файлы на ПК. Чтобы вернуть контроль над ситуацией, жертва должна была заплатить кругленькую сумму в биткоинах в обмен на возможность доступа ко всем документам. После уплаты денег пользователь должен был получить закрытый ключ для восстановления доступа к файлам. Однако люди не знали, что после заражения файлы теряются навсегда.

Классификация вирусов

По среде обитания

Сетевые

Вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию.

Файловые

компьютерный вирус, распространяющийся путем внедрения своего кода в тело исполняемых файлов. При каждом запуске такого заражённого файла сначала выполняется код вируса, и только потом — код самой программы.

Загрузочные

Компьютерные вирусы, записывающиеся в первый сектор гибкого или жесткого диска и выполняющийся при загрузке компьютера.

При включении или перезагрузки компьютера Boot-вирус заменяет собой загрузочный код, и таким образом получает управление ещё до непосредственного запуска операционной системы. Вместо операционной системы загружается вирус, размещая в памяти свое тело, которое хранит в неиспользованных секторах, идущих после MBR, но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус продолжает загрузку операционной системы. Размножается вирус записью в загрузочную область других накопителей компьютера.

Файлово-загрузочные

комбинация файлового и загрузочного вируса.Он прикрепляется к загрузочной записи диска или дискет, а также к программным файлам. Активизируется после загрузки компьютера с зараженного диска (дискеты) или при запуске зараженного файла.Они также способны распространяться через загрузочные записи дискет, заражая затем файлы.Этот факт двойственного поведения и отражен в названии данного типа вирусов.

По способу заражения

Резидентные

Устанавливается как часть операционной системы при выполнении, после чего остается в оперативной памяти с момента загрузки компьютера до момента его выключения.

Нерезидентные

Вирусы не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.

По степени воздействия

Неопасные

Вирусы, которые проявляют себя в выводе различных графических, звуковых эффектов и прочих безвредных действий

Опасные

Вирусы, которые могут привести к различным сбоям в работе компьютеров, а также их систем и сетей

Очень опасные

Вирусы, приводящие к потере, уничтожению информации, потере работоспособности программ и системы в целом

 

По особенностям алгоритмов

Паразитические

Файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы.

Репликаторы

Вирусы, основная задача которых как можно быстрее размножится по всем возможным местам хранения данных и коммуникациям. Зачастую сами не предпринимают никаких деструктивных действий, а являются транспортом для других видов вредоносного кода.

Невидимки

Файловые вирусы которые остаются невидимыми для антивирусных программ. При проверке системы вирус-невидимка пытается перехватить запросы и выдать сфальсифицированный ответ, сигнализирующий, что все в порядке. Вирусы-невидимки являются разновидностью резидентных вирусов.

 

Мутанты

Сложно обнаруживаемые вирусы вследствие применяемых алгоритмов шифрования и модификации. Все последующие версии вирусов обладают все более и более развитым функционалом.

Трояны

Это вредоносное программное обеспечение, которое маскирует свое истинное назначение. При этом, в отличие от вируса, троян не способен самостоятельно дублировать или заражать файлы. Чтобы проникнуть на устройство жертвы, данное вредоносное ПО использует другие средства, такие как скрытая загрузка, использование уязвимостей, загрузка через другой вредоносный код или методы социальной инженерии.

Макро-вирусы

Это разновидность компьютерных вирусов, разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.

Детекторы

Осуществляют поиск компьютерных вирусов в памяти и при обнаружении сообщают об этом пользователю.

Ревизоры

Выполняют значительно более сложные действия для обнаружения вирусов. Они запоминают исходное состояние программ, каталогов, системных областей и периодически сравнивают их с текущими значениями. При изменении контролируемых параметров ревизоры сообщают об этом пользователю.

Фильтры

Выполняют выявление подозрительных процедур, например, коррекция исполняемых программ, изменение загрузочных записей диска, изменение атрибутов или размеров файлов. При обнаружении подобных процедур фильтры запрашивают пользователя о правомерности их выполнения.

Доктора

Являются самым распространенным типом антивирусных программ. Эти программы не только обнаруживают, но и удаляют вирусный код из файла “лечат” программы. Доктора способны обнаружить и удалить только известные им вирусы, поэтому их необходимо периодически, обычно раз в месяц, обновлять.

Вакцины

Это антивирусные программы, которые так модифицируют файл или диск, что он воспринимается программой-вирусом уже зараженным и поэтому вирус не внедряется.

Межсетевые экраны

Комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.Межсетевой экран, как правило, обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.

IPsec

Набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном применяется для организации VPN-соединений.

Заключение

Данные знания о вредоносных ПО, их работе, и антивирусах, помогут защитить ПК от вирусных атак, и помогут защитить свои данные от передачи их третьим лицам.

Список использованной литературы

1. https://studfile.net/preview/2880350/page:20/

2. https://selectel.ru/blog/ips-and-ids/

3. https://it-black.ru/sposoby-zashchity-ot-kompyuternykh-virusov/

4. https://www.sites.google.com/site/gimnazia35/home/komputernye-virusy/kak-rabotaut-virusy/makrovirusy

5. https://www.sites.google.com/site/gimnazia35/home/komputernye-virusy/kak-rabotaut-virusy/nevidimki

6. https://www.sites.google.com/site/gimnazia35/home/komputernye-virusy/gde-zivu/zagruzocnye-virusy

7. https://dic.academic.ru/dic.nsf/ruwiki/1882789

8. https://studfile.net/preview/4339469/

 

История появления вирусов

Первые прототипы компьютерных вирусов

В 1951 году, Джон фон Нейман предложил модель «Самовоспроизводящихся» файлов. В 1957 году в американском журнале «Nature», Л.С Пенроуз и Р. Пенроуз (Нобелевский лауреат по физике) выпустили первую публикацию, посвященную созданию самовоспроизводящихся систем. В этой статье, наряду с примерами чисто механических конструкций, была приведена некая двумерная модель подобных структур, способных к активации, захвату и освобождению. По материалам этой статьи Ф. Ж. Шталь запрограммировал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При поедании некоторого числа символов существо размножалось, причём дочерние механизмы могли мутировать. Если кибернетическое существо двигалось определённое время без питания, оно погибало.В феврале 1980 года студент Дортмундского университета Юрген Краус подготовил дипломную работу по теме «Самовоспроизводящиеся программы», в которой помимо теории приводились так же и листинги строго самовоспроизводящихся программ (которые вирусами на самом деле не являются) для компьютера Siemens.

Первые вирусы(1980-1999)

ELKCLONER

В 1981 году Ричард Скрента написал один из первых загрузочных вирусов для ПЭВМ Apple II — ELKCLONER. Он обнаруживал своё присутствие сообщением, содержащим небольшое стихотворение:

ELKCLONER:

THE PROGRAM WITH PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES, IT’S CLONER

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM, TOO

SEND IN THE CLONER!

Перевод:

ЭЛК КЛОНЕР:

ОНА ПРОНИКНЕТ ВО ВСЕ ВАШИ ДИСКИ
ОНА ВНЕДРИТСЯ В ВАШИ ЧИПЫ
ДА, ЭТО — CLONER!

ОНА ПРИЛИПНЕТ К ВАМ КАК КЛЕЙ
ОНА ДАЖЕ ИЗМЕНИТ ОПЕРАТИВНУЮ ПАМЯТЬ
CLONER ВЫХОДИТ НА ОХОТУ.

 

Джо Деллинджер

Другие вирусы для Apple II были созданы студентом Техасского университета A&M Джо Деллинджером в 1981 году. Они были рассчитаны на операционную систему Apple DOS 3.3 для этой ПЭВМ. Вторая версия этого вируса «ускользнула» от автораи начала распространяться по университету. Ошибка в вирусе вызывала подавление графики популярной игры под названием CONGO, и в течение нескольких недель все («пиратские») копии этой игры перестали работать. Для исправления ситуации автор запустил новый, исправленный вирус, предназначенный для «замещения» предыдущей версии. Обнаружить вирус можно было по наличию в памяти счётчика заражений: «(GEN 0000000 TAMU)», по смещению $B6E8, или в конце нулевого сектора заражённого диска.

«Червь Морриса»

В конце 80-ых в мире существовало как минимум две крупные сети, объединявшие множество компьютеров — это ARPANET и NSFNet (из которой и вырос современный Интернет). И конечно же вирусописатели не могли себе отказать в соблазне заразить по сети сразу множество ПК.

Первый такой вирус был написан аспирантом Корнеллского университета Робертом Таппаном Моррисом и запущен в ARPANET 2 ноября 1988 года. После этого началось массовое заражение компьютеров в сети: ведь тогда понятия сетевой безопасности толком и не было, и большинство паролей совпадало с логинами. Если это не помогало — вирус начинал перебирать пароли по словарю из 400 слов — сейчас этого кажется мало, но тогда — вполне хватало.Плюс сам червь был достаточно «умным»: он удалял свой исполняемый файл после запуска, переименовывал свой процесс в sh (то есть маскировался под командную оболочку Unix), каждые три минуты ветвился, да еще и случайным образом при попадании на каждый новый ПК решал, перезаписывать ли существующую копию вируса или нет — это была своеобразная защита от подделки.Увы — как обычно бывает, Моррис допустил небольшую ошибку, которая привела к фатальным последствиям: вирус самокопировался слишком часто, многократно заражая ПК и тем самым замедляя или полностью парализуя их работу (а может, он так и хотел?) В итоге всего за несколько дней было инфицировано 6200 подключенных в сети компьютеров — около 10% от общего их числа. Страшно представить, чтобы сейчас случилось в мире, если бы каждый десятый подключенный к Интернету гаджет был заражен. И если общий ущерб был оценен тогда «всего» в 96.5 млн долларов, то сейчас это были бы заоблачные сотни миллиардов.

И хотя сам Моррис достаточно хорошо законспирировал код вируса, и скорее всего его бы не нашли, его отец, компьютерный эксперт Агентства национальной безопасности, решил, что Моррису все же лучше во всем сознаться. В итоге с учетом всех смягчающих обстоятельств отделался он можно сказать «легким испугом»: 3 года условно, штраф в 10000 долларов и 400 часов общественных работ.
Сам же червь дал толчок к развитию сетевой безопасности — появились требования по выбору пароля и его длины, и ужесточили администрирование сетевых узлов. Конечно, это помогло лишь отчасти, но хотя бы начало было положено.

Чернобыль или же CIH

Пожалуй, первую серьезную эпидемию, затронувшую множество ПК по всему миру, начал вирус, написанный студентом ЧэньИнхао, живущим в Тайване. Особенностью же вируса стало то, что он мог быть неактивным долгое время, а запуск был приурочен к 26 апреля — годовщине аварии на ЧАЭС, из-за чего вирус и приобрел свое второе название. Ну а первое название — CIH — это всего лишь инициалы Чэня.

Но изначально как таковой привязки к времени не было — еще в июне 1998 года автор опробовал свой вирус в собственном университете, за что чуть было из него не вылетел. Привязка ко времени была придумана позже, и вирус не стал бы таким массовым, если бы он не заразил несколько американских веб-серверов, распространявших компьютерные игры. Более чем полмиллиона человек качали с них себе на компьютеры игры, уже зараженные вирусом, и 26 апреля 1999 произошел «взрыв» — в одночасье была уничтожена информация на жестких дисках этих ПК, а также повреждены данные на микросхемах BIOS.

Сам вирус работал только на популярных в то время системах Windows — 95, 98 и ME (все дальнейшие ОС на ядре NT — то есть 2000, XP и выше — в безопасности), а принцип его действия был достаточно прост: вирус копировал свой код память, перехватывал запуск EXE-файлов и записывал в них свою копию. В зависимости от версии при этом могли повреждаться как программы на жестком диске, так и микросхемы BIOS. Примечательно, что решение последней проблемы было достаточно простым: так как BIOS в то время еще не припаивали к плате, то достаточно было просто найти «живую» материнскую плату и на загруженной системе поставить в нее микросхему с поврежденным BIOS и просто-напросто ее перепрошить.

Нанесенный ущерб варьировался от 20 до 80 млн долларов, если не учитывать около миллиона выведенных из строя ПК и терабайты потерянных данных. Причем самому Чэню ничего не было — в то время тайваньские законы не предусматривали наказаний за киберпреступления, так что он никогда не привлекался к уголовной ответственности за этот вирус, а в настоящее время работает в Gigabyte.

 

Вирусы нулевых(2000-2009)

ВирусILOVEYOU

Также был известен под названием Loveletter представлял своего рода класс червя. В мае 2000 года многие пользователи получили по электронной почте письмо с признанием в любви, к которому был прикреплен файл вирус. Радость признания в любви была не долгой как только пользователь открывал почту, вирус прочно заседал в почтовой программе и на жестком диске. Потом приступал к само распространению, отправляя себя по почте всем адресам из адресной книги. Целью его было похищение паролей и перезапись графических файлов. Он преподнес урок всем пользователям о значении вредоносных программ и использовании защиты в виде антивирусных программ. Им было инфицировано порядка 3 млн. компьютеров, ущерб составил 15 млрд. долларов США. Предположительное место рождения вируса это Филиппины.

 

 

ВирусCODERED

Этот червь, появился в 2001 году. Он прокрался через уязвимость в Internet Information Server компании Microsoft и стал распространяться от одного веб-сервера к другому. Цель червя заключалась в том, чтобы менять содержимое веб-страниц. Кроме того в направлении определенных IP адресов им была инициирована Ddos атака, которая сделала недоступными эти сервера. Самой известной жертвой стал сервер белого дома в США. Всего было инфицировано 400 тысяч серверов в течении одной недели. В общей сложности червем было затронуто порядка 1 млн. персональных компьютеров. Ущерб от действия червя составил 2,6 млрд. долларов США.

Вирус «SLAMMER»

Он появился в 2003 году, представляет собой червя. Имеетнескольконазваний: SQL Slammer, Saphire, WORM SQLP1434.A, SQL Hell, Helkern. Инфицировал около 200 тысяч компьютеров. Ущерб от действия вируса оценивается 1,2 млрд. долларов. Целью вируса стали серверы баз данных на которых был установлен Microsoft SQL Server 2000. Вирус отправлял непрерывный поток данных и тем самым существенно замедлял доступ к Интернету. Из за этого некоторые хосты совсем застопорились. Пострадал сервер одной из американских АЭС.

Вирус «SOBIG.F»

Смесь червя и трояна, появился в августе 2003 года. На его счету 2 миллиона инфицированных компьютеров и нанесенный ущерб 37 млрд. долларов США. В течении 24 часов сумел оправить около миллиона своих копий. Им были не только перегружены почтовые сервера но и упали целые системы. В Вашингтоне в течении некоторого времени были парализованы почтовые сервера и обмен данными. Многие компьютеры крупных фирм работали медленно. Компания Air Canada в результате заражения вирусом отменила некоторые рейсы. Microsoft объявила награду за поимку автора этого вируса в размере 250 тыс. долларов, но увы безрезультатно, автор этого вируса до сих пор не известен и не пойман.

Вирус «MYDOOM»

Период его существования январь-февраль 2004 года. Вирус распространялся через Bounce Message. Это уведомления «Non Delivery Notification», которые создает почтовый сервер в том случае если сообщение не возможно доставить. Как только пользователь открывал такое сообщение компьютер заражался. Затем он рассылал себя по всем контактам которые ему только удалось обнаружить на зараженном компьютере. MyDoom замедлял работу интернет в среднем на 10 процентов, время загрузки страниц увеличивалось до 50 процентов. Пик его активности пришелся на 26 января 2004 года. Инфицировано более 2 миллионов компьютеров, ущерб 38 млрд. долларов США. За поимку автора объявлена награда в четверть миллиона долларов США.

Вирусы 2010-х

Вирус «ZeusGameover»

Zeus впервые был обнаружен в 2011 году. Это приложение представляет собой разновидность вредоносного программного обеспечения, нацеленного на операционную систему Microsoft Windows. Два основных метода заражения – спам-сообщения и скрытые загрузки. Основная цель ZeusGameover – получить доступ к конфиденциальным реквизитам банковского счета жертвы и списать с него все средства. Вирус может обходить защиту централизованных серверных систем и сканировать личную информацию пользователя. Пользователи даже не могут отследить каналы, по которым уходят их украденные данные. Также в некоторых случаях Zeus может загрузить программу-вымогатель, шифрующую файлы и требующую денег в обмен на их разблокировку.

Это зловредное приложение, как и рассмотренный ранее вирус CryptoLocker, создал российский хакер Евгений Богачев, за поимку которого, в феврале 2015 года ФБР предложило рекордное вознаграждение в размере 3 миллионов долларов.

Вирус «Stuxnet»

Червь Stuxnet появился в сети в 2010 году и первоначально был нацелен на ядерные объекты Ирана. Вирус уничтожил более 1000 центрифуг на иранском предприятии по обогащению урана в Натанзе, филиала крупной компании FooladTechnic. Stuxnet распространяется через USB-накопители и компьютеры с ОС Windows. В основе троянской программы Stuxnet лежит поиск конкретной модели программируемого логического контроллера (ПЛК) производства Siemens. Это небольшие промышленные системы управления, выполняющие всевозможные автоматизированные процессы, например, на химических заводах, в производственных цехах, на нефтеперерабатывающих заводах, а также на атомных электростанциях. Эти ПЛК управляются компьютерами, и это основная цель червя Stuxnet. Сообщалось, что червь уже заразил более 50 000 компьютеров, а немецкая компания Siemens сообщила о 14 зараженных системах управления, которые находились в основном в Германии.

 

«Cryptolocker»

CryptoLockerRansomware был выпущен в сентябре 2013 года. Вирус распространялся посредством электронной почты. Стоило пользователю открыть письмо, как прикрепленная к нему программа автоматически запускалась и зашифровывала все файлы на ПК. Чтобы вернуть контроль над ситуацией, жертва должна была заплатить кругленькую сумму в биткоинах в обмен на возможность доступа ко всем документам. После уплаты денег пользователь должен был получить закрытый ключ для восстановления доступа к файлам. Однако люди не знали, что после заражения файлы теряются навсегда.

Классификация вирусов

По среде обитания

Сетевые

Вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию.

Файловые

компьютерный вирус, распространяющийся путем внедрения своего кода в тело исполняемых файлов. При каждом запуске такого заражённого файла сначала выполняется код вируса, и только потом — код самой программы.

Загрузочные

Компьютерные вирусы, записывающиеся в первый сектор гибкого или жесткого диска и выполняющийся при загрузке компьютера.

При включении или перезагрузки компьютера Boot-вирус заменяет собой загрузочный код, и таким образом получает управление ещё до непосредственного запуска операционной системы. Вместо операционной системы загружается вирус, размещая в памяти свое тело, которое хранит в неиспользованных секторах, идущих после MBR, но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус продолжает загрузку операционной системы. Размножается вирус записью в загрузочную область других накопителей компьютера.

Файлово-загрузочные

комбинация файлового и загрузочного вируса.Он прикрепляется к загрузочной записи диска или дискет, а также к программным файлам. Активизируется после загрузки компьютера с зараженного диска (дискеты) или при запуске зараженного файла.Они также способны распространяться через загрузочные записи дискет, заражая затем файлы.Этот факт двойственного поведения и отражен в названии данного типа вирусов.

По способу заражения

Резидентные

Устанавливается как часть операционной системы при выполнении, после чего остается в оперативной памяти с момента загрузки компьютера до момента его выключения.

Нерезидентные

Вирусы не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.

По степени воздействия

Неопасные

Вирусы, которые проявляют себя в выводе различных графических, звуковых эффектов и прочих безвредных действий

Опасные

Вирусы, которые могут привести к различным сбоям в работе компьютеров, а также их систем и сетей

Очень опасные

Вирусы, приводящие к потере, уничтожению информации, потере работоспособности программ и системы в целом

 

По особенностям алгоритмов

Паразитические

Файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа