Компьютерные вирусы. Классификация, история

Компьютерный вирус ( англ. computer virus ) - компьютерная программа, которая обладает способностью к скрытому саморазмножению. Одновременно с созданием собственных копий вирусы могут наносить вред : уничтожать, повреждать, похищать данные, снижать или вовсе невозможным дальнейшую работоспособность операционной системы компьютера. Различают файловые, загрузочные и макро-вирусы. Возможны также комбинации этих типов. Сейчас известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Малопонимающие пользователи ПК ошибочно относят к компьютерным вирусам также другие виды вредоносных программ - программы-шпионы или даже спам.

За создание и распространение вредоносных программ (в том числе вирусов) во многих странах предусмотрена уголовная ответственность.

Происхождение термина компьютерный вирус

Название программы "компьютерный вирус" происходит от одноименного термина по биологии за ее способность к саморазмножению. Само понятие "компьютерного вируса" появилось в начале 1970-х и использовалось в программировании и литературе, в частности, в фантастическом рассказе «Человек в рубцах" Грегори Белфорд. Однако, автором термина считается Ф. Коэн, который в 1984-том году опубликовал одну из первых академических статей, посвященных вирусам, где и было использовано это название.

История компьютерных вирусов

История свидетельствует, что идею создания компьютерных вирусов очертил писатель-фантаст Т. Дж. Райн, который в одной из своих книг, написанной в США в 1977 г., описал эпидемию, за короткое время охватил около 7000 компьютеров. Причиной эпидемии стал компьютерный вирус, который передавался от одного компьютера к другому, пробирался в их операционные системы и выводил компьютеры из-под контроля человека.

В 70-х годах, когда вышла книга Т.Дж. Райна, описанные в ней факты казались фантастикой, и мало кто мог предвидеть, что уже в конце 80-х годов проблема компьютерных вирусов станет большой действительностью, хотя и не смертельной для человечества в единоборстве с компьютером, но такой, которая привела в некоторых социальных и материальных потерь. Во время исследований, проведенных одним из американских ассоциаций по борьбе с компьютерными вирусами, за семь месяцев 1988 г. компьютеры, принадлежащие фирмам-членам ассоциации, подвергались действия 300 массовых вирусных атак, которые уничтожили около 300 тыс. компьютерных систем, на воспроизведение которых было затрачено много времени и материальных затрат. В конце 1989 г. в прессе появилось сообщение о нахождении в Японии нового, чрезвычайно коварного и разрушительного вируса (его назвали червем), за короткое время он уничтожил данные на большом количестве машин, подключенных к коммуникационным линиям. Переползая от компьютера к компьютеру, через соединительные коммуникации, «червь» уничтожал содержимое памяти, не оставляя никаких надежд на восстановление данных.

В 1992 году появился первый конструктор вирусов для PC - VCL (для Amiga конструкторы существовали и раньше), а также готовы полиморфные модули (MtE, DAME и TPE) и модули шифрования для встраивания в новые вирусы. В несколько последующих лет было окончательно отточены стелс-и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а также опробованы самые необычные способы проникновения в систему и заражения файлов (Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993).Кроме того, появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994).

С распространением пакета Microsoft Office получили распространение макровирусы (Concept, 1995). В 1996 году появился первый вирус для Windows 95 - Win95.Boza, а в декабре того же года - первый резидентный вирус для нее - Win95.Punch. С распространением сетей и Интернета файловые вирусы все больше ориентируются на них как на основной канал работы (ShareFun, 1997 - макровирус MS Word, использующий MS-Mail для распространения, Win32.HLLP.DeTroie, 1998 - семейство вирусов-шпионов, Melissa, 1999 - макровирус и сетевой червь, который побил все рекорды по скорости распространения). Эру расцвета «троянских коней» открывает утилита скрытого удаленного администрирования BackOrifice (1998) и последовавшие за ней аналоги (NetBus, Phase). Вирус Win95.CIH достиг апогея в применении необычных методов, переписывая Flash Bios зараженных машин (эпидемия в июне 1998 считается самым разрушительным за предыдущие годы).

В конце 1990-x - начале 2000-x с усложнением ПО и системного окружения, массовым переходом на сравнительно защищены Windows семейства NT, утверждением сетей как основного канала связи, а также успехами антивирусных технологий в выявлении вирусов, построенных по сложным алгоритмам, последние стали все больше заменять внедрения в файлы на внедрение в операционную систему (необычный автозапуск, руткиты) и подменять полиморфизм огромным количеством видов (число известных вирусов растет экспоненциально).

Вместе с тем, выявление в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитом. В 2004 г. беспрецедентные по масштабам эпидемии вызывают MsBlast (более 16 млн систем по данным Microsoft [15]), Sasser и Mydoom (оценочные убытки 500 млн долл. и 4 млрд. соответственно). Кроме того, монолитные вирусы в значительной степени уступают место комплексам вредоносного ПО с разделением ролей и вспомогательными средствами (троянские программы, загрузчики / дроппер, фишинговые сайты, спам-боты и пауки).

Также расцветают социальные технологии - спам и фишинг - как средство заражения в обход механизмов защиты ПО. Сначала на основе троянских программ, а с развитием технологий p2p-сетей - и самостоятельно - набирает обороты современный вид вирусов - черви-ботнеты (Rustock, 2006, ок. 150 тыс. ботов; Conficker, 2008-2009, более 7 млн ??ботов ; Kraken, 2009, ок. 500 тыс. ботов).

Вирусы в составе другого вредоносного ПО окончательно оформляются как средство киберпреступности.

Общественный аспект вирусов

Для одних вирусы являются бизнесом. Причем не только для их авторов, но и для тех, кто с этими вирусами борется. Ибо процветание компаний, выпускающих антивирусные программы не является неожиданностью ни для кого. Для других - это хобби. Хобби - сбор вирусных коллекций и хобби - написание вирусов. Третьи - создают вирусы для проявления собственной дерзости и независимости, в некоторых кругах подобная деятельность просто необходима для поднятия своего престижа. Есть и такие, для кого вирусы это произведение искусства; встречаются же врачи по призванию, это значит, может быть и компьютерный врач по призванию. Для некоторых вирусы служат поводом пофилософствовать, на теме создания и развития компьютерной жизни. Для других вирусы - это тоже статья уголовного кодекса. Но для большинства пользователей компьютеров вирусы - это ежедневная головная боль и забота, причина сбоев в работе компьютера и враг номер один.

Классификация вирусов

Все вирусы можно разделить на группы:

1. Загрузочные вирусы - заражают загрузочные сектора жестких дисков (винчестеров) и дискет.
2. Файловые вирусы - заражают файлы. Эта группа в свою очередь подразделяется на вирусы, заражающие исполняемые файлы ( сом -, ехе -вирусы); файлы данных (макровирусы); вирусы - спутники, использующие имена других программ; вирусы семейства dir, использующие информацию о файловой структуре. Причем два последних типа совсем не модифицируют файлы на диске.
3. Загрузочно-файловые вирусы - способны поражать как код загрузочных секторов, так и код файлов. Вирусы делятся на резидентные и нерезидентные. Первые при получении управления, загружаются в память и могут действовать в отличие от нерезидентных не только во время работы зараженного файла.
4. Stealth-вирусы - фальсифицируют информацию, читая с диска так, что активная программа получает неверные данные. Вирус перехватывает вектор приостановлении INT 13h и поставляет считывающие программе другую информацию, которая показывает, что на диске «все в норме». Эта технология используется как в файловых, так и в загрузочных вирусах.
5. Ретровирусы - обычные файловые вирусы, которые заражают антивирусные программы, уничтожающие их или делают их неработоспособными. Поэтому практически все антивирусы, в первую очередь проверяют свой ??размер и контрольную сумму файлов.
6. Multipartition-вирусы - могут поражать одновременно exe, com, boot-сектор, mother boot record, FAT и директории. Если они к тому же обладают полиморфными свойствами и элементами невидимости, то становится понятно, что такие вирусы - одни из самых опасных.
7. Троянские программы ( англ. Trojans ) - проводят вредоносные действия вместо объявленных легальных функций или наряду с ними. Они не способны на самовоспроизведение и передаются только при копировании пользователем.