Найнебезпечніші комп'ютерні віруси в світі. (+ цікавий топ)

Топ- найнебезпечніших комп'ютерних вірусів

Комп'ютерний вірус - може бути надзвичайно небезпечною штукою , і навернути він може таких справ , що мало не здасться нікому .

Він , звичайно, не запускає ядерні ракети , як « Скайнет » у всяких там « термінаторів ».

Але ось відключити від Інтернету невелику країну типу Південної Кореї - йому цілком під силу.

10 найбільш небезпечних вірусів в історії Інтернету

Майже у кожного великого відкриття або наукового досягнення є тіньова сторона . Використання ядерної енергії обернулося для людства винаходом смертоносної атомної бомби. Придумавши швидкісні способи пересування , люди занурилися у світ , повний небезпек , що чекають за кожним поворотом . А вільне поширення інформації , ключове досягнення ХХ століття , закінчилося тим , що особиста інформація також стала досить відкритою , а персональні дані - уразливими . Всьому виною - комп'ютерні віруси. Комп'ютерний вірус - різновид комп'ютерних програм , особливістю яких є - самореплікація (здатність до розмноження ) . На додаток до цього віруси можуть пошкодити або повністю знищити всі файли і дані , підконтрольні користувачу .

Отже, ми пропонуємо вам список вірусів , що наробили багато шуму і заподіяли користувачам багато неприємностей з комп'ютером.

• Brain

Цей вірус в порівнянні з послідовниками практично безпечний . Передається він по завантажувальнимсекторів дискет , а примітний тим , що першим викликав справжню вірусну епідемію. Його розробка на совісті братів Амджата і базитах Алві ( Amdjat і Basit Faroog Alvi ) , які запустили його в 1986 році , а виявлений він був влітку 1987 року. Є інформація , що тільки в США вірус заразив більше 18 тисяч комп'ютерів. А адже в основі розробки лежали виключно благі наміри: програма повинна була покарати місцевих піратів , що крадуть програмне забезпечення у фірми братів . Вірус Brain до всього іншого ще і перший стелс- вірус. Так , при спробі читання заражeнного сектора , він « підставляв » і його незаражeнний оригінал.

• Jerusalem

• 1988 рік, 13 травня. З'явився вірус « Jerusalem » , який знищував заражені файли при спробі їх запуску. Проявив себе в Європі , США , на Близькому Сході. Перші повідомлення про зараження приходили з вищих навчальних закладів та від великих компаній в самих різних країнах .

1988 рік, 3 листопада. Аспірант Корнельського університету Роберт Морріс написав експериментальну програму , яка потім почала безконтрольно розмножуватися. Була заражена вся внутрішня мережа університету , і цілий сектор Інтернету . Зупинити поширення вірусу вдалося тільки шляхом фізичного відключення серверів від мережі . Цей випадок - вважається першою в історії епідемією комп'ютерного вірусу в мережі. Вірус уразив понад 6 тисяч комп'ютерів , матеріальний збиток, нанесений вірусом , перевищував десять мільйонів доларів.

 Цей вірус був створений в 1988 році в Ізраїлі - звідси і основне ім'я. Друга його назва « П'ятниця 13-е ». Це перший вірус для MS- DOS , що викликав грандіозну паніку. Скачаний в будь-який час з дискети , він активувався в момент настання нещасливого числа - п'ятниці 13 -ті - і видаляв абсолютно всі дані з жорсткого диска. У ті часи взагалі мало хто вірив в існування комп'ютерних вірусів. Антивірусних програм і зовсім майже не існувало , а тому користувачі були абсолютно беззахисні перед ним.

хробак Морріса

Активність цього небезпечного шкідника припала на листопад 1988 року. Даний Інтернет- вірус тоді був першим в рейтингу найстрашніших . Комп'ютери ударом ноги подібно своєму знаменитому тезці , він , звичайно ж , не вбивав . Що він робив ? Паралізовував роботу комп'ютерів своїм хаотичним і безконтрольним розмноженням . Через нього-то і вийшла з ладу вся , тоді ще не надто глобальна , Мережу. І хоч збій тривав зовсім не довго , загальні збитки оцінили в 96 мільйонів доларів.

Michelangelo ( « March6 » )

Цей вірус в свій час сильно переоцінили . Правда , він заслужено вважається одним з самих безжальних . Проникаючи через дискети на завантажувальний сектор диска , він тихо сидів там , чи не нагадуючи про своє існування до 6 березня. А в цей день « щасливчики » , які отримали « Мікеланджело » на свій комп'ютер , виявляли, що всі дані з їх жорсткого диска стерті. Лютував цей вірус у 1992 році. Зате він сильно зіграв на руку компаніям, що виробляють антивіруси. Користуючись нагодою , бізнесмени роздули істерію до небачених масштабів , тоді як на ділі від нього постраждали всього близько 10 000 машин.

• Чорнобиль ( CIH )

• CIH чи Чорнобиль . Цей вірус і всього за один тиждень поширився і заразив тисячі комп'ютерів.

Один з найзнаменитіших вірусів світу . Створено в 1998 році тайванським студентом , за ініціалами якого і названий. Через Інтернет , електронну пошту і диски вірус потрапляв в комп'ютер , ховався всередині інших програм , а в певний момент (26 квітня ) вірус активувався , стираючи вміст жорсткого диска і завдаючи шкоди апаратної частини комп'ютера. Епідемія « Чорнобиля » припала на квітень 1999 року. Тоді з ладу було виведено більше 300 тисяч комп'ютерів , в основному в Східній Азії. Причому протягом кількох наступних років 26 квітня вірус продовжував свою чорну справу , що за підсумками завдало шкоди величезній кількості комп'ютерів у всьому світі.

1999 рік, 26 квітня. Вірус « Чих ». Він же « Чорнобиль». Він же « Win95.CIH ».

З цією чудовою штукою - стикався особисто.

Відбувається все гранично просто .

Сидіть собі , працюєте .

У якийсь момент - працювати набридає.

Ви виключаєте комп'ютер , і йдете відпочивати. Відпочивши - повертаєтеся до роботи. Але після натискання кнопочки « power » - відповіддю вам буде зловісна тиша.

А на календарі буде 26 квітня.

Заражений комп'ютер - не « заводився » , оскільки вірус - знищував BIOS дочиста.

BIOS , хто не в курсі - це така маленька Чорненька печенька розміром з ніготь , яка сидить в спеціальному гнізді на материнській платі.

На сучасних платах - цих « печенек » вже немає , а в той час - вони були .

На такий « печеньки » - зберігається програма, що відповідає за запуск машини. ( « Базова операційна система введення і виведення " - якщо по-науковому , ага) .

Псуй цю програму - і материнка перетворюється на купу мотлоху.

Саме це - «чих » з успіхом і проробляв .

Нещасному юзеру після виявлення « квітневого дива» залишалося тільки сумно завити , і , матюкаючись крізь зуби , починати виколупувати вбиту мікросхему з гнізда . Викруткою.

При цьому - треба було молити бога , щоб у сусіда - виявилася схожа материнка . З неї - виймалася робоча мікросхема , зносили додому , і машина - заводилася на ній . Потім - сусідський БІОС з працюючої машини виколупувати , а на його місце - ставилося свій , убитий . І перепрошивати . З-під « флопіка ».

Ехх ... [ Змахнув ностальгічну сльозу ] .

Чувака, який написав це чудо , звали Чен Іньхао . Тайванець . Скільки він погробіл машин по всьому світу - ніхто точно не знає. І що характерно - його , падлюки , навіть не посадили.

Melissa

1999 рік, 26 березня. Пришестя « Мелісси ». Вірус « Melissa » після зараження системи - знаходив адресну книгу програми « MS Outlook » , і першим 50 адресами в цій книзі - розсилав свої копії . Про все це - користувач не підозрював. ( Хоча розсилка проводилася від його імені) .

Через « Мелісси » найбільші компанії (Майкрософт , Інтел і.дз. ) - у масовому порядку відключали корпоративні сервіси електронної пошти. Збиток від неї - обчислювався десятками мільйонів доларів. Точна цифра - невідома.

• Меліса. Вперше з'явився 26 березня в США . Цей надзвичайно тямущий шкідливий код використовував для свого поширення методи соціальної інженерії , приходячи в листі з наступним текстом «Документ , який Ви запитували ... нікому його не показуйте ;-) ». Створено в 1999 році. Перший всесвітньо відомий поштовий хробак . Він заражав файли документів MS Word і розсилав свої копії в повідомленнях електронної пошти за допомогою MS Outlook. Вірус поширювався з шаленою швидкістю , а тому сума завданих ним збитків оцінюється більш ніж в $ 100 млн.

ILOVEYOU ( «Лист щастя» )

Список найнебезпечніших комп'ютерних вірусів продовжує вірус з романтичною назвою « I Love You ». (2000 рік , травень). Він же « Loveletter » , він же « The Love Bug ». Вважається самим шкідливим за всю історію існування Інтернету. Поширювався по електронній пошті.

У « темі листа » значилося: «я тебе люблю». ( Ну як таке не відкрити ?)

До листа - додавалося вкладення , в якому і сидів зловред , тирящій із зараженої машини різноманітні паролі.

Механізм розповсюдження - як у « Мелісси ».

Вірус шукав адреси в « Аутлук » , і слав власні копії всім бажаючим.

Збиток - близько п'ятнадцяти мільярдів доларів.

Написав його - один філіппінський похмурий геній .

Який, до речі , теж залишився на волі. ( Тому що в їх гребаной Філіппінах - такі злочини навіть у законах не прописані. Відповідно, посадка за них - теж не передбачена).

I Love You або Лист щастя . Настільки відомий, що навряд чи вимагає подання . Цей романтичний вірус з'явився на Філіппінах в 2000 році. Завдяки своїй назві « ILoveYou » він заразив мільйони комп'ютерів по всьому світу , навіть включаючи такі організації , як Пентагон.

 Створений у 2000 році і примітний тим , що придуманий він досить хитро. Користувачеві на пошту приходило повідомлення « I LOVE YOU » з вкладеним файлом. Довірившись настільки милої оболонці , користувач скачував його і отримував скрипт , який відсилав листи в неймовірних кількостях , а також видаляв важливі файли на ПК. Результати шокують досі : 10 % всіх існуючих на той момент комп'ютерів були інфіковані , що завдало збитків у розмірі $ 5,5 мільярда .

Nimda . 2001

• написане в зворотному порядку , оскільки він був у змозі створювати для себе на заражених комп'ютерах права адміністратора . Вірус був створений в Китаї 18 вересня 2001

Назва являє собою слово « admin » , тільки навпаки . Вірус , потрапляючи на комп'ютер , миттєво « виписував собі » права адміністратора . Після чого змінював і порушував конструкцію сайтів , блокував доступ на хости , IP- адреси і т.д. А проникав на комп'ютери він настільки віртуозно і ефективно , що вже через 22 хвилини після свого створення він став найпоширенішим в мережі Інтернет.

My Doom . 2004

Найшвидший вірус електронної пошти. Працював він по наростаючій : кожен наступний комп'ютер відправляв спаму ще більше , ніж попередній. Крім того , він модифікував операційну систему , блокуючи доступ до сайтів багатьох антивірусних компаній , новинних стрічок і різних розділів сайту компанії Microsoft. На його рахунку навіть DDOS- атака на сайт Microsoft.

Conficker . 2008

Має славу найнебезпечнішого з відомих комп'ютерних черв'яків. Атакує він операційні системи сімейства Microsoft Windows. Вірус вразив більше 12 мільйонів комп'ютерів в всeм світі. Принцип дії: черв'як знаходить уразливості Windows , пов'язані з переповненням буфера , і за допомогою обманного RPC -запиту виконує код , відключаючи сервісні служби та оновлення Windows , а також блокуючи доступ до сайтів ряду виробників антивірусів .

• Conficker . Останній у списку і самий новий , він з'явився в листопаді 2008 року. Досить дивно , але , якщо Ваша клавіатура українською мовою - він Вас не зачепить.

Топ- 10 найбільш небезпечних комп'ютерних вірусів ( PandaLabs , 2008 )

Відкриває десятку вірус Tixcet.A . Маскуючись під файл Microsoft Word , цей черв'як намагається видалити файли з певними розширеннями , такими як . DOC , . MP3. MOV , . ZIP , . JPG та ін Так що можна запросто залишитися без колекції пісень і фотографій.

Далі йде шкідлива програма Antivirus2008pro , представляющаяся безкоштовним антивірусом. Багато користувачів купуються на обман , однак незабаром Antivirus2008pro починає видавати повідомлення про помилкові заражених , намагаючись змусити власника ПК заплатити за « ліки».

Вірус Goldun.TB маскується під поштовий додаток , що повідомляє , що інтернет -обслуговування жертви буде припинено. Потрапивши на комп'ютер , він краде паролі та інформацію про онлайн- платежі.

Далі йдуть трояни . Перший з них , Baker.LGC , намагається проникнути на комп'ютер , прикриваючись брехливою історією про нещасний випадок за участю Фернандо Алонсо , іспанського гонщика Формули 1 .

Другий троян , Turkojan.I , має одну з найпривабливіших масок : він видає себе за новий епізод « Сімпсонів ».

Троянська програма Banbra.FXT генерує поштове повідомлення від імені бразильського федерального міністерства , а потім спустошує банківські рахунки користувачів , що повірили в розіграш.

Черв'як AutoKitty.A , що потрапив також у список , вносить до реєстру Windows численні модифікації , що заважають комп'ютеру коректно виконувати свою роботу.

Троян PHilto.A під маскою відео про Періс Хілтон встановлює на комп'ютер модулі , що демонструють рекламу.

Шкідлива програма MeteorBot.A під виглядом супермена краде інформацію про комп'ютер .

Троян PGPCoder.E намагається зашифрувати всі дані користувача.

PandaLabs опублікувала рейтинг найбільш відомих інтернет -загроз за 2009 рік з оглядом і аналізом шкідливих кодів , які з'явилися за останні 12 місяців.

Це скоріше не рейтинг найпоширеніших вірусів або вірусів , що викликали найбільшу кількість інфекцій. Це список тих кодів , які особливо виділилися в минулому році , використовували технології соціальної інженерії або дуже ефективно впливали на комп'ютери. Тому деякі найбільш відомі шкідливі коди (такі як вірус Koobface ) відсутні в даному списку.

- Сама противна " заноза" . Це справедливо для Conficker.C , який за останні дванадцять місяців став самим нестерпним вірусом. Вперше він з'явився 31 грудня 2008 і провів весь рік , викликаючи серйозні інфекції в компаніях і у домашніх користувачів . Хитрість і наполегливість цього шкідливого коду принесли йому перше місце в рейтингу PandaLabs .

- Вірусний Гаррі Поттер . Незважаючи на те , що даний вірус не має ніякого відношення до найпопулярнішого казковому чарівникові , всі повідомлення , демонстровані Samal.A на дисплеї ПК - про магію . Після зараження комп'ютера користувачі бачать повідомлення " Ех , ех , Ви не сказали чарівного слова ( Ah ah you didn " t say the magic word ) ", а курсор починає блимати в очікуванні , поки користувач введе слово .

Насправді , не має ніякого значення , яке слово вводиться , оскільки після трьох спроб на дисплеї з'являється фраза " Самаель прийшов. Кінець" ( Samael has come . This the end ) , а комп'ютер перезавантажується.

- В - означає Вендета . Незрозуміло , хто є справжньою метою цієї вендети , але DirDel.A мстить зараженим користувачам , поступово замінюючи папки в різних директоріях на копії самого себе . Черв'як міститься у файлі під назвою Vendetta.exe із звичайним значком папки Windows.

- Просто зануда . Троян Sinowal.VZR заразив тисячі комп'ютерів під прикриттям авіаквитків , нібито придбаних користувачем.

- Діяльний вірус. Це про Whizz.A . Відразу після зараження ним комп'ютер починає видавати звукові сигнали , покажчик миші безконтрольно бігає по екрану , CD / DVD- програвач відкривається і закривається , а дисплей " прикрашається " гратами , як на зображенні нижче:

- Шпигун . Waledac.AX заманює своїх жертв , стверджуючи , що пропонує безкоштовний додаток для читання чужих СМС -повідомлень. Ідеальний варіант для тих , хто хоче перевірити своїх партнерів. Можливо , саме тому така величезна кількість користувачів стали жертвами цього інтелігентного вірусу.

- Самий ніжний . BckPatcher.C переміг в даній категорії , тому що він замінює шпалери робочого столу на зображення з написом " поцілунок від вірусу ( virus kiss ) 2009".

- Трохи нежиті. До цієї категорії віднесені віруси WinVNC.A і Sinowal.WRN , які з метою обману користувачів і зараження їх ПК скористалися галасом навколо свинячого грипу.

- А нагороду в категорії "Найбільш некомпетентний новачок" отримує ... Ransom.K . Цей троян зашифровує документи на зараженому комп'ютері , а потім просить $ 100 викупу за їх розшифровку. Однак його творець , якому , ймовірно , не вистачило досвіду , допустив помилку при програмуванні , яка дозволяє користувачам звільнити файли за допомогою простої комбінації клавіш.

- Найпідступніший . За підсумками 2009 року переможцем у цій категорії став FakeWindows.A , який заражає користувачів , видаючи себе за процес активації ліцензій для Windows XP.

- Тусовщик . Banbra.GMH проникає в комп'ютер в електронному повідомленні , яке обіцяє фотографії бразильських вечірок ( з танцюючими дівчатами , звичайно ж) ... Як тут встояти?

Рейтиг найстрашніших вірусів минулого століття

11 листопада 1983 був написаний перший вірус , який відкрив нову еру небезпечних програм для комп'ютерів.
Американський студент з Університету Південної Каліфорнії Фред Коен склав програму , демонструвала можливість зараження комп'ютера зі швидкістю розмноження вірусу від 5 хвилин до 1 години.

                                                                         Фред Коен



На наступний рік Коен написав роботу , в якій не тільки передбачив небезпеку розповсюдження вірусів по комп'ютерних мережах , але й розповів про можливість створення антивірусних програм.

Перший не лабораторний вірус , який називається « Brain » , здатний заражати тільки дискети , з'явився в січні 1986 року і мав пакистанське походження . А перша антивірусна програма була розроблена в 1988 році.

Давайте ж згадаємо, які віруси були найбільш руйнівними в недовгій історії комп'ютерних мереж.

10 місце. Code Red


Вірус був запущений в 2001 році і заразив 360 тис. машин , створивши бот- мережу для атаки сайту Білого дому . Вірус видавав повідомлення на екрані « Hacked By Chinese ! » (« Зламано китайцями !") - Натяк на комуністичний Китай , хоча насправді вірус швидше за все був написаний етнічними китайцями на Філіппінах.

9 місце. Morris


У 1988 році вірус заразив по мережі 60 тис. комп'ютерів , не даючи їм нормально працювати. Збиток від хробака Морріса був оцінений приблизно в $ 96.5 млн.

Творець вірусу Роберт Морріс добре законспірував код програми , і навряд чи хто міг довести його причетність . Проте його батько , комп'ютерний експерт Агентства національної безпеки , порахував , що синові краще у всьому зізнатися.

На суді Роберту Морісу загрожувало до п'яти років позбавлення волі і штраф у розмірі $ 250 тис , однак , беручи до уваги пом'якшуючі обставини , суд засудив його до трьох років умовно , $ 10 тис штрафу і 400 годин громадських робіт .

8 місце. Blaster


Був запущений в 2003 році для атаки сайтів Microsoft. Його автора так і не знайшли.

За звітами з Лабораторії Касперського - по всьому світу було заражено близько 300 тисяч комп'ютерів . Для користувача даний хробак був порівняно безпечний, якщо не вважати побічного ефекту у вигляді регулярної перезавантаження комп'ютера. Метою цього черв'яка була атака на сервери Microsoft 16 серпня 2003 опівночі . Проте Microsoft тимчасово закрила свої сервери , що дозволило скоротити збиток від вірусу до мінімуму.

Blaster в своєму коді містив приховане послання, адресоване Біллу Гейтсу : « Біллі Гейтс , навіщо ви робите це можливим? Досить робити гроші , виправте ваше програмне забезпечення! ».

7 місце. Melissa


Девід Сміт , творець Melissa / ono.org.ua
Автор вірусу Девід Сміт назвав своє дітище на честь стриптизерки з Майамі. Власне , при зараженні на домашній сторінці з'являлася стриптизерка . Вірус завдав більше $ 80 млн. збитку . Компаніям Microsoft і Intel навіть довелося вимкнути власні поштові сервера.

Сміта заарештували і засудили до трьох років ув'язнення.

6 місце. CIH


За комп'ютером - творець вірусу CIH
Знаменитий вірус Чорнобиль , який був написаний тайванським студентом Чень Інхалі спеціально для операціоннок Windows 95 \ 98 . 26 квітня, в річницю аварії на АЕС , вірус активувався , паралізуючи роботу комп'ютерів .

За різними оцінками , від вірусу постраждало близько півмільйона персональних комп'ютерів по всьому світу.

За даними The Register , 20 вересня 2000 влада Тайваню заарештували творця знаменитого комп'ютерного вірусу , але згідно тайванським законам тих часів він не порушив жодних законів , і він ніколи не притягувався до кримінальної відповідальності за створення цього вірусу.

В даний час Чень працює в Gigabyte.

5 місце. Nimda

Поширювався по електронній пошті. Став самим швидкопоширеним вірусом. Для того , щоб заразити мільйони комп'ютерів , йому знадобилося всього 22 хвилини.

4 місце. Storm Worm

У 2007 році вірус заразив мільйони комп'ютерів , розсилаючи спам і викрадаючи особисті дані .

3 місце. Slammer

Найагресивніший вірус. У 2003-му знищив дані з 75 тис. комп'ютерів за 10 хвилин.

2 місце. Conficker

Один з найнебезпечніших з відомих на сьогоднішній день комп'ютерних черв'яків.

Шкідлива програма була написана на Microsoft Visual C + + і вперше з'явилася в мережі 21 листопада 2008 . Атакує операційні системи сімейства Microsoft Windows (від Windows 2000 до Windows 7 і Windows Server 2008 R2) . На січень 2009 вірус вразив 12 млн комп'ютерів у всьому світі. 12 лютого 2009 Microsoft обіцяв $ 250 тис. за інформацію про творців вірусу.

1 місце. ILOVEYOU



Вірус був розісланий на поштові ящики з Філіппін в ніч з 4 травня на 5 травня 2000 року; в темі листа містилася рядок « ILoveYou » , а до листа був прикладений скрипт « LOVE - LETTER -FOR - YOU.TXT.vbs ». Розширення « . Vbs » було за замовчуванням приховано , що й змусило нічого не підозрюють користувачів думати , що це був простий текстовий файл.

При відкритті вкладення вірус розсилав копію самого себе всім контактам в адресній книзі Windows , а також на адресу, вказану як адреса відправника. Він також здійснював ряд шкідливих змін в системі користувача .

У загальній складності , вірус вразив понад 3 млн комп'ютерів по всьому світу. Передбачуваний збиток , який черв'як завдав світовій економіці , оцінюється в розмірі $ 10-15 млрд , за що увійшов до Книги рекордів Гіннесса , як самий руйнівний комп'ютерний вірус у світі.

Це були найнебезпечніші віруси перших років, але нас цікавлять віруси які вражають наші комп'ютери зараз, але про це в наступному рейтингу))

Що саме являється вірусом

А ось і наступна стаття))

Комп'ютерний вірус - це невелика програма, що написана програмістом високої кваліфікації, здатна до саморозмноження й виконання різних деструктивних дій. На сьогоднішній день відомо понад 50 тис. Комп'ютерних вірусів. Існує багато різних версій стосовно дати народження першого комп'ютерного вірусу. Однак більшість фахівців сходяться на думці, що комп'ютерні віруси, як такі, вперше з'явилися у 1986 році, хоча історично виникнення вірусів тісно пов'язане з ідеєю створення самовідтворюючих програм. Одним із "піонерів" серед комп'ютерних вірусів вважається вірус "Brain", створений пакистанським програмістом на прізвище Алві. Тільки у США цей вірус вразив понад 18 тис. комп'ютерів. На початку епохи комп'ютерних вірусів розробка вірусоподібних програм носила чисто дослідницький характер, поступово перетворюючись на відверто вороже протистояння користувачів та безвідповідальних, і навіть кримінальних "елементів". В ряді країн карне законодавство передбачає відповідальність за комп'ютерні злочини, в тому числі за створення та розповсюдження вірусів. Віруси діють тільки програмним шляхом. Вони, як правило, приєднуються до файлу або проникають всередину файлу. У цьому випадку кажуть, що файл заражений вірусом. Вірус потрапляє в комп'ютер тільки разом із зараженим файлом. Для активізації вірусу потрібно завантажити заражений файл, і тільки після цього вірус починає діяти самостійно. Деякі віруси під час запуску зараженого файлу стають резидентними (постійно знаходяться в оперативній пам'яті комп'ютера) і можуть заражати інші файли та програми, що завантажуються. Інші різновиди вірусів відразу після активізації можуть спричиняти серйозні пошкодження, наприклад, форматувати жорсткий диск. Дія вірусів може проявлятися по різному: від різних візуальних ефектів, що заважають працювати, до повної втрати інформації. Більшість вірусів заражують виконавчі програми, тобто файли з розширенням .EXE та .COM, хоча останнім часом все більшої популярності набувають віруси, що розповсюджуються через систему електронної пошти. Слід зауважити, що комп'ютерні віруси здатні заражати лише самі комп'ютери. Тому абсолютно абсурдними є різні твердження про вплив комп'ютерних вірусів на користувачів комп'ютерів. Основними джерелами вірусів є: дискета, на якій знаходяться заражені вірусом файли; комп'ютерна мережа, в тому числі система електронної пошти та Internet; жорсткий диск, на який потрапив вірус в результаті роботи з зараженими програмами; вірус, що залишився в оперативній пам'яті після попереднього користувача. Звідси випливає, що зараження комп'ютера не відбудеться, якщо: на комп'ютері переписуються тексти програм, документів, файли даних системи управління базами даних (СУБД), таблиць табличних процесорів і т. д. (ці файли не є програмами); виконується копіювання файлів з однієї дискети на іншу, в разі копіювання зараженого файлу його копія також буде заражена. Основними ранніми ознаками зараження комп'ютера вірусом є: зменшення обсягу вільної оперативної пам'яті; сповільнення завантаження та роботи комп'ютера; незрозумілі (без причин) зміни у файлах, а також зміни розмірів та дати останньої модифікації файлів; помилки при завантаженні операційної системи; неможливість зберігати файли в потрібних каталогах; незрозумілі системні повідомлення, музикальні та візуальні ефекти і т.д. Коли вірус переходить в активну фазу можливі такі ознаки: зникнення файлів; форматування жорсткого диска; неспроможність завантаження файлів або операційної системи. Існує дуже багато різних вірусів. Умовно їх можна класифікувати наступним чином: завантажувальні віруси або BOOT-віруси: заражають boot-сектори дисків. Дуже небезпечні, можуть призвести до повної втрати всієї інформації, що зберігається на диску; файлові віруси: заражають файли. Поділяються на: віруси, що заражують програми (файли з розширенням .EXE і .COM); макровіруси: віруси, що заражують файли даних, наприклад, документи Word або робочі книги Excel; віруси-супутники: використовують імена інших файлів; віруси сімейства DIR: спотворюють системну інформацію про файлові структури; завантажувально-файлові віруси: здатні вражати як код boot-секторів, так і код файлів; віруси-невидимки або STEALTH-віруси: фальсифікують інформацію прочитану з диска так, що програма, якій призначена ця інформація отримує невірні дані. Ця технологія, яку, інколи, так і називають Stealth-технологією, може використовуватися як в BOOT-вірусах, так і у файлових вірусах; ретровіруси: заражують антивірусні програми, намагаючись знищити їх або зробити непрацездатними; віруси-хробаки: заражують невеликі повідомлення електронної пошти, так званим заголовком, який по своїй суті є всього навсього лише Web-адресою місцезнаходження самого вірусу. При спробі прочитати таке повідомлення вірус починає зчитувати через глобальну мережу Internet своє 'тіло', яке після завантаження починає свою деструктивну дію. Дуже небезпечні, так як виявити їх дуже важко у зв'язку з тим, що заражений файл фактично не містить коду вірусу. Якщо не вживати заходів для захисту від комп'ютерних вірусів, то наслідки зараження можуть бути дуже серйозними. В ряді країн карне законодавство передбачає відповідальність за комп'ютерні злочини, в тому числі за впровадження вірусів. Для захисту інформації від вірусів використовуються загальні та програмні засоби. До загальних засобів, що допомагають запобігти зараженню та його руйнівних наслідків належать: резервне копіювання інформації (створення копій файлів і системних областей жорстких дисків); уникнення користування випадковими й невідомими програмами. Найчастіше віруси розповсюджуються разом із комп'ютерними вірусами; перезавантаження комп'ютера перед початком роботи, зокрема, у випадку, якщо за цим комп'ютером працювали інші користувачі; обмеження доступу до інформації, зокрема фізичний захист дискети під час копіювання файлів із неї. До програмних засобів захисту належать різні антивірусні програми (антивіруси). Антивірус - це програма, яка виявляє й знешкоджує комп'ютерні віруси. Слід зауважити, що віруси у своєму розвиткові випереджають антивірусні програми, тому навіть у випадку регулярного користування антивірусів немає 100% гарантії безпеки. Антивірусні програми можуть виявляти та знищувати лише відомі віруси, при появі нового комп'ютерного вірусу захисту від нього не існує до тих пір, поки для нього не буде розроблено свій антивірус. Однак, багато сучасних антивірусних пакетів мають у своєму складі спеціальний програмний модуль, який називається евристичний аналізатор, і який здатний досліджувати вміст файлів на наявність коду, характерного для комп'ютерних вірусів. Це дає змогу вчасно виявляти та попереджати про небезпеку зараження новим вірусом. Розрізняють такі типи антивірусних програм: програми-детектори: призначені для знаходження заражених файлів одним із відомих вірусів. Деякі програми-детектори можуть також лікувати файли від вірусів або знищувати заражені файли. Існують спеціалізовані (тобто призначені для боротьби з одним вірусом) детектори та поліфаги (можуть боротися з багатьма вірусами); програми-лікарі: призначені для лікування заражених дисків і програм. Лікування програми полягає у вилученні із зараженої програми тіла вірусу. Також можуть бути як поліфагами, так і спеціалізованими; програми-ревізори: призначені для виявлення зараження вірусом файлів, а також знаходження ушкоджених файлів. Ці програми запам'ятовують дані про стан програми та системних областей дисків у нормальному стані (до зараження) і порівнюють ці дані у процесі роботи комп'ютера. В разі невідповідності даних виводиться повідомлення про можливість зараження; лікарі-ревізори: призначені для виявлення змін у файлах і системних областях дисків й у разі змін повертають їх у початковий стан. програми-фільтри: призначені для перехоплення звернень до операційної системи, що використовуються вірусами для розмноження і повідомляють про це користувача. Останній має можливість дозволити або заборонити виконання відповідної операції. Такі програми є резидентними, тобто вони знаходяться в оперативній пам'яті комп'ютера. програми-вакцини: використовуються для обробки файлів і boot-секторів із метою попередження зараження відомими вірусами (в останній час цей метод використовується все частіше). Слід зауважити, що вибір одного "найкращого" антивірусу є вкрай помилковим рішенням. Рекомендується використовувати декілька різних антивірусних пакетів одночасно. Вибираючи антивірусну програму слід звернути увагу на такий параметр, як кількість розпізнаючих сигнатур (послідовність символів, які гарантовано розпізнають вірус). Другий параметр - наявність евристичного аналізатора невідомих вірусів, його присутність дуже корисна, але суттєво уповільнює час роботи програми. На сьогоднішній день існує велика кількість різноманітних антивірусних програм. Розглянемо коротко найбільш поширені в Україні. DRWEB Один з кращих антивірусів із сильним алгоритмом знаходження вірусів. Поліфаг, здатний перевіряти файли в архівах, документи Word і робочі книги Excel, виявляє поліморфні віруси, котрі в останній час, отримують все більше поширення. Достатньо сказати, що епідемію дуже небезпечного вірусу OneHalf зупинив саме DrWeb. Евристичний аналізатор DrWeb, досліджуючи програми на наявність фрагментів коду, характерних для вірусів, дозволяє знайти майже 90% невідомих вірусів. При завантаженні програми в першу чергу DrWeb перевіряє самого себе на цілісність, після чого тестує оперативну пам'ять. Програма може працювати у діалоговому режимі, має дуже зручний інтерфейс користувача, який можна настроювати. ADINF Антивірус-ревізор диска ADINF (Avanced DiskINFoscope) дозволяє знаходити та знищувати, як існуючі звичайні, stealth- і поліморфні віруси, так і зовсім нові. Антивірус має в своєму розпорядженні лікуючий блок ревізору ADINF - Adinf Cure Module - який може знешкодити до 97% всіх вірусів. Цю цифру наводить "ДіалогНаука", виходячи з результатів тестування, котре відбувалося на колекціях вірусів двох визнаних авторитетів в цій області - Д.Н.Лозинського й фірми Dr.Solomon's (Великобританія). ADINF завантажується автоматично у разі вмикання комп'ютера і контролює boot-сектор і файли на диску (дата й час створення, довжина, контрольна сума), виводячи повідомлення про їх зміни. Завдяки тому, що ADINF здійснює дискові операції в обхід операційної системи, звертаючись до функцій BIOS, досягаються не тільки можливість виявлення активних stealth-вірусів на рівні переривання Int 13h, але і висока швидкість перевірки диску. Якщо знайдено boot-вірус, то ADINF просто відновить попередній завантажувальний сектор, котрий зберігається в його таблиці. Якщо вірус є файловим, то тут на допомогу приходить лікуючий блок Adinf Cure Module, який на основі звіту основного модуля про заражені файли порівнює нові параметри файлів із попередніми, які зберігаються в спеціальних таблицях. При виявленні розбіжностей ADINF відновлює попередній стан файлу, а не знищує тіло вірусу, як це роблять поліфаги. AVP Антивірус AVP (AntiVirus Program) відноситься до поліфагів, у процесі роботи перевіряє оперативну пам'ять, файли, в тому числі архівні, на гнучких, локальних, мережних і CD-ROM дисках, а також системні структури даних, такі як завантажувальний сектор, таблицю розділів і т.д. Програма має евристичний аналізатор, котрий, за твердженнями розробників антивірусу здатний знаходити майже 80% усіх вірусів. Програма AVP є 32-розрядним додатком для роботи в середовищі операційних систем Windows 98, NT і 2000, має зручний інтерфейс, а також одну з найбільших у світі антивірусну базу. Нові бази антивірусів до AVP з'являються приблизно один раз у тиждень і їх можна отримати з Internet. Ця програма здійснює пошук і вилучення найрізноманітніших вірусів, у тому числі: поліморфних, або вірусів, що самошифруються; стелс-вірусів, або вірусів-невидимок; нових вірусів для Windows; макровірусів, що заражають документи Word і таблиці Excel. Крім того, програма AVP здійснює контроль файлових операцій у системі у фоновому режимі, виявляє вірус до моменту реального зараження системи, а також визначає невідомі віруси за допомогою евристичного модуля.

Життєвий цикл віруса

Сьогодні ми поговоримо про життєвий цикл комп'ютерних вірусів.

Оскільки відмінною рисою вірусів у традиційному змісті є здатність до розмноження в рамках одного комп'ютера, розподіл вірусів на типи відбувається у відповідності зі способами розмноження.

Сам процес розмноження може бути умовно розділений на кілька стадій:

1. Проникнення на комп'ютер
2. Активація вірусу
3. Пошук об'єктів для зараження
4. Підготовка вірусних копій
5. Впровадження вірусних копій

Особливості реалізації кожної стадії породжують атрибути, набір яких фактично й визначає клас вірусу.

Проникнення

Віруси проникають на комп'ютер разом із зараженими файлами або іншими об'єктами (завантажувальними секторами дискет), ніяк, на відміну від хробаків, не впливаючи на процес проникнення. Отже, можливості проникнення повністю визначаються можливостями зараження й класифікувати віруси по цих стадіях життєвого циклу окремо змісту немає.

Активація

Для активації вірусу необхідно, щоб заражений об'єкт одержав керування. На даній стадії розподіл вірусів відбувається по типах об'єктів, які можуть бути заражені:

1.      Завантажувальні віруси - віруси, що заражають завантажувальні сектори постійних і змінних носіїв.

Приклади. Шкідлива програма Virus.Boot.Snow.a записує свій код в MBR жорсткого диска або в завантажувальні сектори дискет. При цьому оригінальні завантажувальні сектори шифруються вірусом. Після одержання керування вірус залишається в пам'яті комп'ютера (резидентність) і перехоплює переривання INT 10h, 1Ch й 13h. Іноді вірус проявляє себе візуальним ефектом - на екрані комп'ютера починає падати сніг.

Інший завантажувальний вірус Virus.Boot.DiskFiller також заражає MBR вінчестера або завантажувальні сектори дискет, залишається в пам'яті й перехоплює переривання - INT 13h, 1Ch й 21h. При цьому, заражаючи дискети, вірус форматує додаткову доріжку з номером 40 або 80 (залежно від обсягу дискети він може мати 40 або 80 доріжок з номерами 0-39 або 0-79 відповідно). Саме на цю нестандартну доріжку поза полем звичайної видимості вірус записує свій код, додаючи в завантажувальний сектор лише невеликий фрагмент - головну частину вірусу.

При зараженні вінчестера Virus.Boot.DiskFiller розташовує свій код безпосередньо за MBR, а в самому MBR міняє посилання на активний завантажувальний сектор, указуючи адресу сектора де він розташований.

2.      Файлові віруси -віруси, що заражають файли. Ця група додатково ділиться на три, залежно від середовища в якій виконується код:

Властиво файлові віруси - ті, які безпосередньо працюють із ресурсами операційної системи.

Приклади. Найвідоміший файловий вірус всіх часів і народів - Virus.Win9x.CIH, відомий також як "Чорнобиль". Маючи невеликий розмір - близько 1 кб - вірус заражає PE-файли (Portable Executable) на комп'ютерах під керуванням операційних систем Windows 95/98 таким чином, що розмір заражених файлів не міняється. Для досягнення цього ефекту вірус шукає у файлах "порожні" ділянки, що виникають через вирівнювання початки кожної секції файлу під кратні значення байт. Після одержання керування вірус перехоплює IFS API, відслідковуючи виклики функції звертання до файлів і виконують заражання файлу. 26 квітня спрацьовує деструктивна функція вірусу, що полягає в стиранні Flash BIOS і початкових секторів жорстких дисків. Результатом є нездатність комп'ютера завантажуватися взагалі (у випадку успішної спроби стерти Flash BIOS) або втрата даних на всіх жорстких дисках комп'ютера.

З останніх шкідливих програм, що володіють вірусною функціональністю, можна відзначити Email-Worm.Win32.Bagle.p (а також його модифікації .q й .r). Будучи в першу чергу хробаком з основним каналом поширення через електронну пошту, Bagle.p містить також функцію зараження EXE-файлів шляхом дописування в їхній кінець поліморфного коду вірусу

Макровіруси - віруси, написані мовою макрокоманд й, що виконують у середовищі якого-небудь додатка. У переважній більшості випадків мова йде про макроси в документах Microsoft Office.

Приклади. Одними з найбільш руйнівних макровірусів є представники сімейства Macro.Word97.Thus. Ці віруси містять три процедури Document_Open, Document_Close й Document_New, якими підмінює стандартні макроси, що виконуються при відкритті, закритті й створенні документа, тим самим забезпечуючи зараження інших документів. 13 грудня спрацьовує деструктивна функція вірусу - він видаляє всі файли на диску C:, включаючи каталоги й підкаталоги.

Модифікація Macro.Word97.Thus.aa крім зазначених дій при відкритті кожного зараженого документа вибирає на локальному диску випадковий файл і шифрує перші 32 байта цього файлу, поступово приводячи систему в непрацездатний стан.

Макровіруси здатні заражати не тільки документи Microsoft Word й Excel. Існують шкідливі програми орієнтовані й на інші типи документів: Macro.Visio.Radiant заражає файли відомої програми для побудови діаграм -Visio, Virus.Acad.Pobresito - документи AutoCAD, Macro.AmiPro.Green - документи популярного раніше текстового процесора Ami Pro.

Скріпт-віруси - віруси, що виконують у середовищі певної командної оболонки: раніше - bat-файли в командній оболонці DOS, зараз частіше VBS й JS - скріпти в командній оболонці Windows Scripting Host (WSH).

Приклади. Virus.VBS.Sling написаний мовою VBScript (Visual Basic Script). При запуску він шукає файли з розширеннями .VBS або .VBE і заражає їх. При настанні 16-го червня або липня вірус при запуску видаляє всі файли з розширеннями .VBS й .VBE, включаючи самого себе.

Virus.WinHLP.Pluma.a - вірус, що заражає файли допомоги Windows. При відкритті зараженого файлу допомоги виконується вірусний скрипт, що використовуючи нетривіальний метод (по суті, уразливість в обробці скріптів) запускає на виконання вже як звичайний файл Windows певний рядок коду, що міститься у скрипті. Запущений код робить пошук файлів довідки на диску й впроваджує в їхню область System скріпт автозапуску.

Пошук жертв

На стадії пошуку об'єктів для зараження зустрічається два способи поводження вірусів.

1.      Одержавши керування, вірус робить разовий пошук жертв, після чого передає керування асоційованому з ним об'єкту (зараженому об'єкту). 

Приклад. Звичайно при освоєнні нової платформи спочатку з'являються віруси саме цього типу. Так було з появою вірусів під DOS, під Windows 9x, під Windows NT, під Linux.

Наприклад, таким вірусом є Virus.Multi.Pelf.2132 - один з деяких представників мультиплатформових вірусів. Цей вірус здатний заражати як PE-файли, так і файли у форматі ELF (формат файлів, що виконують, під Linux). При запуску вірус робить у поточному (під обома операційними системами) і вищестоящих каталогах (під Windows) файлів форматів, що заражають, (PE й ELF), визначаючи дійсний формат файлу по його структурі. Після зараження знайдених файлів вірус завершує роботу й повертає керування запущеному файлу.

2.      Одержавши керування, вірус так чи інакше залишається в пам'яті й робить пошук жертв безупинно, до завершення роботи середовища, у якій він виконується

Приклад. Virus.DOS.Anarchy.6093 також є мультиплатформенным у тому розумінні, що він здатний заражати DOS COM- і EXE-файли, а також документи Microsoft Word 6/7. При цьому вірус може активуватися при запуску як у середовищі DOS, так й у середовищі Windows 95. Після запуску вірус перехоплює переривання INT 21h, а в середовищі Windows додатково вносить зміни в драйвер VMM32.VXD (Virtual Memory Manager) з метою перехоплення звертань до файлів. При запуску або відкритті COM-, EXE й DOC -файлу вірус заражає його. Крім цього, у файловому варіанті вірус є поліморфним (див. нижче), і в будь-якому варіанті має stealth-функціональність (див. нижче)

Віруси другого типу в часи однозадачной DOS було прийнято називати резидентними. З переходом на Windows проблема залишитися в пам'яті перестала бути актуальної: практично всі віруси, що виконують у середовищі Windows, так само як й у середовищі додатків MS Office, є вірусами другого типу. І навпроти, скрипт-вирусы є вірусами першого типу. Відповідно, атрибут резидентний застосуємо тільки до файлових DOS вірусам. Існування нерезидентних Windows вірусів можливо, але на практиці вони є рідкісним винятком.

Окремо має сенс розглянути так називані stealth-віруси - віруси, які перебуваючи постійно в пам'яті, перехоплюють звертання до зараженого файлу й на ходу видаляють із нього вірусний код, передаючи у відповідь на запит незмінену версію файлу. У такий спосіб ці віруси маскують своя присутність у системі. Для їхнього виявлення антивірусним засобам потрібна можливість прямого звертання до диска в обхід засобів операційної системи. Найбільше поширення Stealth-віруси одержали в часи DOS.

Підготовка вірусних копій

Процес підготовки копій для поширення може істотно відрізнятися від простого копіювання. Автори найбільш складних у технологічному плані вірусів намагаються зробити різні копії максимально несхожими для ускладнення їхнього виявлення антивірусними засобами. Як наслідок, складання сигнатури для такого вірусу вкрай утруднене або зовсім неможливо.

При створенні копій для маскування можуть застосовуватися наступні технології:

• Шифрування — вірус складається із двох функціональних шматків: властиво вірус і шифратор. Кожна копія вірусу складається із шифратора, випадкового ключа й властиво вірусу, зашифрованого цим ключем.
• Метаморфізм — створення різних копій вірусу шляхом заміни блоків команд на еквівалентні, перестановки місцями шматків коду, вставки між значущими шматками коду "сміттєвих" команд, які практично нічого не роблять.

Сполучення цих двох технологій приводить до появи наступних типів вірусів.

• Шифрований вірус - вірус, що використає просте шифрування з випадковим ключем і незмінний шифратор. Такі віруси легко виявляються по сигнатурі шифратора.
• Метаморфний вірус - вірус, що застосовує метаморфізм до всього свого тіла для створення нових копій.
• Поліморфний вірус - вірус, що використає метаморфний шифратор для шифрування основного тіла вірусу з випадковим ключем. При цьому частина інформації, використовуваної для одержання нових копій шифратора також може бути зашифрована. Наприклад, вірус може реалізовувати кілька алгоритмів шифрування й при створенні нової копії міняти не тільки команди шифратора, але й сам алгоритм.

Поліморфні віруси можна ділити на класи за рівнем поліморфізму, що бажають докладніше познайомитися із цим питанням можуть знайти корисну інформацію в [1].

Пік популярності поліморфних вірусів довівся на часи DOS, проте, і пізніше поліморфізм використався в безлічі вірусів, продовжує використатися поліморфізм і сьогодні.

Приклади. Згаданий вище Email-Worm.Win32.Bagle.p є поліморфним вірусом.

Одним з найбільш складних і щодо пізніх поліморфних вірусів є Virus.Win32.Etap. При зараженні файлу вірус перебудовує й шифрує власний код, записує його в одну із секцій файлу, що заражає, після чого шукає в коді файлу виклик функції ExitProcess і заміняє його на виклик вірусного коду. Таким чином, вірус одержує керування не перед виконанням вихідного коду зараженого файлу, а після нього.

Впровадження

Впровадження вірусних копій може здійснюватися двома принципово різними методами:

• Впровадження вірусного коду безпосередньо в заражає об’єкт
• Заміна об'єкта на вірусну копію. Об'єкт, що заміщає, як правило, перейменовується

Для вірусів характерним є переважно перший метод. Другий метод набагато частіше використається хробаками й троянами, а точніше троянськими компонентами хробаків, оскільки трояни самі по собі не поширюються.

Приклад. Один з деяких поштових хробаків, що поширюються по поштовій книзі The Bat! - Email-Worm.Win32.Stator.a, крім усього іншого заражає деякі файли Windows за принципом вірусу-компаньйона. Зокрема, до заражають файлам, що, ставляться: mplayer.exe, winhlp32.exe, notepad.exe, control.exe, scanregw.exe. При зараженні файли перейменовуються в розширення .VXD, а вірус створює свої копії під оригінальними іменами файлів, що заражають. Після одержання керування вірус запускає відповідний перейменований оригінальний файл.

Як варіант другого методу, у часи DOS застосовувався наступний прийом. При наборі імені файлу, що виконує, без вказівки розширення, DOS шукає один по одному спершу BAT, потім COM, і зрештою EXE-файл. Відповідно, вірусна копія створювалася в одному каталозі з EXE-файлом, дублюючи його ім'я й приймаючи розширення COM. Таким чином, при спробі запустити даний EXE-файл без явної вказівки розширення спочатку запускався вірус.

Аналогічний прийом може використатися й в Windows-системах, але оскільки основна маса користувачів Windows рідко користуються запуском файлів з командного рядка, ефективність цього методу буде низкою.


Це був життєвий цикл віруса, і я Lopes прощаюся з вами.
В наступній статті ми розглянемо що собою являє вірус і їхні основні види.