Компьютерный вирус

Материал из wikixw
Перейти к навигации Перейти к поиску

Не путать с компьютерным червем или троянским конем (computing).

Компьютерный вирус - это тип компьютерной программы, которая при выполнении воспроизводит себя, изменяя другие компьютерные программы и вставляя свой собственный код. Когда эта репликация завершается успешно, пораженные области затем считаются "зараженными" компьютерным вирусом.

Компьютерные вирусы ежегодно наносят экономический ущерб на миллиарды долларов.

В 1989 году подразделение индустрии программного обеспечения ADAPSO опубликовало книгу "Борьба с электронным вандализмом", в которой они следовали за риском потери данных "дополнительным риском потери доверия клиентов."

В ответ на это были разработаны бесплатные антивирусные инструменты с открытым исходным кодом, и возникла индустрия антивирусного программного обеспечения, продающая или свободно распространяющая защиту от вирусов пользователям различных операционных систем.]

Обзор[править]

Вирусописатели используют обманы социальной инженерии и используют детальное знание уязвимостей безопасности для первоначального заражения систем и распространения вируса. Подавляющее большинство вирусов целевых системах под управлением ОС Microsoft, применяет различные механизмы для заражения новых хозяев, и часто используя комплекс анти-обнаружения/стелс-стратегии, чтобы уйти от антивирусных программ. мотивы для создания вирусов может включать в поисках прибыли (например, с вымогателей), желание послать политический сигнал, личное развлечение, продемонстрировать, что уязвимость существует в программном обеспечении , для саботажа и отказа в обслуживании, или просто потому, что они хотят исследовать вопросы кибербезопасности, искусственной жизни и эволюционных алгоритмов.]

Ущерб возникает из-за сбоя системы, повреждения данных, потери компьютерных ресурсов, увеличения расходов на техническое обслуживание или кражи личной информации. Несмотря на то, что ни одно антивирусное программное обеспечение не может обнаружить все компьютерные вирусы (особенно новые), исследователи компьютерной безопасности активно ищут новые способы, позволяющие антивирусным решениям более эффективно обнаруживать появляющиеся вирусы, прежде чем они получат широкое распространение.

Другие вредоносные программы[править]

Основная статья: Вредоносное ПО

Термин "вирус" также используется для обозначения других типов вредоносных программ. "Вредоносное ПО" включает в себя компьютерные вирусы наряду со многими другими формами вредоносного программного обеспечения, такими как компьютерные "черви", программы-вымогатели, шпионскиепрограммы , рекламноеПО , троянские кони, кейлоггеры, руткиты, буткиты, вредоносные вспомогательные объекты браузера (BHOs) и другие вредоносные программы. Большинство активных вредоносных угроз - это троянские программы или компьютерные черви, а не компьютерные вирусы. Термин "компьютерный вирус", введенный Фредом Коэном в 1985 году, является неправильным.] Вирусы часто выполнять некоторые виды вредной активности на зараженных компьютерах, таких как приобретение дискового пространства или центральный процессор (ЦП) время доступа и кражи конфиденциальной информации (например, кредитной карты цифры, дебетовой карты, цифры, номера телефонов, имена, адреса электронной почты, пароли, банковские данные, адреса, дома и т. д.), повреждения данных, проявив политическую, юмористическую или угрожающих сообщений на экран пользователя, спама электронной почты, ведение журнала их нажатия клавиш или даже сделать компьютер бесполезным. Однако не все вирусы несут разрушительную "полезную нагрузку" и пытаются спрятаться—определяющей характеристикой вирусов является то, что они являются самовоспроизводящимися компьютерными программами, которые модифицируют другие программы без согласия пользователя, вводя себя в указанные программы, подобно биологическому вирусу, который реплицируется в живых клетках.

Историческое развитие[править]

Смотрите также: История антивирусного программногообеспечения, История программ-вымогателейи История вредоносных программ

Дополнительная информация: Хронология известных компьютерных вирусов и червей

Ранняя академическая работа по самовоспроизводящимся программам[править]

Дополнительная информация: Исследование вредоносных программ

Первая научная работа по теории самовоспроизводящихся компьютерных программ была сделана в 1949 году Джоном фон Нейманом, который читал лекции в Университете Иллинойса о "теории и организации сложных автоматов". Работа фон Неймана была позже опубликована как"теория самовоспроизводящихся автоматов". В своем эссе фон Нейман описал, как компьютерная программа может быть сконструирована для самовоспроизводства. дизайн фон Неймана для самовоспроизводящейся компьютерной программы считается первым в мире компьютерным вирусом, и он считается теоретическим "отцом" компьютерной вирусологии. в 1972 году Вейт Рисак, непосредственно опираясь на работу фон Неймана по саморепликации, опубликовал свою статью "Selbstreproduzierende Automaten mit minimaler Informationsübertragung" (самовоспроизводящиеся автоматы с минимальным обменом информацией). В статье описывается полнофункциональный вирус, написанный на ассемблерном языке программирования для компьютерной системы SIEMENS 4004/35. В 1980 году Юрген Краус написал свою дипломную диссертацию "Selbstreproduktion bei Programmmen" (самовоспроизведение программ) в университете Дортмунда.] В своей работе Краус постулировал, что компьютерные программы могут вести себя подобно биологическим вирусам.

Научная фантастика[править]

Первое известное описание самовоспроизводящейся программы в художественной литературе содержится в рассказе 1970 года "человек со шрамом" Грегори Бенфорда, в котором описывается компьютерная программа под названием вирус, которая при установке на компьютер с телефонным модемом возможность набора номера случайным образом набирает телефонные номера до тех пор, пока не натыкается на модем, на который отвечает другой компьютер, а затем пытается запрограммировать автоответчик с помощью своей собственной программы, так что второй компьютер также начнет набирать случайные номера в поисках еще одного компьютера для программирования. Эта программа быстро распространяется экспоненциально через восприимчивые компьютеры, и противостоять ей может только вторая программа, называемая вакциной.]

Эта идея была исследована далее в двух романах 1972 года , когда Харли был одним из них Дэвида Герролда и терминальным человеком Майкла Крайтона, и стала главной темой романа 1975 года "всадник ударной волны" Джона Бруннера.]

В 1973 году научно-фантастический фильм Майкла Крайтона Westworld сделал раннее упоминание концепции компьютерного вируса, будучи центральной сюжетной темой, которая заставляет андроидов сходить с ума.[29] персонаж Алана Оппенгеймерарезюмирует проблему, заявляя, что "...здесь есть четкая закономерность, которая предполагает аналогию с процессом инфекционного заболевания, распространяющимся от одного...на что даны ответы: "Возможно, есть поверхностное сходство с болезнью" и "должен признаться, мне трудно поверить в болезнь машин".]

Первые примеры[править]

В Лианы вирус был впервые обнаружен в сети ARPANET, предшественница интернета, в начале 1970-х годов. Крипер был экспериментальный самовоспроизводящаяся программа написана Бобом Томасом в ББН технологий в 1971 году.[32] лианы использовали ARPANET заразить декабря прп-10 компьютеров под управлением АО "Техснабэкспорт" операционной системы. Крипер получил доступ через сеть ARPANet и скопировал себе в удаленную систему, где сообщение: "я крипер, Поймай меня, если сможешь!" был показан. Программа Reaper была создана для удаления Creeper.

В 1982 году программа под названием "Elk Cloner"стала первым персональным компьютерным вирусом, появившимся"в дикой природе" —то есть за пределами отдельного компьютера или лаборатории, где он был создан. написанная в 1981 году Ричардом Скрента, девятиклассником средней школы Маунт-Лебанон близ Питтсбурга, она прикреплялась к операционной системе Apple DOS 3.3 и распространялась через дискету. при ее 50-летнем использовании вирус Elk Cloner активировался, заражая персональный компьютер и показывая короткое стихотворение, начинающееся "Elk Cloner: Программа с личностью."

В 1984 году Фред Коэн из Университета Южной Калифорнии написал свою работу" компьютерные вирусы – теория и эксперименты ". В 1987 году Фред Коэн опубликовал демонстрацию того, что нет алгоритма, который мог бы идеально обнаружить все возможные вирусы. теоретический вирус сжатия Фреда Коэна был примером вируса, который не был вредоносным программным обеспечением (malware), но был мнимо благожелателен (благонамерен). Однако антивирусные специалисты не принимают концепцию "доброжелательных вирусов", так как любая желаемая функция может быть реализована без привлечения вируса (автоматическое сжатие, например, доступно под Windows по выбору пользователя). Любой вирус по определению будет вносить несанкционированные изменения в компьютер, что нежелательно, даже если никакого ущерба не было сделано или намеренно. На первой странице вирусной энциклопедии доктора Соломонаподробно объясняется нежелательность вирусов , даже тех, которые только и делают, что размножаются.

Статья, описывающая "полезные функции вирусов", была опубликована J. B. Gunn под названием "использование вирусных функций для обеспечения виртуального интерпретатора APL под контролем пользователя" в 1984 году. Первым вирусом IBM PC в "дикой природе" был вирус загрузочного сектора, получивший название (c)Brain, созданный в 1986 году Амджадом Фаруком Альви и Баситом Фаруком Альви в Лахоре , Пакистан, как сообщается, для предотвращения несанкционированного копирования написанного ими программного обеспечения. Первый вирус , специально нацеленный на Microsoft Windows, WinVir был обнаружен в апреле 1992 года, через два года после выпуска Windows 3.0.] Вирус не содержал никаких вызовов Windows API, вместо этого полагаясь на DOS-прерывания. Несколько лет спустя, в феврале 1996 года, австралийские хакеры из команды разработчиков вирусов Влад создали вирус Bizatch (также известный как" Boza " virus), который был первым известным вирусом, нацеленным на Windows 95. В конце 1997 года был выпущен зашифрованный, резидентный в памяти стелс-вирус Win32.Cabanas-первый известный вирус, нацеленный на Windows NT (он также был способен заражать хосты Windows 3.0 и Windows 9x).

Вирусы поражали даже домашние компьютеры. Первым, кто появился на Commodore Amiga, был вирус загрузочного сектора под названием SCA virus, который был обнаружен в ноябре 1987 года.]

Операции и функции[править]

Детали[править]

Жизнеспособный компьютерный вирус должен содержать процедуру поиска, которая находит новые файлы или новые диски, которые являются достойными целями для заражения. Во-вторых, каждый компьютерный вирус должен содержать процедуру для копирования себя в программу, которую находит программа поиска. Три основные части вируса::

  • Механизм заражения (также называемый "вектор инфекции"): это то, как вирус распространяется или размножается. Вирус обычно имеет процедуру поиска, которая находит новые файлы или новые диски для заражения.
  • Триггер: также известен как логическая бомба, это скомпилированная версия , которая может быть активирована в любое время в исполняемый файл , когда вирус запускается, что определяет событие или условие для вредоносных "полезная нагрузка" должна быть активирована или доставлено[48] , такие как конкретную дату, конкретное время, конкретное наличие другой программы, емкость диска превышает какой-то предел, или дважды щелкните значок , который открывает определенный файл.
  • Полезная нагрузка: "полезная нагрузка" - это фактическое тело или данные, которые выполняют вредоносную цель вируса. Активность полезной нагрузки может быть заметной (например, потому, что она заставляет систему замедляться или "замерзать"), так как большую часть времени сама "полезная нагрузка" является вредной активностью, а иногда и неразрушающей, но распределяющей, что называется вирусной мистификацией.]

Фазы[править]

Вирусные фазы - это жизненный цикл компьютерного вируса, описываемый с помощью аналогии с биологией. Этот жизненный цикл можно разделить на четыре фазы:

  • Спящая фаза: вирусная программа бездействует на этой стадии. Вирусной программе удалось получить доступ к компьютеру или программному обеспечению целевого пользователя, но на этом этапе вирус не предпринимает никаких действий. Вирус в конечном итоге будет активирован "триггером", который указывает, какое событие будет выполнять вирус. Не все вирусы имеют эту стадию.[47]
  • Фаза размножения: вирус начинает размножаться, который размножается и размножается сам. Вирус помещает свою копию в другие программы или в определенные системные области на диске. Копия может не совпадать с распространяемой версией; вирусы часто "трансформируются" или изменяются, чтобы избежать обнаружения ИТ-специалистами и антивирусным программным обеспечением. Каждая зараженная программа теперь будет содержать клон вируса, который сам войдет в фазу распространения.
  • Фаза запуска: спящий вирус переходит в эту фазу, когда он активирован, и теперь будет выполнять функцию, для которой он был предназначен. Инициирующая фаза может быть вызвана различными системными событиями, включая подсчет количества раз, когда эта копия вируса сделала копии самой себя. Триггер может возникнуть, когда работник прекращает свою трудовую деятельность или по истечении определенного периода времени, чтобы уменьшить подозрения.
  • Фаза выполнения: это фактическая работа вируса, где будет выпущена" полезная нагрузка". Он может быть разрушительным, например, удаление файлов на диске, сбой системы или повреждение файлов или относительно безвредным, например, появление юмористических или политических сообщений на экране.

Цели заражения и методы репликации[править]

Компьютерные вирусы заражают множество различных подсистем на своих хост-компьютерах и программном обеспечении.Один из способов классификации вирусов заключается в анализе того, находятся ли они в двоичных исполняемых файлах (таких как файлы .EXE или .COM), файлах данных (таких как документы Microsoft Word или PDF-файлы) или в загрузочном секторе жесткого диска хоста (или в некоторой комбинации всех этих файлов).

Резидентные и нерезидентные вирусы[править]

Вирус-резидент памяти (или просто "резидентный вирус") устанавливается как часть операционной системы при запуске, после чего остается в оперативной памяти с момента загрузки компьютера до момента его выключения. Резидентные вирусы перезаписывают код обработки прерываний или другие функции, и когда операционная система пытается получить доступ к целевому файлу или сектору диска, вирусный код перехватывает запрос и перенаправляет поток управления в модуль репликации, заражая цель. В отличие от этого, вирус, не являющийся резидентом памяти (или "нерезидентный вирус"), когда выполняется, сканирует диск на предмет целей, заражает их, а затем завершает работу (т. е. он не остается в памяти после завершения выполнения).

Макровирусы[править]

Многие распространенные приложения, такие как Microsoft Outlook и Microsoft Word, позволяют внедрять макропрограммы в документы или электронные письма, так что программы могут запускаться автоматически при открытии документа. Макровирус (или "вирус документа") - это вирус, который написан на макроязыке и встроен в эти документы таким образом, что когда пользователи открывают файл, код вируса выполняется и может заразить компьютер пользователя. Это одна из причин, по которой опасно открывать неожиданные или подозрительные вложения в электронных письмах. Хотя отказ от вскрытия вложений в электронные письма от неизвестных лиц или организаций может помочь снизить вероятность заражения вирусом, в некоторых случаях вирус сконструирован таким образом, что электронное письмо кажется от авторитетной организации (например, крупного банка или компании кредитных карт).

Вирусы загрузочного сектора[править]

Вирусы загрузочного сектора специально нацелены на загрузочный сектор и / или главную загрузочную запись (MBR) жесткого диска хоста, твердотельного накопителяили съемных носителей информации (флэш-накопители, дискетыи т. д.).

Наиболее распространенным способом передачи компьютерных вирусов в загрузочном секторе является физический носитель. При чтении VBR диска зараженная дискета или USB-флешка, подключенная к компьютеру, будет передавать данные, а затем изменять или заменять существующий загрузочный код. В следующий раз, когда пользователь попытается запустить рабочий стол, вирус немедленно загрузится и запустится как часть главной загрузочной записи.

Вирус электронного сектора[править]

Вирусы электронной почты-это вирусы, которые намеренно, а не случайно используют систему электронной почты для распространения. Хотя зараженные вирусом файлы могут быть случайно отправлены в виде вложений электроннойпочты, почтовые вирусы осведомлены о функциях системы электронной почты. Они обычно нацелены на определенный тип системы электронной почты (Microsoft Outlook является наиболее часто используемым), собирают адреса электронной почты из различных источников и могут добавлять свои копии ко всем отправленным сообщениям электронной почты или могут генерировать сообщения электронной почты, содержащие свои копии в качестве вложений.

Методы скрытности[править]

Чтобы избежать обнаружения пользователями, некоторые вирусы используют различные виды обмана. Некоторые старые вирусы, особенно на платформе DOS, удостоверяются, что дата" последнего изменения " хост-файла остается той же, когда файл заражен вирусом. Однако этот подход не обманывает антивирусные программы, особенно те, которые поддерживают и датируют циклические проверки избыточности при изменении файлов. некоторые вирусы могут заражать файлы, не увеличивая их размеров и не повреждая файлы. Они достигают этого путем перезаписи неиспользуемых областей исполняемых файлов. Они называются полостными вирусами. Например, вирус CIH, или Чернобыльский вирус, заражает портативные исполняемые файлы. Поскольку эти файлы имеют много пустых пробелов, вирус, который был 1 КБ в длину, не добавил к размеру файла. некоторые вирусы пытаются избежать обнаружения, убивая задачи, связанные с антивирусным программным обеспечением, прежде чем оно сможет их обнаружить (например, Conficker). В 2010-х годах, когда компьютеры и операционные системы становятся все больше и сложнее, старые методы сокрытия должны быть обновлены или заменены. Защита компьютера от вирусов может потребовать, чтобы файловая система перешла к детальному и явному разрешению для каждого вида доступа к файлам.[цитата необходима]

Перехваты запросов чтения[править]

В то время как некоторые виды антивирусных программ используют различные методы для противодействия скрытым механизмам, как только происходит заражение, любое обращение к "чистке" системы ненадежно. В операционных системах Microsoft Windows файловая система NTFS является собственностью компании. Это оставляет антивирусному программному обеспечению небольшую альтернативу, но отправить запрос "чтение" к файлам Windows, которые обрабатывают такие запросы. Некоторые вирусы обманывают антивирусное программное обеспечение, перехватывая его запросы к операционной системе. Вирус может скрываться, перехватывая запрос на чтение зараженного файла, обрабатывая сам запрос и возвращая неинфицированную версию файла антивирусному программному обеспечению. Перехват может произойти путем введения кода фактических файлов операционной системы, которые будут обрабатывать запрос на чтение. Таким образом, антивирусное программное обеспечение, пытающееся обнаружить вирус, либо не будет разрешено читать зараженный файл, либо запрос "чтение" будет подан с незараженной версией того же файла.

Единственный надежный способ избежать" невидимых "вирусов - это "перезагрузка" с носителя, который, как известно,"чист". Затем программное обеспечение безопасности может быть использовано для проверки бездействующих файлов операционной системы. Большинство программ безопасности полагаются на сигнатуры вирусов или используют эвристику. программное обеспечение безопасности также может использовать базу данных файловых "хэшей" для файлов ОС Windows, поэтому программное обеспечение безопасности может идентифицировать измененные файлы и запросить установочные носители Windows, чтобы заменить их подлинными версиями. В более старых версиях Windows файловые криптографические хэш-функции файлы ОС Windows, хранящиеся в Windows—для проверки целостности/подлинности файлов-могут быть перезаписаны так, чтобы средство проверки системных файлов сообщало, что измененные системные файлы являются подлинными, поэтому использование хэшей файлов для сканирования измененных файлов не всегда гарантирует обнаружение инфекции.

Самомодификация[править]

См. также: Самоизменяющийся код

Большинство современных антивирусных программ пытаются найти вирусные паттерны внутри обычных программ, сканируя их на наличие так называемых вирусных сигнатур. к сожалению, этот термин вводит в заблуждение, поскольку вирусы не обладают уникальными сигнатурами так, как это делают люди. Такая вирусная "сигнатура" - это просто последовательность байтов, которую ищет антивирусная программа, потому что она, как известно, является частью вируса. Лучшим термином было бы "поисковые строкиРазличные антивирусные программы будут использовать различные строки поиска, и действительно различные методы поиска, при идентификации вирусов. Если антивирусный сканер находит такой шаблон в файле, он выполняет другие проверки, чтобы убедиться, что он нашел вирус, а не просто случайную последовательность в невинном файле, прежде чем уведомить Пользователя о том, что файл заражен. Затем пользователь может удалить или (в некоторых случаях) "очистить" или "залечить" зараженный файл. Некоторые вирусы используют методы, которые делают обнаружение с помощью сигнатур трудным, но, вероятно, не невозможным. Эти вирусы изменяют свой код при каждой инфекции. То есть каждый зараженный файл содержит свой вариант вируса.[цитата необходима]

Зашифрованные вирусы[править]

Один из методов уклонения от обнаружения сигнатур заключается в использовании простого шифрования для шифрования (кодирования) тела вируса, оставляя только модуль шифрования и статический криптографический ключ в открытом тексте, который не меняется от одной инфекции к другой.] В этом случае вирус состоит из небольшого дешифрующего модуля и зашифрованной копии кода вируса. Если вирус зашифрован с помощью другого ключа для каждого зараженного файла, единственная часть вируса, которая остается постоянной, - это модуль дешифрования, который (например) будет добавлен в конец. В этом случае антивирусный сканер не может непосредственно обнаружить вирус с помощью сигнатур, но он все еще может обнаружить модуль дешифрования, который все еще делает возможным косвенное обнаружение вируса. Поскольку это будут симметричные ключи, хранящиеся на зараженном хосте, полностью возможно расшифровать окончательный вирус, но это, вероятно, не требуется, поскольку самоизменяющийся код является такой редкостью, что обнаружение некоторых из них может быть достаточной причиной для вирусных сканеров, чтобы по крайней мере "пометить" файл как подозрительный. старый, но компактный способ будет заключаться в использовании арифметических операций, таких как сложение или вычитание, и использовании логических условий, таких как XORing, где каждый байт в вирусе имеет константу, так что операция exclusive-or должна была быть повторена только для расшифровки. Подозрительно, что код изменяет сам себя, поэтому код для шифрования/дешифрования может быть частью подписи во многих определениях вирусов. более простой старый подход не использовал ключ, где шифрование состояло только из операций без параметров, таких как инкрементирование и декрементирование, побитовое вращение, арифметическое отрицание и логическое нет.] Некоторые вирусы, называемые полиморфными вирусами, используют средство шифрования внутри исполняемого файла, в котором вирус шифруется при определенных событиях, таких как отключение антивирусного сканера для обновления или перезагрузка компьютера . это называется криптовирологией. В указанное время исполняемый файл расшифрует вирус и выполнит его скрытые среды выполнения, заражая компьютер и иногда отключая антивирусное программное обеспечение.[цитата необходима]

Полиморфный код[править]

Полиморфный код был первым методом, который представлял серьезную угрозу для вирусных сканеров. Как и обычные зашифрованные вирусы, полиморфный вирус заражает файлы своей зашифрованной копией, которая расшифровывается модулем дешифрования. Однако в случае полиморфных вирусов этот модуль расшифровки также модифицируется при каждой инфекции. Поэтому хорошо написанный полиморфный вирус не имеет частей, которые остаются идентичными между инфекциями, что делает его очень трудным для обнаружения непосредственно с помощью "сигнатур". антивирусное программное обеспечение может обнаружить его, расшифровав вирусы с помощью эмулятораили с помощью статистический анализ структуры зашифрованного вирусного тела. Чтобы включить полиморфный код, вирус должен иметь полиморфный двигатель (также называемый "мутирующим двигателем" или "мутационным двигателем") где-то в своем зашифрованном теле. См. полиморфный код для получения технических подробностей о том, как работают такие двигатели.

Некоторые вирусы используют полиморфный код таким образом, что значительно ограничивает скорость мутации вируса. Например, вирус может быть запрограммирован на незначительную мутацию с течением времени, или он может быть запрограммирован на то, чтобы воздерживаться от мутации, когда он заражает файл на компьютере, который уже содержит копии вируса. Преимущество использования такого медленного полиморфного кода состоит в том, что он затрудняет специалистам по антивирусам и исследователям получение репрезентативных образцов вируса, поскольку файлы "приманки", зараженные в одном запуске, обычно содержат идентичные или аналогичные образцы вируса. Это повысит вероятность того, что обнаружение вирусным сканером будет ненадежным, и что некоторые экземпляры вируса могут быть в состоянии избежать обнаружения.

Метаморфический код[править]

Чтобы избежать обнаружения эмуляцией, некоторые вирусы полностью переписывают себя каждый раз, когда они заражают новые исполняемые файлы. Вирусы, использующие этот метод, как говорят, находятся в метаморфическом коде. Для обеспечения метаморфизма необходим "метаморфический двигатель". Метаморфический вирус обычно очень большой и сложный. Например, W32 / Simile состоял из более чем 14 000 строк кода ассемблера, 90% из которых является частью метаморфического движка.

Уязвимости и векторы инфекции[править]

Программные ошибки[править]

Поскольку программное обеспечение часто разрабатывается с функциями безопасности для предотвращения несанкционированного использования системных ресурсов, многие вирусы должны использовать и манипулировать ошибками безопасности, которые являются дефектами безопасности в системном или прикладном программном обеспечении, чтобы распространять себя и заражать другие компьютеры. Стратегии разработки программного обеспечения, которые производят большое количество "ошибок", как правило, также создают потенциальные эксплуатируемые "дыры" или "входы" для вируса.

Социальная инженерия и плохая практика обеспечения безопасности[править]

Чтобы реплицироваться, вирусу необходимо разрешить выполнять код и записывать его в память. По этой причине многие вирусы прикрепляются к исполняемым файлам, которые могут быть частью законных программ (см. инъекцию кода). Если пользователь попытается запустить зараженную программу, код вируса может быть выполнен одновременно.[80] в операционных системах, использующих расширения файлов чтобы определить ассоциации программ (например, Microsoft Windows), расширения могут быть скрыты от пользователя по умолчанию. Это позволяет создать файл, который имеет другой тип, чем он кажется пользователю. Например, исполняемый файл может быть создан и назван "picture.png.exe", в котором пользователь видит только "picture. png" и поэтому предполагает, что этот файл является цифровым изображением и, скорее всего, безопасен, но при открытии он запускает исполняемый файл на клиентской машине.[81] вирусы могут быть установлены на съемных носителях, таких как флэш-накопители Диски могут быть оставлены на парковке правительственного здания или другой цели, в надежде, что любопытные пользователи вставят диск в компьютер. В эксперименте 2015 года исследователи из Мичиганского университета обнаружили, что 45-98 процентов пользователей подключили бы флэш-накопитель неизвестного происхождения.

Уязвимость различных операционных систем[править]

Подавляющее большинство вирусов нацелено на системы под управлением Microsoft Windows. Это связано с большой долей рынка Microsoft среди пользователей настольных компьютеров. Разнообразие программных систем в сети ограничивает разрушительный потенциал вирусов и вредоносных программ. операционные системы с открытым исходным кодом, такие как Linux, позволяют пользователям выбирать из различных сред рабочего стола это означает, что вредоносный код, нацеленный на любую из этих систем, будет воздействовать только на подмножество всех пользователей. Многие пользователи Windows используют один и тот же набор приложений, что позволяет вирусам быстро распространяться среди систем Microsoft Windows, нацеливая одни и те же эксплойты на большое количество хостов.

В то время как Linux и Unix в целом всегда изначально препятствовали обычным пользователям вносить изменения в среду операционной системы без разрешения, пользователи Windows, как правило, не препятствовали этим изменениям, а это означает, что вирусы могут легко получить контроль над всей системой на узлах Windows. Это различие сохранилось отчасти из-за широкого использования учетных записей администратора в современных версиях, таких как Windows XP. В 1997 году исследователи создали и выпустили вирус для Linux, известный как "Bliss" Bliss, однако, требует, чтобы пользователь запускал его явно, и он может заражать только те программы, которые пользователь имеет доступ к изменению. В отличие от пользователей Windows, большинство пользователей Unix не входят в систему в качестве администратора или "корневого пользователя", за исключением установки или настройки программного обеспечения; в результате , даже если пользователь запустил вирус, он не может повредить их операционной системе. Вирус блаженства так и не получил широкого распространения и остается главным образом исследовательским курьезом. Его создатель позже опубликовал исходный код в Usenet, что позволило исследователям увидеть, как он работает.

Контрмеры[править]

См. также: Вредоносные программы § уязвимость к вредоноснымпрограммам, Защита от вредоносныхпрограмм и безопасность браузера § Закалка браузера

Антивирусное программное обеспечение[править]

Скриншот антивирусного программного обеспечения ClamWin с открытым исходным кодом, работающего в Wine на Ubuntu Linux

Многие пользователи устанавливают антивирусное программное обеспечение, которое может обнаруживать и устранять известные вирусы , когда компьютер пытается загрузить или запустить исполняемый файл (который может распространяться в виде вложения электронной почты или, например, на USB-накопителях). Некоторые антивирусные программы блокируют известные вредоносные веб-сайты, которые пытаются установить вредоносное ПО. Антивирусное программное обеспечение не изменяет основную способность хостов передавать вирусы. Пользователи должны регулярно обновлять свое программное обеспечение для исправления уязвимостей безопасности ("дыр"). Антивирусное программное обеспечение также нуждается в регулярном обновлении для распознавания последних угроз Это происходит потому, что злонамеренные хакеры и другие люди всегда создают новые вирусы. Немецкий Институт AV-TEST публикует оценки антивирусного программного обеспечения для Windows и Android.

Примеры для Windows анти-вирус и анти-вредоносного программного обеспечения относятся опционные Microsoft Основы безопасности (для Windows XP, в Vista и Windows 7) для защиты в реальном времени, в Средство удаления вредоносных программ Windows (теперь в комплекте с электроприводом (безопасности) обновления на "патч вторник", второй вторник каждого месяца), и Защитник Windows (необязательный скачать в случае с Windows ХР). кроме того, несколько способных антивирусных программ доступны для свободного скачивания из интернета (Как правило, ограничено для некоммерческого использования). Некоторые такие бесплатные программы почти так же хороши, как коммерческие конкуренты. общие уязвимости безопасности назначаются CVE IDs и перечислены в Национальной базе данных уязвимостейСША . Secunia PSI-это пример бесплатного для личного использования программного обеспечения, которое проверяет компьютер на наличие уязвимого устаревшего программного обеспечения и пытается обновить его. Предупреждения о мошенничестве с вымогательством и фишингом появляются в виде пресс-релизов на доске объявлений Центра жалоб на преступления в Интернете. Вымогатели-это вирус, который размещает сообщение на экране пользователя о том, что экран или система останутся заблокированными или непригодными для использования до получения выкупа оплата произведена. Фишинг - это обман, при котором злоумышленник притворяется другом, экспертом по компьютерной безопасности или другим доброжелательным человеком с целью убедить целевое лицо раскрыть пароли или другую личную информацию.

Другие часто используемые профилактические меры включают своевременное обновление операционной системы, обновление программного обеспечения, тщательный просмотр Интернета (избегая теневых веб-сайтов) и установку только надежного программного обеспечения. некоторые браузеры помечают сайты, которые были сообщены Google и которые были подтверждены как хостинг вредоносных программ Google.

Существует два распространенных метода, которые антивирусное программное обеспечение использует для обнаружения вирусов, как описано в статье антивирусное программное обеспечение. Первый и, безусловно, самый распространенный метод обнаружения вирусов - это использование списка определений сигнатур вирусов. Это работает путем изучения содержимого памяти компьютера (его оперативной памяти (ОЗУ) и загрузочных секторов) и файлов, хранящихся на фиксированных или съемных дисках (жестких дисках, дискетах или флэш-накопителях USB), и сравнения этих файлов с базой данных из известных вирусных "сигнатур". Сигнатуры вирусов - это просто строки кода, которые используются для идентификации отдельных вирусов; для каждого вируса антивирусный дизайнер пытается выбрать уникальную строку подписи, которая не будет найдена в законной программе. Различные антивирусные программы используют различные "сигнатуры" для идентификации вирусов. Недостатком этого метода обнаружения является то, что пользователи защищены только от вирусов, обнаруженных сигнатурами в их последнем обновлении определения вирусов, и не защищены от новых вирусов (см. "атака нулевого дня").]

Второй метод поиска вирусов заключается в использовании эвристического алгоритма, основанного на типичном поведении вирусов. Этот метод позволяет обнаруживать новые вирусы, для которых антивирусные фирмы еще не определили "сигнатуру", но он также приводит к большему количеству ложных срабатываний, чем использование сигнатур. Ложные срабатывания могут быть разрушительными, особенно в коммерческой среде, потому что это может привести к тому, что компания проинструктирует персонал не использовать компьютерную систему компании, пока ИТ-службы не проверят систему на наличие вирусов. Это может замедлить производительность труда обычных работников.

Стратегии и методы восстановления[править]

Можно уменьшить ущерб, наносимый вирусами, делая регулярные резервные копии данных (и операционных систем) на различных носителях, которые либо не подключены к системе (большую часть времени, как на жестком диске), доступны только для чтения или недоступны по другим причинам, таким как использование различных файловых систем. Таким образом, если данные потеряны из-за вируса, можно снова начать использовать резервную копию (которая, надеюсь, будет последней). если сеанс резервного копирования выполняется на оптических носителях, таких как CD и DVD закрывается, становится доступным только для чтения и больше не может быть подвержен воздействию вируса (до тех пор, пока вирус или зараженный файл не был скопирован на CD/DVD). Аналогичным образом, операционная система на загрузочном компакт-диске может быть использована для запуска компьютера, если установленные операционные системы становятся непригодными для использования. Резервные копии на съемных носителях должны быть тщательно проверены перед восстановлением. Вирус Gammima, например, распространяется через съемные флэш-накопители.

Удаление вирусов[править]

Многие веб-сайты, управляемые антивирусными компаниями, предоставляют бесплатное онлайн-сканирование вирусов с ограниченными возможностями" очистки " (в конце концов, цель веб-сайтов-продавать антивирусные продукты и услуги). Некоторые веб-сайты, такие как дочерняя компания Google VirusTotal.com, позволяют пользователям загружать один или несколько подозрительных файлов для сканирования и проверки одной или несколькими антивирусными программами за одну операцию. кроме того, несколько способных антивирусных программ доступны для бесплатной загрузки из интернета (обычно ограничиваются некоммерческим использованием). Microsoft предлагает дополнительную бесплатную антивирусную утилиту Microsoft Security Essentials, Средство удаления вредоносных программ Windows, которое обновляется в рамках регулярного режима обновления Windows, и более старое дополнительное средство защиты от вредоносных программ (malware removal) Защитник Windows, который был обновлен до антивирусного продукта в Windows 8.

Некоторые вирусы отключают Восстановление системы и другие важные инструменты Windows, такие как Диспетчер задач и CMD. Примером вируса, который делает это, является CiaDoor. Многие такие вирусы могут быть удалены путем перезагрузки компьютера, входа в Windows "безопасный режим" с помощью сети, а затем с помощью системных инструментов или сканера безопасности Microsoft.[106] Восстановление системы на Windows Me, Windows XP, Windows Vista и Windows 7 может восстановить реестр и критические системные файлы к предыдущей контрольной точке. Часто вирус приводит к тому, что система "зависает" или "зависает", а последующая жесткая перезагрузка делает точку восстановления системы с того же дня поврежденной. Точки восстановления с предыдущих дней должны работать, при условии, что вирус не предназначен для повреждения файлов восстановления и не существует в предыдущих точках восстановления.

Переустановка операционной системы[править]

Средство проверки системных файлов Microsoft (улучшенное в Windows 7 и более поздних версиях) можно использовать для проверки и восстановления поврежденных системных файлов. восстановление более раннего "чистого" (без вирусов) копия всего раздела с клонированного диска, с образа диска, либо резервного копирования одно решение—восстановления предыдущей резервной копии диска "образ" является относительно простым, чтобы сделать, как правило, удаляет любые вредоносные программы, и может быть быстрее, чем "дезинфекция" компьютера или переустановки и перенастройки операционной системы и программ с нуля, как описано ниже, затем восстановление пользовательских предпочтений.[100] Переустановка операционной системы - это еще один подход к удалению вирусов. Можно восстановить копии основных пользовательских данных, загрузившись с live CDили подключив жесткий диск к другому компьютеру и загрузившись с операционной системы второго компьютера, соблюдая большую осторожность, чтобы не заразить этот компьютер, выполнив любые зараженные программы на исходном диске. Затем исходный жесткий диск можно переформатировать, а ОС и все программы установить с оригинального носителя. После восстановления системы необходимо принять меры предосторожности, чтобы избежать повторного заражения из любых восстановленных исполняемых файлов.

Вирусы и интернет[править]

Смотрите также: Компьютерный червь

До того как компьютерные сети получили широкое распространение, большинство вирусов распространялось на съемных носителях, в частности на дискетах. В первые дни существования персонального компьютерамногие пользователи регулярно обменивались информацией и программами на дискетах. Некоторые вирусы распространяются путем заражения программ, хранящихся на этих дисках, в то время как другие устанавливаются сами в загрузочный сектор диска, гарантируя, что они будут запущены, когда пользователь загрузит компьютер с диска, как правило, непреднамеренно. Персональные компьютеры той эпохи попытались бы загрузиться сначала с дискеты, если бы она была оставлена в накопителе. До тех пор, пока дискеты не вышли из употребления, это была самая успешная стратегия заражения, и вирусы загрузочного сектора были наиболее распространены в "дикой природе" в течение многих лет. Традиционные компьютерные вирусы появились в 1980-х годах, вызванные распространением персональных компьютеров и, как следствие, увеличением числа информационных систем (BBS), использованием модемов и совместным использованием программного обеспечения. Доска объявлений- управляемый обмен программным обеспечением способствовал прямому распространению троянских программ, и вирусы были написаны, чтобы заразить популярное программное обеспечение. Условно-бесплатное и бутлегерское программное обеспечение были одинаково распространенными векторами вирусов на BBS. вирусы могут увеличить свои шансы распространения на другие компьютеры, заражая файлы в сетевой файловой системе или файловой системе, доступ к которой осуществляется другими компьютерами.

Макровирусы стали широко распространены с середины 1990-х годов. Большинство этих вирусов написаны на языках сценариев для программ Microsoft, таких как Microsoft Word и Microsoft Excel, и распространяются по всему Microsoft Office, заражая документы и электронные таблицы. Поскольку Word и Excel также были доступны для Mac OS, большинство из них также могли распространяться на компьютеры Macintosh. Хотя большинство этих вирусов не имели возможности отправлять зараженные сообщения электронной почты, те вирусы, которые действительно использовали преимущества интерфейса Microsoft Outlook Component Object Model (COM). Некоторые старые версии Microsoft Word позволяют макросам реплицировать себя с дополнительными пустыми строками. Если два макровируса одновременно заражают документ, комбинация этих двух, если она также самовоспроизводится, может выглядеть как "спаривание" этих двух вирусов и, вероятно, будет обнаружена как вирус, уникальный от "родителей".]

Вирус также может отправить ссылку на веб-адрес в виде мгновенного сообщения всем контактам (например, адресам электронной почты друзей и коллег), хранящимся на зараженной машине. Если получатель, думая, что ссылка от друга (надежного источника) следует по ссылке на веб-сайт, вирус, размещенный на сайте, может заразить этот новый компьютер и продолжить распространение. вирусы, распространяющиеся с помощью межсайтового скриптинга, были впервые зарегистрированы в 2002 году и были академически продемонстрированы в 2005 году Было несколько случаев межсайтовых скриптовых вирусов в "дикой природе", эксплуатирующих такие сайты, как MySpace (с червем Samy) и Yahoo!.

См. также[править]

Читать[править]

/docs.microsoft.com/ru-ru/sysinternals/

Пруф[править]

/pmc.iath.virginia.edu//text-only/issue.990/ross-1.990

Источник — https://wikixw.ru/index.php?title=Компьютерный_вирус&oldid=24059