Вирусы распространяемые через электронную почту называются

Компьютерные вирусы

Вирусы распространяемые через электронную почту называются

Термин «компьютерный вирус» впервые употребил сотрудник Лихайского университета (США) Фред Коэн в 1984 году.

Компьютерный вирус — одно из самых интересных явлений, которые можно наблюдать в результате развития компьютерной и информационной техники. Суть его сводится к тому, что программы приобретают свойства, присущие живым организмам: они рождаются, размножаются, умирают.

Главное условие существования вирусов — универсальная интерпретация информации в вычислительных системах. Вирус в процессе заражения программы может интерпретировать ее как данные, а в процессе выполнения — как исполняемый код. Этот принцип был положен в основу всех современных компьютерных систем, использующих архитектуру фон Неймана.

Компьютерный вирус — это небольшая, сложная, тщательно составленная и опасная программа, которая может самостоятельно размножаться, переноситься на диски и флэшки, прикрепляться к программам, передаваться сетью, нарушая работу компьютера.

 С понятием «компьютерный вирус» тесно связано такое понятие, как сигнатура. Сигнатура — это фрагмент кода, который можно найти во всех копиях вируса и только в них.

 Иными словами, сигнатура — это подпись вируса, которая однозначно определяет наличие или отсутствие его в программе.

Программа, в которой находится компьютерный вирус, называется зараженной.

Вирус (вирусная программа) обладает следующими свойствами:

  1. Возможность создавать свои копии и внедрять их в другие программные объекты.
  2. Обеспечение скрытности (латентность) до определенного момента ее существования и распространения.
  3. Несанкционированность (со стороны пользователя) производимых им действий.
  4. Наличие негативных последствий от ее функционирования.

Действия компьютерных вирусов могут проявляться по-разному:

  • портятся некоторые файлы;
  • программы перестают выполняться или выполняются неправильно;
  • на экран монитора выводятся непредвиденные сообщение или символы;
  • работа компьютера замедляется и т. д.

Некоторые вирусы при запуске никак себя внешне не проявляют и могут время от времени заражать другие программы и выполнять нежелательные действия на компьютере, к примеру отсылать конфиденциальную информацию злоумышленнику. Другие разновидности вирусов после заражения программ и дисков вызывают серьезные повреждения, например, форматируют жесткий диск и др., или угрожают это сделать, требуя перечислить деньги за разблокировку.

Зараженные программы с одного ПК могут быть перенесены с помощью флэш накопителей, дисков, локальной или глобальной сети на другие компьютеры.

Если не принимать меры для защиты от компьютерных вирусов, то последствия заражения компьютеров могут быть серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе и за внедрение вирусов.

Первичное заражение ПК вирусом возможно тогда, когда:

  • на компьютере выполнялась зараженная программа;
  • ОС загружалась с флэшки или диска, содержащего зараженный загрузочный сектор;
  • На компьютере установлена зараженная ОС или драйвер устройства;
  • через локальную и глобальную сеть и др.

Классификация вирусов

На сегодняшний день существует сотни тысяч вирусов.

Классификация вирусов осуществляется по следующим признакам:

  • средой обитания;
  • способом заражения;
  • действием;
  • особенностями алгоритма.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово — загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы проникают главным образом в исполняемые модули, есть в файлы, имеющие расширения EXE и т.д.

 Файловые вирусы могут проникать и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы проникают в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

 Файлово — загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентных.

 Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и проникает в них.

 Резидентные вирусы находятся в памяти и являются активными вплоть до отключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

  • безопасные, такие, которые не мешают работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках; действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
  • опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
  • очень опасные, действие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

 Простые вирусы — паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

 Можно отметить вирусы — репликаторы, называемые червями , которые распространяются по компьютерным сетям, находят адреса сетевых компьютеров и записывают по этим адресам свои копии.

Известны вирусы-невидимки , называемые стелс — вирусами , которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к зараженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

 Самое трудное, это выявить вирусы-мутанты , содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной цепочки байтов, которые повторяется.

 Есть и так называемые квазивирусные или «троянские»программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Способы защиты от вирусов

Одним из основных последствий деятельности вирусов является потеря или порча информации. Поэтому для обеспечения устойчивой и надежной работы необходимо (или, по крайней мере желательно) всегда иметь чистые, не зараженные (эталонные) копии используемой информации и программного обеспечения.

К общим средствам относятся:

  • резервное копирование информации (создание копий файлов и системных областей дисков);
  • разграничение доступа к информации (предотвращение несанкционированного использования информации).

К программным средствам относятся различные антивирусные программы, которые являются наиболее эффективными в борьбе с компьютерными вирусами.

 Однако не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса.

 Невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства — Фред Коэн.

Использование специальных антивирусных средств в большинстве случаев позволяет не только выявить вирусное вторжение, но и оперативно обезвредить обнаруженные вирусы и восстановить испорченную информацию.

Антивирусные программы — это утилиты, позволяющие выявить вирусы, вылечить, или ликвидировать зараженные файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов действия).

Существует очень много классификаций антивирусных программ. Рассмотрим одну из них.

Классификация антивирусных программ

Тип антивирусной программыПринцип действия
ДетекторыОбнаруживают файлы, зараженные одним из известных вирусов
Врачи (фаги)«Лечат» зараженные программы или диски, Извлекают из зараженных программ код вируса, то есть восстанавливают программу в том состоянии в котором она была до заражения вирусом
РевизорыСначала запоминают сведения о состоянии программ и системных областей дисков, а затем а затем сравнивают их состояние с исходным. При обнаружении несоответствия сообщают о нем.
ФильтрыЗагружаются резидентно в оперативной памяти, перехватывают те обращения к системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них. Можно разрешить или запретить выполнение данной операции.

Среди популярных и эффективных антивирусных программных систем можно выделить:

  • Антивирус Касперского — AntiViral Toolkit Pro (AVP) (http://www.avp.ru)
  • Avast (http://www.avast.ru)
  • DoctorWeb (http://www.drweb.ru)
  • NOD 32 http://www.esetnod32.ru;
  • Norton AntiVirus;
  • Symantec AntiVirus и др.

Более надежную защиту дают те антивирусные программы, версии которых постоянно обновляются.

Обезвреживание шпионских программ

Есть еще одна категория вредоносного программного обеспечения (ПО), которая известна гораздо меньше, чем вирусы (но отнюдь не менее опасна) в силу специфики своей работы — программы шпионажа за действиями пользователя. Такие программы (spyware), как правило, поставляются вместе с распространяемыми через Internet бесплатными программами или же автоматически устанавливаются на ПК во время веб — серфинга.

Spyware определяют как программное обеспечение, которое позволяет собирать сведения о пользователе или организации без их ведома. Adware (от advertising — реклама) — программный код, без ведома пользователя внесен в программного обеспечения с целью демонстрации рекламных объявлений.

По данным New Scientist, в мире 5,1% подсоединенных к Интернету компьютеров имеют на своем винчестере программный код, предназначенный для несанкционированного сбора конфиденциальной информации и (или) демонстрации непрошеной рекламы с помощью всплывающих ( «pop-up») окон браузера.

По данным, полученным специалистами Вашингтонского университета в ходе наблюдений за распространением лишь четырех программ — шпионов (Gator, Cydoor, SaveNow, eZula) на компьютерах студенческого городка, на 5,1% машин было установлено программное обеспечение для слежения за действиями пользователя, а 69% всех отделов и офисов университета имели по крайней мере один компьютер, на котором было установлено spyware.

Как минимум две из указанных программ — Gator и eZula — дают возможность злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер.

Программы, предназначенная для поиска и устранения шпионских модулей, сканируют оперативную память, файлы на жёстком диске и определяют в них программы — шпионы и запущенные вредоносные процессы. Сканируется также реестр операционной системы. Если в реестре обнаруживается запись, установленный вредоносной программой, то она удаляется.

 Предусмотрена возможность обновления анти шпионской базы через Internet.  Если обнаруживаются шпионские модули, то программа предлагает удалить их все или выборочно. Для предотвращения случайного удаления нужного файла или записи в реестре предусмотрена функция восстановления (для этого автоматически создаются backup — копии данных).

 Такую программу должен иметь каждый пользователь, который работает на компьютере.

Следя за событиями последних лет, можно с уверенностью утверждать, что spyware, наряду с компьютерными вирусами стало глобальным бедствием в сети. Так по данным компании EarthLink, 90% всех подключенных к Internet ПК заражены подобным ПО.

 Всего было в обнаружено 29500000 шпионских программ, в среднем по 28 на ПК.

 Вполне возможно, что в будущем граница между тремя составляющими (spyware, вирусами и спамом) темной стороны Internet сотрется полностью, и бороться с ними будет уже не ряд разнообразных утилит, а один унифицированный программный комплекс.

Важные выводы:

  • Антивирусная защита всегда будет актуальным.
  • Антивирусная защита должна быть продуманным, комплексным и систематическим.
  • Антивирусные базы нужно постоянно обновлять.
  • Вероятность заражения компьютерными вирусами уменьшается при одновременном использовании нескольких антивирусных программ.
  • Расходы на антивирусную защиту не бывают чрезмерными.

Источник: https://www.polnaja-jenciklopedija.ru/nauka-i-tehnika/kompyuternye-virusy.html

Примеры классификации – Компьютерные вирусы. Антивирусные программы

Вирусы распространяемые через электронную почту называются

Данный тип вирусов постоянно скрывается воперативной памяти. Отсюда он может контролировать и перехватывать всеоперации, выполняемые системой: повреждая файлы и программы, которые открываются,закрываются, копируются, переименовываются и т.д.

Резидентные вирусы можно отнести к файловым.Когда вирус становится резидентом памяти, то остается там до тех пор, покакомпьютер не выключится и не запуститься снова (ожидая определенных триггеров,необходимых для его активации, например заданную дату и время). В течение этоговремени он просто «сидит и ждет», если, разумеется, антивирус не обнаружит и необезвредит его.

Примеры: Randex , CMJ , Meve , MrKlunky .

Вирусы прямогодействия

цель этих вирусов – репликация ивыполнение задания, когда они активированы.

Когда выполняются заданные условия,вирусы начинают действовать и поражают файлы в директории или папке, в которойони находятся, и в директориях, определенных как AUTOEXEC.BAT file PATH.

Это командныйфайл всегда расположен в корневом каталоге жесткого диска и выполняетопределенные операции, когда компьютер загружается.

Файлы, пораженные данным типом вируса, могутбыть дезинфицированы и полностью восстановлены до своего первоначальногосостояния.

Перезаписывающиевирусы

Данный тип вирусов характеризуется тем, что стираетинформацию, содержащуюся в зараженных файлах,, делая их частично илиполностью непригодными для восстановления.

Зараженные файлы не изменяют свой размер дотех пор, пока вирус не начинает занимать больше места, чем исходный файл,потому что вместо того, чтобы скрываться внутри файла, вирус занимает егосодержимое.

Единственный способ избавиться от файла,зараженного перезаписывающим вирусом – это удалить полностью файл, таким образом,потерять его содержимое.

Примеры: Way , Trj.Reboot , Trivial.88.D .

Загрузочный вирус

Данный тип вирусов поражает загрузочный секторгибкого или жесткого диска. Это важная часть диска, где вместе с информациейхранится программа, которая делает возможной загрузку (старт) компьютера сданного диска.

Эти вирусы поражают не файлы, а скорее диски, которые их содержат.

Сначала они атакуют загрузочный сектор диска, затем, как только Вы запускаетекомпьютер, загрузочный вирус поразит жесткий диск компьютера.

Самый лучший способ предотвратить заражениезагрузочными вирусами – это проверять гибкие диски на защиту от записи иникогда не загружать компьютер с неизвестной дискетой в дисководе.

Некоторые примеры загрузочного вируса: Polyboot.B , AntiEXE .

Макро-вирус

Макро-вирусы поражают файлы, которые созданы с помощью определенных приложенийили программ, которые содержат макросы. К ним относятсядокументы Word (расширения DOC), электронные таблицы Excel (расширенияXLS), презентации PowerPoint (расширения PPS), базы данных Access (расширенияMDB), Corel Draw и т.д.

Макрос – это небольшая программа, которуюпользователь может связать с файлом, созданного с помощью определенныхприложений. Эти мини-программы делают возможной автоматическую серию операцийдля того, чтобы эти операции выполнялись как одно действие, таким образом, незаставляя пользователя выполнять их одно за другим.

При открытии документа, содержащего макросы,последние автоматически загружаются и могут быть выполнены немедленно или сразрешения пользователя. Затем начнет действовать вирус, выполняя свое задание,часто это происходит, несмотря на встроенную в программу вирусную защитумакросов.

Существует не просто один тип макро-вирусов, аодин для каждой утилиты:Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Access, CorelDraw, Lotus Ami Pro, и т.д.

Примеры макро-вирусов:Relax , Melissa.A , Bablas , O97M/Y2K .

Вирус каталога

ОС находит файлы, просматривая маршрут/путь(формирующих диск и каталог), где хранится каждый файл.

Вирусы каталога изменяют маршруты, которыеуказывают на местоположение файла. Привыполнении программы (файл с расширением .EXE или .COM), которая зараженавирусом, Вы, не зная этого, запускаете вирусную программу, в то время какисходный файл или программа уже были этим вирусом перемещены.

При таком заражении становится невозможноустановить местоположение исходных файлов.

Зашифрованные вирусы

Кодирование – это метод, используемый вирусамидля того, чтобы оставаться не замеченными для антивирусных программ.

Вирус кодирует себя или шифрует так, чтобы спрятаться от сканеров, прежде чемвыполнить свое задание он себя дешифрует. Как только вирус «выпустил своеоружие», он снова начинает скрываться.

Примеры кодирующихся вирусов: Elvira , Trile .

Полиморфные вирусы

Каждый раз, заражая систему, полиморфныевирусы шифруют или кодируют себя по-другому (используя различные алгоритмы иключи шифрования).

Это делает невозможным для антивирусовобнаружить их с помощью поисков по цепочке или сигнатуре (так как в каждомкодировании они разные), а также позволяет вирусам создавать огромное числособственных копий.

Примеры: Elkern , Marburg , Satan Bug , Tuareg .

Составной вирус

Эти усовершенствованные вирусы могут производить множественные заражения,использую при этом несколько методов. Их цель – это атака всехвозможных элементов: файлы, программы, макросы, диски и т.д.

Они считаются достаточно опасными вследствиеих способности сочетать различные методы заражения.

Примеры: Ywinz .

Файловые вирусы

Этот тип вирусов поражает программы илиисполняемые файлы (файлы с расширением .EXE или .COM). Когда одна из такихпрограмм запускается, прямо или опосредованно активируется вирус, начинаяпроизводить заданные разрушительные действия. Большинство существующих вирусовмодно отнести к данной категории, а также могут быть классифицированы взависимости от действий, которые они выполняют.

Вирусы-компаньоны

Вирусы-компаньоны могут быть также отнесеныкак к файловым вирусам, так и к резидентным или вирусам прямого действия.

Совеназвание они получили потому, что как только они попадают в систему, тоначинают «сопровождать» другие файлы, которые уже существуют.

Другими словами,для того чтобы выполнить свои разрушительные действия, вирусы-компаньоны могутждать в памяти до тех пор, пока нужная программа не запустится (резидентныйвирус), или действовать немедленно, копируя себя (вирусы прямого действия).

Примеры: Stator , Asimov.1539 , Terrax.1069

FAT-вирусы

Таблица размещения файлов или FAT – это частьдиска, используемая для соединения информации, а также необходимая часть длянормального функционирования компьютера.

Данный тип атаки может быть особенно опасным,так как возможно закрытие доступа к определенным секциям диска, гдехранятся важные файлы. Вызванные разрушения могут закончитьсяпотерей информации, начиная от отдельных файлов до целых каталогов.

Черви

Червь – это программа похожая на вирус, онспособен к самовоспроизведению и может привести к негативным последствиям дляВашей системы, но самое важное – их можно обнаружить и удалить с помощьюантивирусов. Однако червь, строго говоря, не вирус, так как для размножения ему не требуетсязаражать другие файлы.

Черви могут 

существовать, не повреждая файлов,но размножаются с огромной скоростью, перенасыщая сети и вызывая их разрушение.

Черви почти всегда распространяются черезэлектронную почту, сети или чат (такие как IRC или ICQ). Также они могутраспространяться внутри памяти компьютера.

Примеры червей: PSWBugbear.B , Lovgate.F , Trile.C , Sobig.D , Mapson .

Трояны или Троянскиекони

Другая неприятная разновидность вирусов этотрояны или троянские кони, которым в отличие от вирусов, не нужно размножаться,заражая при

 этом другие файлы, и они не самовоспроизводятся подобно червям.

Троян работает, как и свой мифологическийтезка, знаменитый деревянный конь, в котором греческие солдаты спрятались длятого, чтобы незаметно проникнуть в Трою.

Они кажутся безвредными программами,которые попадают в компьютер по любому каналу.

Когда программа выполнена (имдают привлекательное для запуска название или характеристики), на компьютеринсталлируются другие программы, которые могут быть вредоносными.

Трояны могут не проявлять себя первое время,но когда они начнут действовать, то могут просто уничтожить Вашу систему. Ониспособны удалять файлы, разрушать информацию на Вашем жестком диске иобнаруживать уязвимости Вашей системы безопасности. Это дает им полный доступ ксистеме и позволяет внешнему пользователю копировать и пересылать конфиденциальную информацию.

Примеры троянов: IRC.Sx2 , Trifor .

Логические бомбы

Они не считаются вирусами, так как неразмножаются. Их даже нельзя назвать программами, вернее всего будет отнести ихк замаскированным сегментам других программ.

Их цель – повредить данные на компьютере, как только выполняются определенные условия.Логические бомбы остаются незамеченными до тех пор, пока не запускаются, а ихпоследствия могут быть разрушительными.

Ложные вирусы

Эти сообщения часто путают с вирусами, но насамом деле они ими не являются. Важно знать разницу между настоящим и ложнымвирусом.

Розыгрыши не являются вирусами, это ложные сообщения, посылаемые по e-mail,предупреждающие пользователей о несуществующей опасности. Их цель-распространение слухов, вызывающих в свою очередь панику и тревогу средипользователей, которые получают такого рода информацию.

Иногда розыгрыши-предупреждения содержаттехнические термины для ввода в заблуждение пользователей. В некоторых случаяхв заголовках предупреждений упоминаются названия каких-либо пресс-агентств.

Таким образом, автор розыгрыша пытается заставить пользователей поверить, чтоони получили предупреждение о реальном вирусе.

Розыгрыши пытаются принудитьпользователя выполнить ряд действий, необходимых для защиты от вируса, которыеиногда могут приводить к негативным последствиям.

Поэтому пользователям рекомендуется не обращать внимание на эти ложныесообщения и удалять их сразупосле получения, не отсылая при этом никому.

Источник: https://www.sites.google.com/site/nikanorovapolina34/home/komputernye-virusy/primery-klassifikacii

Хакеры ошиблись, программисты проморгали. История вирусов, «укравших» $100 миллиардов – Технологии Onliner

Вирусы распространяемые через электронную почту называются

Весной на продажу выставили ноутбук Samsung NC10-14GB, выпущенный в 2008 году, с установленной на нем Windows XP SP3. Однако интерес вызывал не сам компьютер, а то, что у него внутри — шесть вирусов: ILOVEYOU, MyDoom, SoBig, WannaCry, DarkTequila и BlackEnergy, которые нанесли прямой и косвенный ущерб почти на $100 млрд.

Хотя и цена на устройство также заслуживает внимания: на сайте лота указана последняя ставка в $1,35 млн. Это с учетом того, что никакой ценности ни ноутбук, ни вредоносное программное обеспечение на нем не имеют.

  • ILOVEYOU
  • Sobig
  • Mydoom
  • BlackEnergy
  • DarkTequila
  • WannaCry

Ноутбук получил название The Persistence of Chaos, хотя лучше сравнить его с «Бубонной чумой», способной уничтожить мир. Даже с учетом того, что некоторые вирусы устарели, они нанесут ущерб, вырвавшись на свободу: в мире полно компьютеров под управлением откровенно древних версий операционной системы Microsoft (да и свежие могут пасть).

The Persistence of Chaos отрезан от интернета и локальной сети — «интернет-художник», выставивший компьютер на продажу, решил по возможности обезопасить внешний мир от этого ящика Пандоры. Покупатель же соглашался с тем, что не будет использовать это «оружие массового поражения», а лишь поставит его на полку и будет изучать в свое удовольствие.

ILOVEYOU

Весьма заметный ущерб из вирусов, что на ноутбуке, нанес ILOVEYOU, который начал свое черное дело в 2000 году, — $15 млрд, из которых $5,5 млрд пришлись на первую неделю активности. По другим данным, экономика потеряла до $8,7 млрд, стоимость «очистки» обошлась еще в $15 млрд.

ILOVEYOU начал свой путь с Филиппин, вирус рассылал свои копии по адресным книгам, поэтому единственный пользователь с обширной базой адресатов заражал огромное количество машин.

Предполагается, что авторы вируса, Онел Де Гузман и Реонэл Рамонес с Филиппин, которые якобы хотели проверить гипотезы дипломной работы, не ожидали случившейся бури. Позже молодых людей задержали (помог анализ кода оригинальной версии ILOVEYOU), но после расследования отпустили.

Вирус использовал уязвимость в операционной системе Windows и программе Outlook в частности, которая по умолчанию разрешала обработку скриптов.

Причиной эпидемии называют то, что разработчики из MS в то время не считали скриптовые языки угрозой, поэтому эффективной защиты от нее не предусмотрели.

Кроме того, авторы ILOVEYOU намеренно или по незнанию выпустили в мир не только инструмент для уничтожения — они предоставили конструктор, который можно изменять под свои нужды. Это привело к появлению десятков модификаций вредоноса.

Тем не менее стороннее ПО отлавливало ILOVEYOU. Как рассказал один из сисадминов того времени, придя утром на работу, он решил посмотреть, сколько вирусов попало в сети почтовых фильтров.

В напряженную ночь таких отлавливали до 50 штук, утром 4 мая 2000 года их было больше 100. «День становится все интереснее», — подумал тогда Пол Флетчер из Star Labs.

Действительно, через полчаса счетчик показал 450, к концу дня — 13 тыс.

Как следует из рассказов представителей компаний, которые занимались обеспечением информационной безопасности, вокруг творилась истерика, телефоны звонили безостановочно.

Распространению вируса способствовала социальная инженерия: модифицированные его версии поступали от имени друзей, предлагающих встретиться, письма якобы содержали информацию о том, как получить подарок, предлагали почитать анекдоты и так далее. Знакомая классика.

Все было так плохо, что некоторые крупные военные ведомства (тот же Пентагон) и компании были вынуждены полностью остановить почтовые сервисы. Позже источники называли разные цифры, отражающие количество зараженных компьютеров, — от сотен тысяч до десятков миллионов.

Что делал ILOVEYOU? Червь, получив доступ к системе после своего запуска (куда уж без участия пользователя), всего-то изменял и уничтожал файлы. А бэкапов тогда практически никто не делал.

Sobig

Вирус Sobig впервые заметили в 2002 году. Считается, что он заразил миллионы компьютеров по всему миру, действуя вначале под другим названием. По некоторым данным, экономический ущерб от его действий превысил $35 млрд, однако, как и в остальных случаях, подсчеты носят приблизительный и отчасти гипотетический характер.

Начали появляться новые версии, которые обозначались Sobig.A, Sobig.B и так далее. Наибольшее распространение получил Sobig.F. Это один из наиболее активных вирусов, который действует как червь и троян.

И вновь авторы вредоноса прибегли к социальной инженерии, завлекая пользователя заголовками писем «Re: Кино», «Re: Документы» и так далее, имитируя ответы на прошлые письма.

К слову, так же действуют и сегодня отправители спама и «плохого» ПО.

Ну а дальше дело за вложениями с двойными (например, .mpeg.pif) или обычными расширениями (просто .pif или .scr) — пользователь сам инфицировал систему.

На самом деле называть Sobig вирусом не совсем корректно: он не вредил системе напрямую. Вредонос загружал дополнительные файлы из сети, пинговал адрес 0@pagers.icq.com (предположительно, для подсчета зараженных компьютеров) и применялся для формирования спам-рассылок. Поэтому его называют одним из первых червей для организации спам-ботнетов. Или даже первым.

В то же время код Sobig был «кривым» и недописанным — поэтому Sobig.F, например, не мог распространяться в локальных сетях. Зато в нем начали применять спуфинг — грубо говоря, маскировку.

Microsoft пыталась бороться с вирусом, выпустив патч, позволяющий блокировать некоторые типы файлов, но .zip среди них не было, чем и воспользовались хакеры.

Потом софтверная корпорация предложила награду в четверть миллиона долларов за голову автора (не за голову, за имя, конечно), но его так и не нашли.

По одной из гипотез, автором червя является программист Руслан Ибрагимов, но он с этим не согласен.

Mydoom

Mydoom, который появился в 2004 году, побил рекорды ILOVEYOU и Sobig по скорости распространения. А также рекорд Sobig по нанесенному экономическому ущербу — якобы более $38 млрд.

По данным Symantec, в ней было реализовано два триггера. Один был ответственным за организацию DoS-атак начиная с 1 февраля 2004 года, второй останавливал распространение вируса 12 февраля того же года, но бэкдоры оставались активными. Правда, это касалось одной из версий, последующие имели более поздние сроки запуска и отключения. Так что никаких совестливых хакеров.

Его распространяли через файлообменник KaZaA и электронную почту (темы писем, как обычно, звучали «Привет!», «Ошибка», «Ошибка доставки», «Тест» и так далее — играли на любопытстве пользователей). Внутри были приложения с двойными расширениями: первое имитировало что-нибудь безобидное типа .txt или .doc, а вторым были .bat, .exe, .cmd и так далее — то есть исполняемые.

Вирус прописывался в системе, вносил изменения в реестр, «присасывался» к портам и мог загружать файлы извне. Действовал вредонос очень избирательно, грамотно подбирая серверы — получатели писем, избегая отправки на ряд «опасных» для него доменов (значились avp, .gov, *sopho*, *icrosof* и множество других) и адресов (abuse@, @postmaster и др.) — условий было очень много.

Основной целью вируса, вероятно, была организация DoS-атак, а также рассылка нежелательной почты. Побочным эффектом стало повсеместное снижение скорости доступа в интернет, рост объемов спама, ограничение доступа к некоторым ресурсам и блокировка работы антивирусного ПО.

BlackEnergy

Автором вируса BlackEnergy называют Cr4sh, который, поработав над проектом, продал исходники за $700 в 2007 году. Покупатель нашелся достаточно быстро и начал использовать червя для организации DDoS-атак.

Чем ближе к современности, тем меньше разнообразия: все реже появляются «случайные» вирусы, все чаще — обычные инструменты шантажа и получения денег.

Хотя BlackEnergy применяли и для спам-рассылок, фишинга да других темных делишек.

Спустя примерно три года появилась вторая версия, продвинутая во всех отношениях: с серьезным шифрованием, защитой, модульной архитектурой, системой обновлений, а еще позже — третья.

BlackEnergy превратился в комбайн для проведения DDoS-атак, кибершпионажа и уничтожения данных. Специалисты считали авторов этого программного обеспечения профессионалами своего дела — с квалификацией выше среднего по рынку.

Целями разработчиков BlackEnergy в какой-то момент стали энергетические и промышленные компании по всему миру (особенно досталось Украине), а также правительственный сектор и СМИ.

Впрочем, не все источники подтверждают «гиперактивность» BlackEnergy, подвергая сомнению использование этого ПО (BlackEnergy 3 и утилиты KillDisk, в частности) в некоторых громких инцидентах, связанных со сбоями в энергосистемах.

О том, как вредоносное ПО оказалось в наиболее уязвимых системах, есть только гипотезы. По словам одних, требовался прямой доступ к компьютерам, по словам других, заражение не слишком сложный процесс из-за откровенно устаревших программных и аппаратных механизмов защиты.

Сумма ущерба не уточняется. В том числе потому, что неопровержимых доказательств нет либо они скрыты от глаз простых смертных.

DarkTequila

DarkTequila — один, наверное, из наиболее забавных (или скорее необычных) вирусов из программ на этом странном ноутбуке.

Его использовали для атак на клиентов мексиканских финансовых учреждений с 2013 года, но ими не ограничивались.

Программа собирала данные для входа в личные кабинеты cPanel, Plesk, Amazon, площадки по бронированию авиабилетов, Microsoft Office 365, IBM Lotus Notes и так далее.

DarkTequila оставался незамеченным на протяжении пяти лет, так как действовал он аккуратно, с предварительной разведкой. Заражение компьютера проходило по банальной схеме: через фишинговый сайт или при подключении флешки, которые нередко становятся рассадником заразы.

Но перед тем, как осесть на новом месте, вредонос проверял, нет ли на компьютере антивирусного ПО, или не подключена ли машина к сети, в которой проводится удаленная проверка на заразу. Более того, если по каким-то параметрам компьютер был неинтересен распространителям вируса, DarkTequila тихонько удалялся.

Нашла «дырявого» пользователя? Время загружать набор основных плагинов. Среди них тот, который отслеживает состояние системы, чтобы в случае чего удалиться и не выдавать своего существования.

И модуль для копирования на флешку, чтобы заразить другие машины. Затем собственно кейлоггер и приложение для выуживания паролей из FTP-клиентов и браузеров.

Полученные данные на удаленный сервер DarkTequila заливает в зашифрованном виде, чтобы не допустить утечку персональных данных.

Специалисты указывают на высокую эффективность данного ПО, добавляя, что оно все еще в строю и продолжает работу, что делает DarkTequila особенно опасным.

Точных цифр ущерба нет, говорят о «миллионах долларов».

WannaCry

Завершает список компьютерных неприятностей WannaCry. В мае 2017 года СМИ по всему миру стали сообщать об атаке на Windows-пользователей вируса-вымогателя. Он не щадил никого: медицинские учреждения, военные, полиция, обычные пользователи. Наибольшее количество зараженных тогда пришлось на Россию, затем география расширилась.

WannaCry шифровал файлы, блокировал работу системы, а затем требовал выкуп за разблокировку — биткоинами в эквиваленте 300 долларов. На старте кампании хакеры пугали удвоением суммы при неоплате в течение трех дней и необратимым удалением данных еще несколько дней спустя. Правда, в случае получения выкупа расшифровать файлы присланным ключом не представлялось возможным.

Вирусная атака не была бы столь разрушительной, обнови пользователи свою ненаглядную Windows (патч вышел примерно за полтора месяца до эпидемии). Разве что владельцы XP бы страдали.

Мир был спасен благодаря молодому специалисту Маркусу Хатчинсу, который зарегистрировал домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, — WannaCry при запуске проверял, активен ли он, и, не найдя ресурс в сети, начинал шифровать пользовательские файлы. Наличие рабочего домена активировало встроенный рубильник, уничтожая вирус.

Позже функцию самоуничтожения пытались отключить, однако делал это, видимо, неквалифицированный хакер: WannaCry на время сломался. Постепенно появились эффективные инструменты, позволяющие повернуть процесс вспять, и атака WannaCry со временем сошла на нет.

Автор вируса-вымогателя заработал около $130 тыс. — точнее, именно столько на момент кампании поступило на криптокошельки мошенников. Косвенный ущерб оценить намного сложнее, поэтому разбежка в цифрах огромная: от нескольких сотен миллионов долларов до $4 млрд (сюда входит упущенная выгода и мероприятия по устранению последствий).

Споры вокруг WannaCry, авторство которого приписывают северокорейским программистам, не утихают. В частности, и потому, что американская АНБ знала о существующей уязвимости, но молчала, а также, вероятно, применяла ее в прошлом.

Маркус Хатчинс, кстати, получил срок за хакерскую деятельность и разработку компонента малвари Kronos (с WannaCry это никак не связано). Суд зачел время нахождения молодого человека под стражей, поэтому в тюрьму он не попал, отделавшись условным наказанием на год.

Помимо упомянутых вирусов, существовало немало других интересных экземпляров — CIH («Чернобыль»), Sasser, Petya, Morris, Melissa, Conficker и многие другие. За каждым стоит своя история.

Источники: BBC, Thehackernews, Fifthdomain, Securitylab, virus.wikidot.com, Kaspersky, Securelist (1, 2), The Persistence of Chaos, Wikipedia.

Источник: https://tech.onliner.by/2019/11/17/virus-41

Антивирусная грамотность

Вирусы распространяемые через электронную почту называются

Первые официальные сведения о возможности создания компьютерных вирусов сообщил сотрудник одного университета США в 1984 году на 7-й конференции по безопасности информации.

Алгоритмические вирусы существовали с самого начала существования алгоритмических моделей. Например, при появлении колеса со спицами первый злоумышленник, который “вставил палку в колёса” совершил первое вторжение в запрограммированный алгоритм движения этого колеса.

Компьютерная среда обитания влияет на сущность вирусной программы.

Виды вирусов по среде обитания

  • файловые вирусы – внедряются в выполняемые файлы, могут создавать файлы-двойники (компаньон-вирусы).
  • загрузочные вирусы – записывают себя в загрузочные сектора диска.
  • макро-вирусы – заражают файлы-документы, электронные таблицы путём записи себя в виде прилагаемых к файлу макро-команд.
  • сетевые-вирусы – распространяются через протоколы передачи данных, команды компьютерных сетей, электронную почту.

Многие компьютерные вирусы проходят стандартные стадии исполнения своего кода.

Стадии исполнения компьютерных вирусов

1. Загрузка вируса в память компьютера.

2. Поиск жертвы (объекта вредоносного воздействия).

3. Заражение найденной жертвы.

4. Выполнение деструктивных изменений.

5. Передача управления программе-носителю вируса.

Как и в биологическом мире, при заражении важно максимально быстро определить состояние инфицирования, найти вакцину и предотвратить возможные разрушительные последствия. Вот, почему важно обращать внимание на неестественное поведение компьютерного устройства при его работе. Диагностика состояния объекта по вирусной патологичной симптоматике актуально, как в живом, так и в неживом мире.

Эффективному распространению вирусной программы способствуют определённые условия.

Условия распространения вируса в компьютерной системе

  • технические средства передачи вируса – скоростная сеть, круглосуточный доступ к объекту, внешние интерфейсы связи.
  • популярность программного продукта – наиболее распространённое ПО чаще подвергается заражениям, так как имеет большую аудиторию пользователей.
  • общедоступность места внедрения вируса – корпоративный сервер быстрее доставит вирус по рабочим станциям, чем индивидуальный терминал.
  • низкая квалификация пользователей – несоблюдение правил безопасности при работе с компьютерным устройством, увеличивает вероятность инфицирования распространёнными способами.
  • количество компьютеров объединённых в одну сеть – программе-злоумышленнику эффективнее заражать большие корпоративные сети.
  • низкий уровень средств антивирусной защиты.

Для борьбы с вирусными программами используются антивирусные средства.

Типовые антивирусные средства

  • монитор – резидентная антивирусная программа, осуществляющая проверку всех используемых файлов в режиме реального времени.
  • ревизоры изменений (CRC-сканеры) – снимают контрольные суммы с возможных объектов заражения и сохраняют их в специальной базе данных для последующего отслеживания следов заражения.
  • эвристический анализатор – антивирусная программа может находить аналоги известных вирусов по определённым признакам указанным в коде.
  • поведенческий блокиратор – резидентная программа, перехватывающая различные события и блокирующая подозрительные действия.
  • иммунизаторы – резидентные программы, предотвращающие заражения файлов путем вакцинации от известных вирусов (создаёт имитацию заражения, предотвращающую проникновение вирусов).

Методы обнаружения компьютерных вирусов (КВ)

В 1998 году был утверждён ГОСТ Р 51188-98 который актуален и сегодня. В этом документе есть приложение под названием: “Пояснения о возможностях различных методов обнаружения и устранения компьютерных вирусов“. Процитирую часть этого ГОСТа:

А.1Сканирование является самым простым программным методом поиска КВ.

Антивирусные программы-сканеры могут гарантированно обнаружить только уже известные KB, которые были предварительно изучены и для которых была определена сигнатура.

Программам-сканерам не обязательно хранить в себе сигнатуры всех известных КВ. Они могут, например, хранить только контрольные суммы сигнатур. Антивирусные программы-сканеры, которые могут удалить обнаруженные KB, обычно называются полифагами.

Для эффективного использования антивирусных программ, реализующих метод сканирования, необходимо постоянно обновлять их, получая самые последние версии.

А.

2Метод обнаружения изменений основан на использовании антивирусных программ-ревизоров, которые запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов, а также информацию о структуре каталогов и номера плохих кластеров диска. Могут быть проверены и другие характеристики компьютера: объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Программы-ревизоры потенциально могут обнаружить любые KB, даже те, которые ранее не были известны. Однако следует учитывать, что не все изменения вызваны вторжением КВ.

Так, загрузочная запись может измениться при обновлении версии операционной системы, а некоторые программы записывают изменяемые данные внутри своего выполнимого файла. Командные файлы изменяются еще чаще; так, например, файл AUTOEXEC.

BAT обычно изменяется во время установки нового программного обеспечения.

Программы-ревизоры не помогут и в том случае, когда пользователь записывает в компьютер новый файл, зараженный КВ. При этом, если KB заразит другие программы, уже учтенные ревизором, он будет обнаружен.

Дополнительной возможностью программ-ревизоров является способность восстановить измененные (зараженные) файлы и загрузочные секторы на основании запомненной ранее информации.

Антивирусные программы-ревизоры нельзя использовать для обнаружения KB в файлах документов, так как эти файлы постоянно изменяются. Поэтому для контроля за данными файлами следует использовать программы-сканеры или эвристический анализ.

А.

3Эвристический анализ позволяет обнаруживать ранее неизвестные KB, причем для этого не надо предварительно собирать данные о файловой системе, как требует метод обнаружения изменений.

К основным недостаткам эвристического метода относятся следующие:

– принципиально не могут быть обнаружены все KB;

– возможно появление некоторого количества ложных сигналов об обнаружении KB в программах, использующих вирусоподобные технологии (например, антивирусы).

А.

4 Большинство резидентных сторожей позволяет автоматически проверять все запускаемые программы на заражение известными КВ. Такая проверка будет занимать некоторое время, и процесс загрузки программы замедлится, но зато пользователь будет уверен, что известные KB не смогут активизироваться на его компьютере.

Резидентные сторожа имеют очень много недостатков, которые делают этот класс программ малопригодным для использования. Многие программы, даже не содержащие KB, могут выполнять действия, на которые реагируют резидентные сторожа.

Например, обычная команда LABEL изменяет данные в загрузочном секторе и вызывает срабатывание сторожа. Поэтому работа пользователя будет постоянно прерываться раздражающими сообщениями антивируса.

Кроме того, пользователь должен будет каждый раз решать, вызвано ли это срабатывание компьютерным вирусом или нет. Как показывает практика, рано или поздно пользователь отключает резидентный сторож.

И, наконец, еще один недостаток резидентных сторожей заключается в том, что они должны быть постоянно загружены в оперативную память и, следовательно, уменьшают объем памяти, доступной другим программам.

А.

5 Основными недостатками метода вакцинирования являются возможность обхода такой защиты при использовании компьютерным вирусом так называемой “стелс-технологии”, а также необходимость изменения кода программ, из-за чего некоторые программы начинают работать некорректно или могут перестать работать.

А.

6Аппаратно-программные методы представляют собой один из самых надежных способов защиты ПС от заражения КВ. Благодаря тому, что контроллер такой защиты подключен к системной шине компьютера, он получает полный контроль над всеми обращениями к дисковой подсистеме компьютера. Программное обеспечение аппаратной защиты позволяет указать области файловой системы, которые нельзя изменять. Пользователь может защитить главную загрузочную запись, загрузочные секторы, выполнимые файлы, файлы конфигурации и т.д.

Если аппаратно-программный комплекс обнаружит, что какая-либо программа пытается нарушить установленную защиту, он может не только сообщить об этом пользователю, но и заблокировать дальнейшую работу компьютера.

Аппаратный уровень контроля за дисковой подсистемой компьютера не позволяет KB замаскировать себя. Как только KB проявит себя, он сразу будет обнаружен. При этом совершенно безразлично, как именно “работает” KB и какие средства он использует для доступа к дискам и дискетам.

Аппаратно-программные средства защиты позволяют не только защитить компьютер от KB, но также вовремя пресечь выполнение программ, нацеленных на разрушение файловой системы компьютера. Кроме того, аппаратно-программные средства позволяют защитить компьютер от неквалифицированного пользователя, не давая ему удалить важную информацию, переформатировать диск, изменить файлы конфигурации.

Недостатком аппаратно-программных методов является принципиальная возможность пропустить KB, если они не пытаются изменять защищенные файлы и системные области.”

Как видно из документа 1998 года методы и способы обнаружения вирусных программ не изменились. Меняются версии операционных систем, совершенствуются технологии передачи данных, а смысл проникновения вредоносных программ на компьютерное устройство пользователя остаётся тем же самым:

  • проникновение через защиту путём маскировки
  • проникновение с разрешения пользователя.

Будьте бдительны при использовании компьютерного пространства.

4 сентября 2018 года (редакция текста 27 декабря 2019 года).

автор: юрист Демешин Сергей Владимирович.

Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Источник: https://zen.yandex.ru/media/info_law_society/antivirusnaia-gramotnost-5b8ea6bfa2313f00ab0ab69e

Советы доктора
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: