1.1. Історія створення перших вірусів
Комп'ютерний вірус - це невелика програма, що написана програмістом високої кваліфікації, здатна до саморозмноження й виконання різних негативних дій. Одночасно зі створенням власних копій віруси можуть завдавати шкоди: знищувати, пошкоджувати, викрадати дані, знижувати або й зовсім унеможливлювати подальшу працездатність операційної системи комп'ютера. Подібно живим мікроорганізмам, вони поширюються, заражаючи здорові програми. Заразивши систему, вони проникають в кожен виконуваний або об'єктний файл, розміщений на машині. Більш того, деякі віруси заражають завантажувальні сектори дисків, а це означає, що вірус проникне і в машини, завантажуються з зараженого диска. Враховуючи той факт, що кожен з них існує в декількох модифікаціях, потрібно збільшити це число в 5-10 разів Більшість вірусів поширюється одним з двох методів: заражаючи файли або завантажувальні сектори.
Вважають, що ідею створення комп’ютерних вірусів окреслив письменник-фантаст Т. Дж. Райн, котрий в одній із своїх книжок, написаній в США в 1977 р., описав епідемію, що за короткий час охопила біля 7000 комп’ютерів. Причиною епідемії став комп’ютерний вірус, котрий передавався від одного комп’ютера до другого, пробирався в їх операційні системи і виводив комп’ютери з-під контролю людини.
В 70-х роках, коли вийшла книжка Т. Дж. Райна, описані в ній факти здавалися фантастикою, і мало хто міг передбачати, що вже в кінці 80-х років проблема комп’ютерних вірусів стане великою дійсністю, хоч і не смертельною для людства в єдиноборстві з комп’ютером, але призвівшою до деяких соціальних і матеріальних втрат. Під час досліджень, проведених, однією з американських асоціацій по боротьбі з комп’ютерними вірусами, за сім місяців 1988 р. комп’ютери, які належали фірмам-членам асоціації, піддавались дії 300 масових вірусних атак, які знищили близько 300 тис. комп’ютерних систем, на відтворення яких було затрачено багато часу і матеріальних затрат. В кінці 1989 р. в пресі з’явилося повідомлення про знаходження в Японії нового, надзвичайно підступного і руйнівного віруса (його назвали хробаком), за короткий час він знищив велику кількість машин, під’єднаних до комунікаційних ліній. Переповзаючи від комп’ютера до комп’ютера, по з’єднуючих їх комунікаціях, «черв’як» спроможний знищувати вміст пам’яті, не залишаючи ніяких надій на відновлення даних. Збиток, який наноситься комп’ютерними вірусами, зростає, а їх небезпечність для таких важливих систем, як оборона, транспорт, зв’язок, поставила проблему комп’ютерних вірусів в ряд тих, котрі як правило знаходяться під пристальним наглядом органів державної безпеки. [1]
Також вважають що історія починається в 1983 році, коли американський учений Фред Коэн (Fred Cohen) у своїй дисертаційній роботі, присвяченої дослідженню комп'ютерних програм, що самовідтворюються, уперше ввів термін комп'ютерний вірус. Відома навіть точна дата - 3 листопада 1983 року, коли на щотижневому семінарі по комп'ютерній безпеці в Університеті Південної Каліфорнії (США) був запропонований проект по створенню програми, що самопоширюється, що відразу охрестили вірусом. Для її налагодження треба було 8 годин комп'ютерного часу на машині VAX 11/750 під керуванням операційної системи Unix і рівно через тиждень, 10 листопада відбулася перша демонстрація. Фредом Коэном за результатами цих досліджень була опублікована робота "Computer Viruses: theory and experiments" с докладним описом проблеми [24]
Перші вірусні епідемії
* Brain (1986 рік) — перший вірус для IBM-сумісних комп'ютерів, що викликав глобальну епідемію. Він був написаний двома братами-програмістами Баситом Фарук й Амжадом Алви (Basit Farooq Alvi й Amjad Alvi) з Пакистану з метою визначення рівня піратства в себе в країні: вірус заражав завантажувальні сектори, міняв мітку диска на "(c) Brain" і залишав повідомлення з іменами, адресою й телефоном авторів. В одному тільки США вірус заразив понад 18 тисяч комп'ютерів. Відмітною рисою його була функція підміни в момент звертання до нього зараженого сектора незараженим оригіналом. Це надає право назвати Brain першим відомим стелс-вирусом. Протягом декількох місяців програма вийшла за межі Пакистану й до лету 1987 року епідемія досягла глобальних масштабів. Нічого деструктивний вірус не робив.
* Lehigh (1987 рік) — перший по-справжньому шкідливий вірус, що викликав епідемію в Лехайском університеті (США), де в той час працював Фред Коэн. Він заражав тільки системні файли COMMAND.COM і був запрограмований на видалення всієї інформації на поточному диску. Протягом декількох днів був знищений уміст сотень дискет з бібліотеки університету й особистих дискет студентів. Усього за час епідемії було заражено біля чотирьох тисяч комп'ютерів. [26]
* Jerusalem. З'явиться 13 травня 1988 року. Вірус знищував заражені файли при їх запуску. Був створений в Ізраїлі аспірантом Корнельського університету Робертом Морісом. Заразив більше 6 тисяч комп'ютерів Близького Сходу, США, Європи і завдав шкоди понад 10 млн. доларів.
* Mike RoChenle — псевдонім автора першої відомої вірусної містифікації. У жовтні 1988 року він розіслав на станції BBS велика кількість повідомлень про вірус, що передається від модему до модему зі швидкістю 2400 біт/с. Як панацея пропонувалося перейти на використання модемів зі швидкістю 1200 біт/с. Як це ні смішно, багато користувачів дійсно пішли цій раді.
* Хробак Морриса (листопад 1988) — з ним зв'язана перша епідемія, викликана мережним хробаком. 60000-байтная програма, написана 23-літнім студентом Корнельского університету (США) Робертом Моррисом, використала помилки в системі безпеки операційної системи Unix для платформ VAX й Sun Microsystems. З метою непомітного проникнення в обчислювальні системи, пов'язані з мережею Arpanet, використався підбор паролів (зі списку, що містить 481 варіант). Це дозволяло маскуватися під завдання легальних користувачів системи. Однак через помилки в коді нешкідлива за задумом програма необмежено розсилала свої копії по інших комп'ютерах мережі, запускала їх на виконання й у такий спосіб забирала під себе всі мережні ресурси.
Хробак Морріса заразив за різними оцінками від 60 000 до 90 000 комп'ютерів у США (включаючи Дослідницький центр NASA) і практично паралізував їхню роботу на строк до п'яти доби. Загальні збитки були оцінені в мінімум 8 мільйонів годин втрати доступу й понад мільйон годин прямих втрат на відновлення працездатності систем. Загальна вартість цих витрат оцінюється в 96 мільйонів доларів. Збиток був би набагато більше, якби хробак споконвічно створювався з руйнівними цілями. 4 травня 1990 року вперше в історії відбувся суд над автором комп'ютерного вірусу, що присудив Роберта Морріса до 3 рокам умовно, 400 годинникам суспільних робіт і штрафу в 10 тисяч доларів США. Епідемія хробака Морріса стала причиною створення організації CERT (Computer Emergency Response Team), у функції якої входить надання сприяння користувачам у запобіганні й розслідуванні комп'ютерних інцидентів, що мають відношення до інформаційних ресурсів. На сайті цієї організації оперативно публікуються самі останні відомості про нові шкідливі програми, виявлених слабкостей в ПО, методах захисту корпоративних мереж, аналітичні статті, а також результати різних досліджень в області комп'ютерної безпеки.
* Datacrime (1989) — вірус, що незважаючи на порівняно невелике поширення, викликав повальну істерію у світових засобах масової інформації. Він відрізнявся тим, що з 13 жовтня по 31 грудня ініціював низькорівневе форматування нульового циліндра жорсткого диска, що приводило до знищення таблиці розміщення файлів (FAT) і безповоротній втраті даних.У відповідь корпорація IBM випустила (4 жовтня 1989 року) комерційний антивірус Virscan для MS-DOS, що дозволяє шукати характерні для ряду відомих вірусів рядка у файловій системі. Вартість програми склала всього 35 доларів США.
* Aids Information Diskette (грудень 1989) — перша епідемія троянської програми. Її автор розіслав близько 20000 дискет з вірусом по адресах у Європі, Африці й Австралії, викраденим з баз дані Організації всесвітньої охорони здоров'я й журналу PC Business World. Після запуску шкідлива програма автоматично впроваджувалася в систему, створювала свої власні сховані файли й директорії й модифікувала системні файли. Через 90 завантажень операційної системи всі файли на диску ставали недоступними, крім одного - з повідомленням, що пропонувало надіслати $189 на зазначену адресу. Автор троянца, Джозеф Попп (Joseph Popp), визнаний пізніше несамовитим, був затриманий у момент пред’яви чека й засуджений за вимагання. Фактично, Aids Information Diskette - це перший й єдиний вірус, який для масового розсилання використовував дійсну пошту.
* Cascade (1989) — резидентний зашифрований вірус, що викликає характерний відеоефект - опадання букв на екрані. Примітний тим, що послужив поштовхом для професійної переорієнтації Євгенія Касперского на створення програм-антивірусів, будучи виявленим на його робочому комп'ютері. Уже через місяць другий інцидент (вірус Vacsina) був закритий за допомогою першої версії антивірусу — V, що декількома роками пізніше був перейменований в AVP — AntiViral Toolkit Pro.
Eddie (також відомий як Dark Avenger, 1989 рік) — перший вірус, що протидіє антивірусному програмному забезпеченню: він заражає нові файли, поки антивірус перевіряє жорсткий диск комп'ютера. Це досягалося застосуванням особливої технології, що дозволяє заражати не тільки COM/EXE- програми в момент їхнього запуску, але й будь-які файли при спробі прочитання.
* Чорнобиль (CIH, Win95.CIH) За один тиждень цей вірус заразив тисячі комп'ютерів. Один з найбільш знаменитих вірусів світу. Створений у 1998 році тайванським студентом на ім'я Чен Інь Хао і названий на його ініціалами. Через Інтернет, електронну пошту і диски вірус потрапляв в комп'ютер, ховався всередині програм, а 26 квітня стирав всі дані з жорсткого диска і завдавав шкоди апаратній частини комп'ютера. Епідемія припала на квітень 1999 року. З ладу вийшло понад 300 тисяч комп'ютерів. Причому протягом кількох наступних років 26 квітня вірус продовжував свою чорну справу.
Melissa. Пришестя вірусу відбулося 26 березня 1999 року в США. Після зараження вірус шукав адресну книгу програми "MS Outlook", а потім відправляв перших 50 контактам з адресної книги свої копії. Користувач навіть не підозрював про це. Через це Microsoft, Intel та іншим великим компаніям довелося відключити корпоративні сервіси електронної пошти. У користувачів на домашній сторінці з'являлася симпатична стриптизерка. Melissa завдала більше $80 мільйонів збитку [25]
1.2 Класифікація вірусів
Сьогодні відомо більше 70000 програмних вірусів, їх можна класифікувати за такими ознаками:
— середовище існування;
— спосіб зараження середовища існування;
— вплив;
— особливості алгоритму.
У залежності від середовища існування віруси можна поділити на мережні, файлові, завантажувальні й файлово-завантажувальні. Мережні віруси поширюються у різних комп’ютерних мережах. Файлові віруси проникають головним чином у виконавчі модулі, тобто у файли, що мають розширення СОМ і ЕХЕ. файлові віруси можуть проникати і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не одержують управління і, отже, втрачають здатність до розмноження. Завантажувальні віруси проникають у завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Record). Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.
За способом зараження віруси поділяються на резидентні й не резидентні.
Резидентний вірус при зараженні (інфікуванні) комп’ютера залишає в оперативній пам’яті свою резидентну частину, яка потім перехоплює звертання операційної системи до об’єктів зараження (файлів, завантажувальних секторів дисків і т. ін.) і проникає в них. Резидентні віруси знаходяться в пам’яті і є активними аж до вимикання або перезавантаження комп’ютера. Нерезидентні віруси не заражають пам’ять комп’ютера і є активними протягом обмеженого часу.
За ступенем впливу віруси можна поділити на такі види:
— безпечні, що не заважають роботі комп’ютера, але зменшують обсяг вільної оперативної пам’яті й пам’яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах;
— небезпечні віруси, що можуть призвести до різних порушень у роботі комп’ютера;
— дуже небезпечні, вплив яких може призвести до втрати програм, знищення даних, стирання інформації у системних областях диска. [32]
За особливостями алгоритму віруси важко класифікувати внаслідок їх різноманітності.
Найпростіші віруси — паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені й знищені.
Можна відзначити віруси-реплікатори (їх називають черв"яками), що поширюються у комп’ютерних мережах, знаходять адреси мережних комп’ютерів і записують за цими адресами свої копії.
Відомі віруси-невидимки (так звані стелс-віруси), які дуже важко знайти й знешкодити, тому що вони перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска.
Найважче знайти віруси-мутанти, що містять алгоритми шифрування-розшифрування, завдяки яким копії одного й того вірусу не мають жодного повторюваного ланцюжка байтів. Є й так звані квазівірусні (троянські) програми, що хоча й не здатні до самопоширення, але дуже небезпечні, тому що, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків. [34]
Основні види вірусів і схеми їх функціонування
Серед усієї розмаїтості вірусів можна виділити такі основні групи:
— завантажувальні;
— файлові;
— файлово-завантажувальні.
Завантажувальні віруси
Розглянемо схему функціонування дуже простого завантажувального вірусу. Що заражає диски. Ми свідомо уникнемо розгляду всіх численних тонкощів, які неминуче зустрілися б при послідовному розбиранні алгоритму його функціонування. Що відбувається, коли ви вмикаєте комп’ютер? Спершу управління передається програмі початкового завантаження (ППЗ), що зберігається в постійно запам’ятовуючому пристрої (ПЗП). Будь-який диск розмічений на так звані сектори і доріжки. Серед секторів є кілька службових, що використовуються операційною системою для власних потреб (у цих секторах не можуть розміщуватися ваші дані). Серед службових секторів нас поки цікавить один — сектор початкового завантаження (boot-sector)
У секторі початкового завантаження зберігається інформація про дискету — кількість поверхонь, кількість доріжок, кількість секторів і т. ін. Але нас зараз цікавить не ця інформація, а невелика програма початкового завантаження (ППЗ), що повинна завантажити саму операційну систему і передати їй управління. Таким чином, нормальна схема початкового завантаження має такий вигляд:
ППЗ (ПЗП) - ППЗ (диск) - СИСТЕМА.
У завантажувальних вірусах виділяють дві частини — так звані голову і хвіст. Хвіст, узагалі кажучи, може бути порожнім.
Нехай у вас є чиста дискета і заражений комп’ютер, під яким ми розуміємо комп’ютер з активним резидентним вірусом. Як тільки цей вірус виявить, що в дисководі з"явилася відповідна жертва (у нашому випадку не захищена від запису і ще не заражена дискета), він приступає до зараження. Заражаючи дискету, вірус виконує такі дії:
— виділяє певну область диска і позначає її як недоступну для операційної системи. Це можна зробити по-різному, у найпростішому й традиційному випадку зайняті вірусом сектори позначаються як збійні (bad);
— копіює у виділену область диска свій хвіст і оригінальний (здоровий) завантажувальний сектор;
— заміщає програму початкового завантаження в завантажувальному секторі (оригінальному) своєю головою;
— організовує ланцюжок передачі управління відповідно до схеми.
Таким чином, голова вірусу тепер першою одержує управління, вірус установлюється в пам’ять і передає управління оригінальному завантажувальному секторові. У ланцюжку ППЗ (ПЗП) - ППЗ (диск) - СИСТЕМА з’являється нова ланка: ППЗ (ПЗП) - ВІРУС - ППЗ (диск) - СИСТЕМА.
Як правило, віруси здатні заражати не тільки завантажувальні сектори дискет, але і завантажувальні сектори вінчестерів. При цьому, на відміну від дискет, на вінчестері є два типи завантажувальних секторів, що містять програми початкового завантаження, які одержують управління. При завантаженні комп’ютера з вінчестера першою бере на себе управління програма початкового завантаження в MBR (Master Boot Record — головний завантажувальний сектор). Якщо ваш жорсткий диск розбитий на кілька розділів, то лише один із них позначений як завантажувальний (boot). Програма початкового завантаження в MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Код останньої збігається з кодом програми початкового завантаження, що міститься на звичайних дискетах, а відповідні завантажувальні сектори відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об"єкти атаки завантажувальних вірусів — програма початкового завантаження в MBR і програма початкового завантаження в boot-секторі завантажувального диска.
Файлові віруси
Розглянемо тепер схему роботи простого файлового вірусу. Нехай у нас є інфікований виконуваний файл. При запуску такого файла вірус одержує управління, виконує деякі дії і передає управління «хазяїнові» (хоча ще невідомо, хто в такій ситуації хазяїн). Які ж дії виконує вірус? Він шукає новий об’єкт для зараження — підходящий за типом файл, який ще не заражений (у тому випадку, якщо вірус «пристойний», бо трапляються такі, що заражають відразу, нічого не перевіряючи). Заражаючи файл, вірус проникає в його код, щоб одержати управління при запуску цього файла. Крім своєї основної функції — розмноження, — вірус може зробити що-небудь вигадливе (сказати, запитати, зіграти) — це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентний, то він установиться в пам"ять і одержить можливість заражати файли і виявляти інші можливості не тільки під час роботи зараженого файла. Заражаючи виконуваний файл, вірус завжди змінює його код, отже, зараження виконуваного файла завжди можна виявити. Але, змінюючи код файла, вірус не обов’язково вносить інші зміни:
— він не зобов’язаний змінювати довжину файла;
— не заражає не використовувані ділянки коду;
— не зобов’язаний змінювати початок файла.
Завантажувально-файлові віруси
Останнім часом з’явився завантажувально-файловий вірус OneHalf, що заражає головний завантажувальний сектор (MBR) і виконувані файли. Основна руйнівна дія — шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову порцію секторів, а зашифрувавши половину жорсткого диска, радісно сповіщає про це. Основна проблема при лікуванні цього вірусу полягає в тому, що недостатньо є просто видалити вірус із MBR і файлів, треба розшифрувати зашифровану ним інформацію. Але найкраще просто переписати новий здоровий MBR. Головне — не панікуйте. Зважте все спокійно, порадьтеся з фахівцями [27]
Поліморфні віруси
Багато питань пов’язано з терміном «поліморфний вірус». Цей вид комп’ютерних вірусів сьогодні є найбільш небезпечним. Пояснимо ж, що це таке. Поліморфні віруси — віруси, що модифікують свій код у заражених програмах таким чином, що два екземпляри одного й того вірусу можуть не збігатися ні в одному біті.
Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але й містять код генерації шифрувальника і розшифровувача, що відрізняє їх від звичайних шифрувальних вірусів, які також можуть шифрувати ділянки свого коду, але мають при цьому постійний код шифрувальника й розшифровувача. Поліморфні віруси — це віруси з розшифровувачами, які само модифікуються. Мета такого шифрування: маючи заражений і оригінальний файли, ви все одно не зможете проаналізувати його код за допомогою звичайного дизасемблерування. Цей код зашифрований і являє собою безглуздий набір команд. Розшифровка здійснюється самим вірусом уже безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе усього відразу, а може виконати таку розшифровку у процесі роботи, може знову шифрувати уже виконані ділянки. Усе це робиться заради ускладнення аналізу коду вірусу.
Макровіруси
Програми, що підтримують макроси, ризикують бути зараженими макровірусами. Макровіруси — це команди, вбудовані у файли разом із даними. Прикладами таких програм є Word, Excel й інтерпретатори Postscript. Коли вони відкривають файли даних, то відбувається зараження макровірусом. Найбільш поширеними є макровіруси для Microsoft Word через його розповсюдженість і наявність у ньому засобів автоматизації [2]
Отже в бакалаврській роботі ми вирішили більш детально розглянути деякі основні поняття найнебезпечніших вірусів та програм.
Троянська програма - це програма, яка зовні виглядає як легальний програмний продукт, але при запуску здійснює шкідливі дії. Троянські програми не можуть розповсюджуватися самі по собі, і цим вони відрізняються від вірусів і черв'яків. Зазвичай троянці скритно встановлюються на комп'ютер і виконують шкідливі дії без відома користувача. Трояни різних видів становлять більшу частину сучасних шкідливих програм; всі вони пишуться спеціально для виконання конкретної злобливої функції. Найчастіше зустрічаються backdoor-троянці (утиліти віддаленого адміністрування, часто включають в себе клавіатурні шпигуни), троянці-шпигуни, трояни для крадіжки паролів і троянці-проксі, що перетворюють ваш комп'ютер в машину для розсилки спаму.
DoS-атака (мережева атака, Denial of Service - відмова в обслуговуванні користувачів) проводиться з метою зриву або утруднення нормальної роботи веб-сайту, сервера або іншого мережевого ресурсу. Хакери здійснюють такі атаки різними способами. Один з них - це відправка на сервер численних запитів, яка може привести до утруднення або зриву роботи, якщо ресурсів сервера виявиться недостатньо для їх обробки. DDoS-атака (Distributed Denial of Service - розподілена мережна атака) відрізняється від DoS-атаки тим, що запити на атакується ресурс виробляються з великої кількості машин. Одна заражена машина часто використовується хакерами як «провідна», і управляє атакою, виробленої з інших,так званих зомбі-машин. [35]
Фішинг - це особливий вид кібершахрайство, спрямований на те, щоб обманним шляхом змусити вас розкрити персональні дані, як правило фінансового характеру. Шахраї створюють підроблений веб-сайт, який виглядає як сайт банку (або як будь-який інший сайт, через який здійснюються фінансові операції, наприклад eBay). Потім злочинці намагаються заманити вас на цей сайт, щоб ви ввели на ньому конфіденційні дані, такі як логін, пароль або PIN-код. Часто для цього шахраї за допомогою спаму поширюють посилання на цей сайт. [36]
Руткіт (rootkit) - це набір програм, використовуваний хакерами для приховування своєї присутності в системі при спробах несанкціонованого доступу до комп'ютера. Термін прийшов з Unix-систем і позначає методи, які автори троянських програм, працюючих під Windows, використовують для маскування шкідливої активності своїх зловредів. Встановлені в системі руткіти не тільки не видно користувачам, але й уникають виявлення антивірусним ПЗ. За рахунок того, що багато користувачів входять у систему як адміністратори, не створюючи окремої облікового запису з обмеженими правами для щоденної роботи, для зловмисників завдання впровадження руткітів спрощується. [37]
Поняття "шкідливі програми" (malware) об'єднує всі програми, створювані і використовувані для здійснення несанкціонованих і часто шкідливих дій. Віруси, backdoor-програми (створювані для незаконного віддаленого адміністрування), клавіатурні шпигуни, програми для крадіжки паролів і інші типи троянців, макровіруси для Word і Excel, віруси сектора завантаження, скриптові віруси (BAT-віруси, windows shell-віруси, java-віруси і т.д.) і скриптові троянці, шахрайське ПЗ, шпигунські і рекламні програми - це далеко неповний список того, що класифікується як шкідливі програми. Колись для опису всіх шкідливих програм вистачало понять "вірус" і "троянець". Проте технології та методи зараження комп'ютерів з тих пір пішли вперед, і цих двох понять стало недостатньо для опису всього існуючого різноманіття шкідливих програм. [38]
Клавіатурний шпигун - це програма, яка відстежує натискання кнопок на клавіатурі. За допомогою неї зловмисник може отримати доступ до конфіденційних даних (логіни, паролі, номери кредитних карт, PIN-коди і т.п.) Клавіатурні шпигуни часто входять до складу backdoor-троянців [3]
Симптоми зараження шкідливою програмою або ознаки хакерської атаки:
Зрозуміти, заражений ваш комп'ютер чи ні, не завжди легко. Автори сучасних вірусів, хробаків і троянських програм докладають значних зусиль, щоб приховати присутність шкідливого коду в системі. Ось чому так важливо слідувати порадам, наведеному в цьому посібнику - зокрема, встановити на своєму комп'ютері антивірусне ПЗ класу Internet Security, завантажувати оновлення, що закривають уразливості операційної системи і окремих додатків, і регулярно зберігати резервні копії даних.
Перелічити всі характерні ознаки зараження складно, тому що одні й ті ж симптоми можуть бути викликані як впливом шкідливого ПО, так і іншими програмними або апаратними проблемами. Ось лише кілька прикладів:
Ваш комп'ютер веде себе дивно, незвично. На екрані з'явилися несподівані повідомлення або зображення. Ви чуєте несподівані звуки, що відтворюються у випадковому порядку. Відбувається несподіваний запуск програм. Ваш персональний мережевий екран повідомляє, що якесь додаток намагається з'єднатися з інтернетом, хоча ви цю програму не запускали. Ваші друзі отримують від вас по електронній пошті повідомлення, яких ви не надсилали. Ваш комп'ютер часто зависає, або програми стали виконуватися повільно. Ви отримуєте безліч системних повідомлень про помилку. При включенні комп'ютера операційна система не завантажується. Ви виявили пропажу або зміна файлів або папок. Загоряється індикатор доступу до жорсткого диска, хоча ви не запускали ніяких програм. Ваш браузер веде себе неадекватно - наприклад, ви не можете закрити вікно браузера. [4]
Є також непрямі ознаки зараження комп'ютера: часті зависання і збої в роботі комп'ютера; повільна робота комп'ютера при запуску програм; неможливість завантаження операційної системи; зникнення файлів і каталогів чи спотворення їх вмісту; часте звертання до жорсткого диска (часто блимає лампочка на системному блоці); інтернет-браузер «зависає» або поводиться несподіваним чином (наприклад, вікно програми неможливо закрити). У 90% випадків наявність непрямих симптомів викликано збоєм в апаратному або програмному забезпеченні. Незважаючи на те, що подібні симптоми з малою ймовірністю свідчать про зараження, при їх появі рекомендується провести повну перевірку комп'ютера встановленої на ньому антивірусною програмою. Якщо ви виявили один або декілька перерахованих вище симптомів, не лякайтеся. Можливо, причиною збоїв є не вірус, черв'як або троянська програма, а інша програмна або апаратна проблема. У будь-якому випадку, вам слід зробити наступні кроки: Відключіть комп'ютер від інтернету.
Якщо операційна система не завантажується, завантажте комп'ютер у безпечному режимі (включіть комп'ютер, натисніть і утримуйте клавішу F8, потім виберіть Безпечний режим (Safe Mode) в меню) або завантажити з диска аварійного відновлення. Переконайтеся в тому, що на вашому комп'ютері встановлено новітні версії антивірусних баз. Якщо можливо, використовуйте для завантаження оновлень не свій комп'ютер, а комп'ютер у друзів або на роботі: якщо ваш комп'ютер заражений, то підключення до інтернету дозволить шкідливій програмі відправити важливу інформацію зловмисникам або переслати копію свого коду користувачам, чиї адреси збережені на вашому комп'ютері.
Якщо у вас виникли проблеми з видаленням шкідливих файлів, перевірте, чи немає на сайті виробника встановленого у вас антивірусного ПЗ інформації про спеціальні утиліти, необхідних для видалення конкретної шкідливої програми. Якщо ваш комп'ютер підключений до локальної мережі, від'єднайте його від мережі. Проведіть повну антивірусну перевірку комп'ютера. Якщо в результаті перевірки виявлено вірус, черв'як або троянська програма, слідуйте вказівкам виробника антивірусного ПЗ. Хороші антивіруси пропонують лікування заражених об'єктів, приміщення підозрілих об'єктів в карантин і видалення троянських програм і черв'яків. Вони також створюють звіт зі списком заражених файлів та зловмисних програм, виявлених на комп'ютері. Якщо антивірусне рішення не виявило шкідливих програм, то ваш комп'ютер, швидше за все, не заражений. Перевірте програмне і апаратне забезпечення, встановлене на комп'ютері (видаліть неліцензійні програми і непотрібні файли), та встановіть останні оновлення операційної системи і прикладних програм. Якщо необхідно, зверніться за допомогою до служби технічної підтримки виробника встановленого на вашому комп'ютері антивірусного ПЗ. Дізнайтеся у фахівця служби технічної підтримки, як відправити зразок зараженого файлу в антивірусну лабораторію на аналіз.[5]
Методи виявлення вірусів.
Антивірусне програмне забезпечення зазвичай використовує два відмінних один від одного методу для виконання своїх завдань:
Сканування файлів для пошуку відомих вірусів, що відповідають визначенню в антивірусних базах. Виявлення підозрілої поведінки будь-якої з програм, схожого на поведінку за вираженої програми. Метод відповідності визначенню вірусів в словнику. Це метод, при якому антивірусна програма, аналізуючи файл, звертається до антивірусних баз, складеним виробником програми-антивіруса. У разі відповідності небудь ділянки коду проглядається файлу (сигнатурі) вірусу в базах, програма-антивірус може за запитом виконати одну з наступних дій:
Видалити інфікований файл. Заблокувати доступ до інфікованому файлу. Відправити файл в карантин (тобто зробити його недоступним для виконання з метою недопущення подальшого розповсюдження вірусу). Спробувати «вилікувати» файл, видаливши тіло вірусу з файлу. У разі неможливості лікування видалення, виконати цю процедуру при наступній перезавантаженні операційної системи. Вірусна база регулярно оновлюється виробником антивірусів, користувачам рекомендується оновлювати їх як можна частіше. Деякі з продуктів для кращого виявлення використовують кілька ядер для пошуку і видалення вірусів і програм-шпигунів. Наприклад, у розробці NuWave Software використовується одночасно п'ять ядер (три для пошуків вірусів і два для пошуку програм-шпигунів). Для багатьох антивірусних програм з базою сигнатур характерна перевірка файлів в момент, коли операційна система звертається до файлів. Таким чином, програма може виявити відомий вірус відразу після його отримання. При цьому системний адміністратор може встановити в антивірусній програмі розклад для регулярної перевірки (сканування) всіх файлів на жорсткому диску комп'ютера. Хоча антивірусні програми, створені на основі пошуку сигнатур, за звичайних обставин можуть досить ефективно перешкоджати зараженню комп'ютерів, автори вірусів намагаються обійти такі антивіруси, створюючи «олігоморфні», «поліморфічні» і «метаморфічні» віруси, окремі частини яких шифруються або спотворюються так, щоб було неможливо виявити збіг із записом в сигнатурі.
Метод виявлення дивної поведінки програм. Антивіруси, що використовують метод виявлення підозрілої поведінки програм не намагаються ідентифікувати відомі віруси, замість цього вони простежують поведінку всіх програм. Якщо програма намагається виконати будь-які підозрілі з точки зору антивірусної програми дії, то така активність буде заблокована, або ж антивірус може попередити користувача про потенційно небезпечних діях такої програми. В даний час подібні превентивні методи виявлення шкідливого коду в тому чи іншому вигляді, широко застосовуються в якості модуля антивірусної програми, а не окремого продукту. На відміну від методу пошуку відповідності визначенню вірусу в антивірусних базах, метод виявлення підозрілої поведінки дає захист від нових вірусів, яких ще немає в антивірусних базах. Але разом з тим, такий метод дає велику кількість помилкових спрацьовувань, виявляючи підозрілу активність серед не шкідливих програм. Деякі програми або модулі, побудовані на цьому методі, можуть видавати занадто велика кількість попереджень, що може заплутати користувача.
Метод виявлення за допомогою емуляції. Деякі програми-антивіруси намагаються імітувати початок виконання коду кожної нової спричиненої на виконання програми перед тим як передати їй управління. Якщо програма використовує само змінювані коди або проявляє вірусну активність, така програма буде вважатися шкідливою, здатною заразити інші файли. Однак цей метод теж рясніє великою кількістю помилкових попереджень.
Метод «Білого списку». Загальна технологія по боротьбі з шкідливими програмами - це «білий список». Замість того, щоб шукати тільки відомі шкідливі програми, ця технологія запобігає виконання всіх комп'ютерних кодів за винятком тих, які були раніше позначені системним адміністратором як безпечні. Вибравши цей параметр відмови за замовчуванням, можна уникнути обмежень, характерних для оновлення сигнатур вірусів. До того ж, ті програми на комп'ютері, які системний адміністратор не хоче встановлювати, не виконуються, тому що їх немає в «білому списку». Так як у сучасних підприємств є безліч надійних додатків, відповідальність за обмеження у використанні цієї технології покладається на системних адміністраторів і відповідним чином складені ними «білі списки» надійних додатків. Робота антивірусних програм з такою технологією включає інструменти для автоматизації переліку та експлуатації дій з «білим списком» [10]
Однак, всі активно просуваються на ІТ ринку антивіруси працюють за принципом «чорного списку», і ось чому: щоб працювати за схемою підписки, при якій є послуга з боку антивірусної компанії по підтримці сигнатурних баз, тобто чорного списку, в актуальному стані і є регулярні відрахування за користування цією послугою. Саме через незрівнянно більшої прибутковості методу «чорного списку» для антивірусних компаній метод «білого списку» залишається незаслужено непоміченим.
Евристичний аналіз - це сукупність функцій антивіруса, націлених на виявлення невідомих вірусних баз шкідливих програм, але в той же час цей же термін позначає один з конкретних способів. Евристичне сканування в цілому схоже з сигнатурним, проте, на відміну від нього, шукається не точне збіг із записом в сигнатурі, а допускається розбіжність. Таким чином стає можливим виявити різновид раніше невідомого вірусу без необхідності оновлення сигнатур. Також антивірус може використовувати універсальні евристичні сигнатури, в яких закладено загальний вигляд шкідливої програми. У такому разі антивірусна програма може лише класифікувати вірус, але не дати точної назви. HIPS. HIPS - система моніторингу всіх додатків, що працюють в системі, з чітким поділом прав для різних додатків. Таким чином HIPS може запобігти деструктивну діяльність вірусу, не давши йому необхідних прав. Додатка діляться на групи, починаючи від «Довірених», права яких не обмежені, закінчуючи «Заблокованими», яким HIPS не дасть прав навіть на запуск.
Ознаки комп’ютерних вірусів:
Повільна робота комп’ютера. Часті зависання та збої у роботі комп’ютера.
Неправильна робота програм, які до цього працювали коректно
Змінення розмірів файлів. Зникнення файлів та папок або збільшення кількості файлів на диску. Зменшення обсягу вільної оперативної пам’яті. Виведення на екран несподіваних повідомлень, малюнків, подання непередбачених звукових сигналів. Неможливість завантаження операційної системи. [6]
Найбільш небезпечні комп'ютерні віруси станом на 2013 рік: (з 2000-2013рік)
1. I Love You (Лист щастя)
З'явився в травні 2000 року і вважається самим шкідливим за всю історію існування Інтернету. Був створений на Філіппінах і навіть зумів заразити Пентагон. Поширювався по електронній пошті. Користувачам приходив лист із темою: "Я т