Полиморфные вирусы стелс-вирусы руткиты

Компьютерный вирус — вредоносная программа, главной задачей которой может быть повреждение системы, на которой она установлена, перехват информации с компьютера и саморепликация — способность к размножению.

Классификация вирусов

Так как единой классификации вирусного ПО на данный момент не существует, их классифицируют условно по определенным критериям:

• Руткит (англ. rootkit) — вирус, предназначенный для сокрытия присутствия других вредоносных программ.
• Стелс-вирус (от англ. stealth virus — вирус-невидимка) — частично или полностью скрывающий свое присутствие в системе, таким образом затрудняя обнаружение антивирусной программой.
• Полиморфный вирус – вредоносная программа, с постоянно изменяющимся программным кодом.

• Microsoft Windows.
• Unix.
• Linux.
• DOS.
• Мобильные ОС.

• Загрузочный вирус — выполняет заражение Главной загрузочной записи (Master Boot Record, MBR) жесткого диска. Активируется вирус при загрузке (перезагрузке) операционной системы
• Скриптовый вирус — с помощью языков программирования добавляет себя к новым скриптам
• Файловый вирус — так называемый вирус-паразит, который при самокопировании изменяет содержимое исполняемых файлов
• Макровирус — вирус, использующий возможности макроязыков (чаще всего встраиваются в прикладные пакеты MS Word).
• Вирус, поражающий исходный код.

• Скриптовый язык.
• Ассемблер.
• Высокоуровневый язык.
• Другие языки программирования.

• Кейлоггер (от англ. key — клавиша и logger — регистрирующее устройство) — программа, выполняющая перехват и последующую отправку информации о набираемом на клавиатуре тексте.
• Шпион — вирус, собирающий данные о системе, активности программ на компьютере, посещенных сайтах и т.д.
• Бэкдор (от англ. back door — черный ход) — вирус, который после первичного доступа инсталлирует на компьютере взломщик для дальнейших подключений к системе.
• Ботнет (англ. botnet — от robot и network) — сеть компьютеров с запущенным автономным программным обеспечением — ботами. Задачей бота является подбор паролей, выполнение DDoS-атак и рассылка спама за счет ресурсов зараженного компьютера.
• Прочие разновидности.

Типы вирусов

В зависимости от способа заражения, функционала и целей, преследуемых злоумышленниками, вирусы можно разделить на следующие виды:

• Червь (Worm) — программа, которая самостоятельно создает копии самой себя, при этом не поражая другие приложения.
• Дроппер (Dropper) — исполняемый файл, который сам по себе вирусом не является, но устанавливает зловредное ПО в системе.
• Троян — вредоносная программа, проникающая в систему под видом безопасного приложения.
• Анти-антивирусный вирус (Anti-antivirus virus) — целью программы является нарушение работы антивирусного ПО, установленного на зараженном компьютере.
• Стелс-вирус (Stealth virus) — программа, частично или полностью маскирующаяся в системе с помощью специальных действий, например, перехвата обращений к ОС, направленных на получение информации о зараженных объектах.
• Модификация (modification) — измененный вариант одной и той же вирусной программы.
• Шифрованный вирус (Encrypted virus) — программа, которая самостоятельно шифрует свой исходный код, что затрудняет обнаружение в системе.
• Скрипт-вирус (Script virus) — программа, попадающая на компьютер под видом сообщения электронной почты, которое содержит в себе исполняемые файлы.
• Резидентный вирус — вирус, скрывающийся в оперативной памяти для заражения всех приложений и файлов, которые открываются либо копируются на компьютере.

Принцип работы

Механизм работы вирусной программы одинаков для всего ПО данного типа: при попадании в среду заражения, вирус внедряется в исполняемый код других программ. Чаще всего для проникновения могут использоваться уязвимости в популярных программах — почтовые клиенты, браузеры и т.д.

Среда обитания

Попасть в систему вирусное ПО может из различных источников:

Противодействие и профилактика

Основная статья: Антивирусная программа

На сегодняшний день самым действенным средством против вирусов являются антивирусные программы, позволяющие не только обнаружить и восстановить зараженные файлы, но и предотвратить их попадание на компьютер.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Тем не менее хочу предложить вам одну из классификаций:

* хочу пояснить данную классификацию определениями некоторых неизвестных многим терминов!

Файловый вирус — компьютерный вирус, распространяющийся путем внедрения своего кода в тело исполняемых файлов. При каждом запуске такого заражённого файла сначала выполняется код вируса, и только потом — код самой программы.
Загрузочный вирус — компьютерный вирус, записывающийся в первый сектор гибкого или жесткого диска и выполняющийся при загрузке компьютера.
Скриптовые вирусы - такие виды компьютерных вирусов достаточно просты для написания и распространяются в основном посредством электронной почты. Скриптовые вирусы используют скриптовые языки для работы чтобы добавлять себя к новым созданным скриптам или распространяться через функции операционной сети. Нередко заражение происходит по e-mail или в результате обмена файлами между пользователями. Червь это программа, которая размножается самостоятельно, но которая инфицирует при этом другие программы. Черви при размножении не могут стать частью других программ, что отличает их от обычных видов компьютерных вирусов.
Макровирус — это разновидность компьютерных вирусов, разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.
DOS (дисковая операционная система, ДОС) — семейство операционных систем для персональных компьютеров, ориентированных на использование дисковых накопителей, таких как жёсткий диск и дискета.
Microsoft Windows — семейство проприетарных операционных систем корпорации Microsoft, ориентированных на применении графического интерфейса при управлении. Изначально Windows была всего лишь графической надстройкой для MS-DOS.
UNIX — семейство переносимых, многозадачных и многопользовательских операционных систем.
Полиморфизм компьютерного вируса — форма, внешний вид) — специальная техника, используемая авторами вредоносного программного обеспечения для снижения уровня детектирования вредоносной программы классическими антивирусными продуктами.
Стелс-вирус — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)

Руткит — набор программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), для обеспечения:

• маскировки объектов (процессов, файлов, директорий, драйверов)
• контроля (событий происходящих в системе)
• сбора данных (параметров системы)

Язык ассемблера — машинно-ориентированный язык низкого уровня с командами, обычно соответствующими командам машины, который может обеспечить дополнительные возможности вроде макрокоманд; автокод, расширенный конструкциями языков программирования высокого уровня, такими как выражения, макрокоманды, средства обеспечения модульности программ.
Высокоуровневый язык программирования — язык программирования, разработанный для быстроты и удобства использования программистом. Основная черта высокоуровневых языков — это абстракция, то есть введение смысловых конструкций, кратко описывающих такие структуры данных и операции над ними, описания которых на машинном коде (или другом низкоуровневом языке программирования) очень длинны и сложны для понимания.
Сценарный язык — высокоуровневый язык программирования для написания сценариев — кратких описаний действий, выполняемых системой. Разница между программами и сценариями довольно размыта. Сценарий — это программа, имеющая дело с готовыми программными компонентами.
Бэкдор — программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе.
Кейлогер— это программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя - нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т.д.
Spyware (шпионское программное обеспечение) — программа, которая скрытным образом устанавливается на компьютер с целью сбора информации о конфигурации компьютера, пользователе, пользовательской активности без согласия последнего. Также могут производить другие действия: изменение настроек, установка программ без ведома пользователя, перенаправление действий пользователя.
Ботнет — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или не одобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

Компью́терный ви́рус — разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Некомпетентные пользователи ошибочно относят к компьютерным вирусам и другие виды вредоносных программ — программы-шпионы и прочее. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному кодексу РФ (Уголовный кодекс Российской Федерации, Глава 28, Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ). Согласно доктрине информационной безопасности РФ, в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, детскими порносайтами и обеспечению информационной безопасности в сетях ЭВМ.

Содержание

Формальное определение

Классификация

Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

• по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);
• по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);
• по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
• по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
• по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

Признаки заражения вирусом

Существует ряд признаков, которые могут сопутствовать заражению вирусом: появление на экране непредусмотренных сообщений и запросов, изображений и звуковых сигналов; самопроизвольный запуск программ без участия пользователя; попытки неизвестных программ подключиться к Интернету без ведома пользователя и т. п. О поражении вирусом через почту может свидетельствовать то, что друзья и знакомые пользователя говорят о сообщениях от него, которые он не отправлял; наличие в почтовом ящике большого количества сообщений без обратного адреса и заголовков. Однако эти признаки не всегда являются следствием присутствием вирусов. Например, в случае с почтой заражённые сообщения могут рассылаться с обратным адресом пользователя с других компьютеров.

Распространение

Противодействие обнаружению

Во времена MS-DOS были распространены стелс-вирусы, перехватывающие прерывания для обращения к операционной системе. Вирус таким образом мог скрывать свои файлы из дерева каталогов или подставлять вместо зараженного файла исходную копию.

С широким распространением антивирусных сканеров, проверяющих перед запуском любой код на наличие сигнатур или выполнение подозрительных действий, этой технологии стало недостаточно. Сокрытие вируса из списка процессов или дерева каталогов для того, чтобы не привлекать лишнее внимание пользователя, является базовым приемом, однако для борьбы с антивирусами требуются более изощренные методы. Для противодействия сканированию на наличие сигнатур применяется шифрование кода и полиморфизм. Эти техники часто применяются вместе, поскольку для расшифрования зашифрованной части вируса необходимо оставлять расшифровщик незашифрованным, что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяют полиморфизм — модификацию последовательности команд, не изменяющую выполняемых действий. Это возможно благодаря весьма разнообразной и гибкой системе команд процессоров Intel, в которой одно и то же элементарное действие, например сложение двух чисел, может быть выполнено несколькими последовательностями команд.

Также применяется перемешивание кода, когда отдельные команды случайным образом разупорядочиваются и соединяются безусловными переходами. Передовым фронтом вирусных технологий считается метаморфизм, который часто путают с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция — расшифровать основное тело вируса после внедрения, то есть после того как его код будет проверен антивирусом и запущен. Он не содержит самого полиморфного движка, который находится в зашифрованной части вируса и генерирует расшифровщик. В отличие от этого, метаморфный вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код.

Профилактика и лечение

В настоящий момент существует множество антивирусных программ, используемые для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:

1. Не работать под привилегированными учётными записями без крайней необходимости.
2. Не запускать незнакомые программы из сомнительных источников.
3. Стараться блокировать возможность несанкционированного изменения системных файлов.
4. Отключать потенциально опасный функционал системы (например autorun носителей в MS Windows, сокрытие файлов, их расширений и пр.).
5. Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.
6. Пользоваться только доверенными дистрибутивами.
7. Постоянно делать резервные копии важных данных и иметь образ системы со всеми настройками для быстрого развёртывания.
8. Выполнять регулярные обновления часто используемых программ, особенно, обеспечивающих безопасность системы.

Dr. Web — антивирусы этого семейства предназначены для защиты от почтовых и сетевых червей, руткитов, файловых вирусов, троянских программ, стелс-вирусов, полиморфных вирусов, бестелесных вирусов, макровирусов, вирусов, поражающих документы MS Office, скрипт-вирусов, шпионского ПО (spyware), программ-похитителей паролей, клавиатурных шпионов, программ платного дозвона, рекламного ПО (adware), потенциально опасного ПО, хакерских утилит, программ-люков, программ-шуток, вредоносных скриптов и других вредоносных объектов, а также от спама, скаминг-, фарминг-, фишинг-сообщений и технического спама.

Характерные особенности:

Характерной особенностью антивируса Dr. Web является возможность установки на зараженную машину. В процессе установки производится сканирование памяти и файлов автозагрузки, перед сканированием производится обновление вирусной базы. При этом выпуски обновлений вирусных баз производятся с периодичностью в несколько часов и менее

Origins Tracing — алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор, даёт возможность значительно повысить уровень детектирования ранее неизвестных вредоносных программ.

Dr. Web Shield — механизм борьбы с руткитами, реализованный в виде драйвера компонент антивирусного сканера, обеспечивает доступ к вирусным объектам, скрывающимся в глубинах операционной системы.

Fly-code — эмулятор нового поколения с динамической транляцией кода, реализующий механизм универсальной распаковки вирусов, защищённых от анализа и детектирования одним или цепочкой новых и/или неизвестных упаковщиков, крипторов и дропперов. Это позволяет распаковывать файлы, защищённые, к примеру, ASPROTECT, EXECRYPTOR, VMPROTECT и тысячями других упаковщиков и протекторов, включая неизвестные антивирусу.

поддержка большинства существующих форматов упакованных файлов и архивов, в том числе многотомных и самораспаковывающихся архивов. На данный момент имеется поддержка около 4000 видов различных архивов и упаковщиков.

обновления вирусных баз производятся немедленно по мере выявления новых вирусов, до нескольких раз в час. Разработчики антивирусного продукта отказались от выпуска обновлений вирусных баз по какому-либо графику, поскольку вирусные эпидемии не подчиняются таковым.

компактная вирусная база и небольшой размер обновлений. Одна запись в вирусной базе позволяет определять десятки, в ряде случаев тысячи подобных вирусов.
небольшой размер дистрибутива.

кроссплатформенность — используется единая вирусная база и единое ядро антивирусного сканера.
возможность полноценной работы сканера без инсталляции, что позволяет использовать антивирус для лечения зараженных систем с использованием носителей в режиме только для чтения.

обнаружение и лечение сложных полиморфных, шифрованных вирусов и руткитов

Функции:

Защита от вирусов, троянских программ и червей.

Защита от шпионских и рекламных программ.

Проверка файлов в автоматическом режиме и по требованию.

Проверка почтовых сообщений (перехват POP3/SMTP/IMAP).

Проверка интернет-трафика (перехват соединений).

Эвристическая защита от новых и неизвестных вредоносных программ.

Блокирование ссылок на зараженные сайты.

Распознавание вирусов, упакованных новым и/или неизвестным упаковщиком, дроппером и/или криптором.

Восстановление системы и данных

Возможность установки программы на зараженный компьютер.

Функция самозащиты программы от выключения или остановки.

Автоматическая настройка программы в процессе установки.

Наглядное отображение результатов работы программы.

Информативные диалоговые окна для принятия пользователем обоснованных решений.

Возможность выбора между простым автолечением / удалением и интерактивным режимами работы.

Круглосуточная техническая поддержка.

Автоматическое обновление баз.

История создания

История разработки антивируса Игоря Данилова начинается с 1991 года, а под маркой Dr. Web антивирусы разрабатываются и распространяются с 1994 года.

Награды

По результатам теста на лечение активного заражения (октябрь 2008), проведённого сайтом anti-malware.ru, Dr. Web единственный из всех участников набрал максимально возможное число баллов и получил Platinum Malware Treatment Award. По результатам теста самозащиты антивирусных продуктов (январь 2009), проведённого сайтом anti-malware.ru, Dr. Web единственный из всех участников набрал максимально возможное число баллов и получил Platinum Self-Protection Award. По результатам теста проактивной защиты (март 2009), проведённого сайтом anti-malware.ru, Dr. Web занял второе место и получил награду Silver Proactive Protection Award.

для защиты рабочих станций и файловых серверов под управлением Windows;

для защиты корпоративной сети и сетей национального масштаба с централизованным управлением антивирусной защитой;

сервис AV-desk[5] для ISP;

для защиты почтовых и файловых серверов под UNIX-системами;

для защиты интернет-шлюзов под UNIX-системами;

для защиты файловых серверов под Novell NetWare;

для защиты серверов Lotus Domino на платформе Microsoft Windows;

для защиты серверов Microsoft Exchange;

для защиты КПК под управлением Windows Mobile;

для защиты рабочих станций Mac OS X.

CureIT!

Компания выпускает также бесплатную версию сканера CureIT!, которая не требует установки. Для обновления антивирусной базы необходимо загрузить с сайта актуальную версию программы (нет возможности автоматического обновления). Число запусков данной программы не ограничивается. При запуске пользователю предлагают проверить запущенные процессы и библиотеки, по окончании проверки можно проверить любой указанный пользователем путь, при этом в процессы проверки активирована опция эвристического анализа.

С осени 2009 года изменены условния лицензирования сканера — теперь бесплатно использовать его могут только домашние пользователи, использование для организаций и в коммерческих целях стало платным. В коммерческой версии CureIT присутствует утилита обновления баз.

CureNet!

Dr.Web CureNet! — сетевая утилита с централизованным управлением для удаленной проверки и лечения зараженных рабочих станций и серверов Windows даже полностью изолированных от Интернета. Dr.Web CureNet! позволяет использовать одновременно 2 антивируса на рабочих станциях и файловых серверах Windows: Dr.Web и антивирус другого производителя. Для этого не требуется ни наличие сервера, ни установка антивируса Dr.Web — распространение лечащих сканеров можно проводить с любого ПК. Сканеры Dr.Web не устанавливаются, а запускаются на исполнение и после проведения сеанса сканирования немедленно самоудаляются из компьютера.

Dr.Web CureNet! не является веб-сервисом, поэтому распространение лечащих сканеров на проверяемые станции не производится через Интернет, поэтому проверку можно проводить даже в сетях, полностью изолированных от Интернета.

Антивирус — это услуга (AV-Desk)

344082, г.Ростов-на-Дону, пр.Буденновский, 35, оф. 7
тел.: 8 (863) 221-63-07, 221-63-08; e-mail: info@cosmos2.ru
Отдел маркетинга и продаж: 8 (863) 240-82-17

Компью́терный ви́рус — вид вредоносного программного обеспечения, способного внедряться в код других программ, системные области памяти, загрузочные секторы, и распространять свои копии по разнообразным каналам связи.

Основная цель вируса — его распространение. Кроме того, часто его сопутствующей функцией является нарушение работы программно-аппаратных комплексов — удаление файлов и даже удаление операционной системы, приведение в негодность структур размещения данных, блокирование работы пользователей и т. п. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы, как правило, занимают место на накопителях информации и потребляют ресурсы системы.

Содержание

История [ | код ]

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ [2] .

Первыми известными вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты — CHK4BOMB и BOMBSQAD авторства Энди Хопкинса (англ. Andy Hopkins ). В начале 1985 года Ги Вонг (англ. Gee Wong ) написал программу DPROTECT — первый резидентный антивирус.

Первые вирусные эпидемии относятся к 1986-1989 годам: Brain (распространялся в загрузочных секторах дискет, вызвал крупнейшую эпидемию), Jerusalem (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске [3] ), червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток), DATACRIME (около 100 тысяч заражённых ПЭВМ только в Нидерландах).

В 1992 году появились первый конструктор вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а также готовые полиморфные модули (MtE, DAME и TPE) и модули шифрования для встраивания в новые вирусы.

В несколько последующих лет были окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а также испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II — 1991, PMBS, Shadowgard, Cruncher — 1993). Кроме того, появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Office получили распространение макровирусы (Concept, 1995).

В 1996 году появился первый вирус для Windows 95 — Win95.Boza, а в декабре того же года — первый резидентный вирус для неё — Win95.Punch.

Вирус Win95.CIH достиг апогея в применении необычных методов, перезаписывая FlashBIOS заражённых машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).

В конце 1990-x — начале 2000-x годов с усложнением ПО и системного окружения, массовым переходом на сравнительно защищённые Windows семейства NT, закреплением сетей как основного канала обмена данными, а также успехами антивирусных технологий в обнаружении вирусов, построенных по сложным алгоритмам, последние стали всё больше заменять внедрение в файлы на внедрение в операционную систему (необычный автозапуск, руткиты) и подменять полиморфизм огромным количеством видов (число известных вирусов растет экспоненциально).

Вместе с тем обнаружение в Windows и другом распространённом ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам. В 2004 году беспрецедентные по масштабам эпидемии вызывают MsBlast (по данным Microsoft, более 16 млн систем [5] ), Sasser и Mydoom (оценочные ущербы 500 млн и 4 млрд долл. соответственно [6] ).

Кроме того, монолитные вирусы в значительной мере уступают место комплексам вредоносного ПО с разделением ролей и вспомогательными средствами (троянские программы, загрузчики/дропперы, фишинговые сайты, спам-боты и пауки). Также расцветают социальные технологии — спам и фишинг — как средство заражения в обход механизмов защиты ПО.

В начале на основе троянских программ, а с развитием технологий p2p-сетей — и самостоятельно — набирает обороты самый современный вид вирусов — черви-ботнеты (Rustock, 2006, ок. 150 тыс. ботов; Conficker, 2008—2009, более 7 млн ботов; Kraken, 2009, ок. 500 тыс. ботов). Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.

Формальное определение [ | код ]

Формально вирус определён Фредом Коэном со ссылкой на машину Тьюринга следующим образом [12] :

с заданным множеством состояний S_M, множеством входных символов I_M и отображений (O_M, N_M, D_M), которая на основе своего текущего состояния s ∈ S_M и входного символа i ∈ I_M, считанного с полубесконечной ленты, определяет: выходной символ o ∈ I_M для записи на ленту, следующее состояние машины s' ∈ S_M и движения по ленте d ∈ .

Для данной машины M последовательность символов v : v_i ∈ I_M может быть сочтена вирусом тогда и только тогда, когда обработка последовательности v в момент времени t влечёт за собой то, что в один из следующих моментов времени t последовательность v′ (не пересекающаяся с v) существует на ленте, и эта последовательность v′ была записана M в точке t′, лежащей между t и t″:

Данное определение было дано в контексте вирусного множества VS = (M, V) — пары, состоящей из машины Тьюринга M и множества последовательностей символов V: v, v' ∈ V. Из данного определения следует, что понятие вируса неразрывно связано с его интерпретацией в заданном контексте, или окружении.

Другие исследователи доказали, что существуют такие типы вирусов (вирусы, содержащие копию программы, улавливающей вирусы), которые не могут быть безошибочно определены ни одним алгоритмом.

Классификация [ | код ]

Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через локальные и глобальные (Интернет) сети. Растёт и функциональность вирусов, которую они перенимают от других видов программ.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

Распространение [ | код ]

Через Интернет, локальные сети и съёмные носители.

После того как вирус успешно внедрился в коды программы, файла или документа, он будет находиться в состоянии сна, пока обстоятельства не заставят компьютер или устройство выполнить его код. Чтобы вирус заразил ваш компьютер, необходимо запустить заражённую программу, которая, в свою очередь, приведёт к выполнению кода вируса. Это означает, что вирус может оставаться бездействующим на компьютере без каких-либо симптомов поражения. Однако, как только вирус начинает действовать, он может заражать другие файлы и компьютеры, находящиеся в одной сети. В зависимости от целей программиста-вирусописателя, вирусы либо причиняют незначительный вред, либо имеют разрушительный эффект, например удаление данных или кража конфиденциальной информации.

Противодействие обнаружению [ | код ]

Во времена MS-DOS были распространены стелс-вирусы, перехватывающие прерывания для обращения к операционной системе. Вирус таким образом мог скрывать свои файлы из дерева каталогов или подставлять вместо заражённого файла исходную копию.

С широким распространением антивирусных сканеров, проверяющих перед запуском любой код на наличие сигнатур или выполнение подозрительных действий, этой технологии стало недостаточно. Скрытие вируса из списка процессов или дерева каталогов для того, чтобы не привлекать лишнее внимание пользователя, является базовым приёмом, однако для борьбы с антивирусами требуются более изощрённые методы. Для противодействия сканированию на наличие сигнатур применяется шифрование кода и полиморфизм. Эти техники часто применяются вместе, поскольку для расшифрования зашифрованной части вируса необходимо оставлять расшифровщик незашифрованным, что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяют полиморфизм — модификацию последовательности команд, не изменяющую выполняемых действий. Это возможно благодаря весьма разнообразной и гибкой системе команд процессоров Intel, в которой одно и то же элементарное действие, например сложение двух чисел, может быть выполнено несколькими последовательностями команд.

Также применяется перемешивание кода, когда отдельные команды случайным образом разупорядочиваются и соединяются безусловными переходами. Передовым фронтом вирусных технологий считается метаморфизм, который часто путают с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция — расшифровать основное тело вируса после внедрения, то есть после того, как его код будет проверен антивирусом и запущен. Он не содержит самого полиморфного движка, который находится в зашифрованной части вируса и генерирует расшифровщик. В отличие от этого, метаморфный вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код [14] .

Профилактика и лечение [ | код ]

В настоящий момент существует множество антивирусных программ, используемых для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут сся с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:

1. Не работать под привилегированными учётными записями без крайней необходимости (учётная запись администратора в Windows).
2. Не запускать незнакомые программы из сомнительных источников.
3. Стараться блокировать возможность несанкционированного изменения системных файлов.
4. Отключать потенциально опасную функциональность системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.).
5. Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.
6. Пользоваться только доверенными дистрибутивами.
7. Постоянно делать резервные копии важных данных, желательно на носители, которые не стираются (например, BD-R) и иметь образ системы со всеми настройками для быстрого развёртывания.
8. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

Экономика [ | код ]

Некоторые производители антивирусов утверждают, что сейчас создание вирусов превратилось из одиночного хулиганского занятия в серьёзный бизнес, имеющий тесные связи с бизнесом спама и другими видами противозаконной деятельности. [15]

Также называются миллионные и даже миллиардные суммы ущерба от действий вирусов и червей. [16] К подобным утверждениям и оценкам следует относиться осторожно: суммы ущерба по оценкам различных аналитиков различаются (иногда на три-четыре порядка), а методики подсчёта не приводятся.

Криминализация [ | код ]

Создателю вируса Scores, нанесшего в 1988 ущерб пользователям компьютеров Macintosh, не было предъявлено обвинений, поскольку его действия не подпадали под имеющийся на тот момент в США закон Computer Fraud and Abuse Act либо другие законы. Этот случай привёл к разработке одного из первых законов, имеющих отношение к компьютерным вирусам: Computer Virus Eradication Act (1988) [17] . Сходным образом создатель самого разрушительного вируса ILOVEYOU в 2000 году избежал наказания из-за отсутствия на Филиппинах соответствующих ситуации законов [18] .

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в некоторых странах как отдельный вид правонарушений: в России согласно Уголовному кодексу РФ (глава 28, статья 273), в США согласно Computer Fraud and Abuse Act, в Японии [19] . Во многих странах, однако, создание вирусов само по себе не является преступлением, и нанесенный ими вред подпадает под более общие законы о компьютерных правонарушениях [20] .