А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

В пятницу 13 мая 1988 одновременно несколько фирм и университетов нескольких стран мира «познакомились» с вирусом Jerusalem — в этот день вирус уничтожал все файлы при их запуске.

Буквально через год — в ноябре 1988 некто Роберт Моррис младший создает так называемый историками Червь Морриса, который инфицировал подключенные к Интернету выпускаемые в то время компьютеры VAX, DEC и Sun под управлением стандартной в то время ОС BSD. Таким образом, червь Морриса стал первым «сетевым червем», успешно распространившемся «in-the-wild».

После этого проблема вирусов начинает принимать уже глобальный характер.

Здесь можно привести только краткую хронологию развития событий. 1990 год — выходит первый так называемый полиморфный вирус с соответствующим названием — Chameleon.

1992 год. Очередной вирус Michelangelo с названием порождает волну публикаций в западных СМИ, предсказывающих катастрофу 6-го марта. Ожидалось, что вирус повредит информацию на миллионах компьютеров, но его последствия, к счастью, оказались минимальными.

Положительным моментом этой волны публикации в СМИ стало то, что конец не только спецслужбы развитых стран, но и академическое сообщество наконец заинтересовалось этой проблемой — начало приводиться соответствующие научные исследования.

Этот год так же известен как год появления первых «конструкторов» вирусов, а также готовых полиморфных модулей и первых модулей шифрования. Начиная с этого момента, каждый программист мог легко добавить функции шифрования к своему вирусу.

В этот начальный период развития вредоносных программ были достаточно популярны вирусы-шутки, которые просто мешали работе пользователей. Деструктивные особи среди них практически не встречались. Например, такие программы просили дополнительной памяти («пирожка» и т. п.), и экран блокировался, пока пользователь не вводил с клавиатуры нужное слово (иногда его нужно было угадать). Или, например, вирус, который выводил на экран сообщение вроде: «Нажмите одновременно L+A + M+E+R + Fl +Alt». Пользователь нажимал, после чего появлялось сообщение о том, что таблица разделов стерта с жесткого диска и загружена в оперативную память и если пользователь отпустит сейчас хотя бы одну клавишу, то со своей информацией он может проститься навсегда, а если просидит так ровно час, то все будет в порядке. Для тех пользователей, кто выполнил эти условия через час оказывалось, что это была шутка.

Дальнейшее массовое распространение персональных компьютеров привело к появлению людей, которых интересовал уже не сам процесс создания вируса, а результат, наносимый вредоносной программой. Изменились и «шутки»: вирусы начали реально форматировать диски, стирать или кодировать важную информацию. Некоторые приложения использовали недостатки оборудования и портили его, например выстраивали лучи монитора в одну точку, прожигая его (надежность устройств в то время оставляла желать лучшего), или выводили из стоя жесткие диски, гоняя считывающую головку по одному определенному алгоритму.

Начиная примерно с 1995 в мире вирусов наметилась новая тенденция: данные в большинстве случаев не уничтожают, а пытаются украсть или изменить. Например, популярность он-лайн-игр привела к появлению вирусов, специализирующихся на краже паролей к учетным записям игроков, так как виртуальные ценности, заработанные в игре, можно было уже продать за реальные деньги.

К началу 2000 г. было известно уже более 10 000 различных программных вирусов, а в последующие годы рост их количества уменьшался в связи с появлением других более коварных угроз.

Какой то единой общепринятой классификации вирусов не существует, но обычно все многочисленные разновидности вирусов эксперты классифицируют по следующим основным признакам:

• деструктивным возможностям;

• способу заражения объекта атаки;

• среде обитания вируса;

• особенностям алгоритма реализации.

В свою очередь, по «деструктивному воздействию» все компьютерные вирусы можно условно разделить на три основные категории:

Безвредные вирусы. Они не мешают работе компьютера (электронной системы), но могут существенно уменьшать объем свободной оперативной памяти системы и памяти на жесткий дисках, действия таких вирусов обычно проявляются в каких-либо графических или звуковых эффектах.

Опасные вирусы. К этой категории относятся вирусы, которые могут реально привести к определенным (заранее запланированным злоумышленником) сбоям в работе либо всей операционной системы или некоторых программ, выбранных злоумышленником.

Очень опасные вирусы. Эти вирусы могут полностью уничтожить определенные или все данные, находящиеся на жестком диске, могут изменить системную информацию, вывести из строя операционную систему заменить в системе истинную информацию на ложную, и т. д.

По признаку «способ заражения» все вирусы можно разделить на две группы — так называемые резидентные и нерезидентные вирусы. Это весьма условное разделение.

Резидентные вирусы. Чаще всего эти вирусы являются одной из разновидностей файловых и загрузочных вирусов. Причем самой опасной их разновидностью.

Такой резидентный вирус при заражении (инфицировании) атакуемого компьютера оставляет в его оперативной памяти свою так называемую резидентную часть, которая потом автоматически перехватывает любое обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Эти резидентные вирусы затем «поселяются» в памяти компьютера (системы) и являются активными вплоть до их выключения по команде злоумышленника или перезагрузки компьютера.

Нерезидентные вирусы, обладая практически аналогичными возможностями отличаются только тем, что они не заражают память компьютера и являются активными только некоторое ограниченное время, которое пожелает установить злоумышленниками.

По «среде обитания» все вирусы можно разделить на четыре основные группы (не считая их комбинаций).

Файловые вирусы. До появления Интернета именно эти вирусы были самыми распространенными. На сегодняшний день известны зловредные программы, заражающие все типы выполняемых объектов любой операционной системы (для Windows опасности подвергаются исполняемые файлы (.ехе, сот), командные файлы (.bat), драйвера (.sys), динамические библиотеки (.dll) и т. д.).

Заражение объекта атаки происходит следующим образом. Вирус записывает свой код в файл-жертву, при этом зараженный файл специальным образом изменяется. В результате при обращении к нему операционной системы (запуск пользователем, вызов из другой программы и т. п.) управление автоматически и без ведома пользователя передается в первую очередь коду вируса, который может выполнить любые конкретные действия, заданные ему создателем. После выполнения своих действий этот вирус передает управление оригинальной программе, которая выполняется далее нормальным образом. Очевидно, что если на компьютере пользователя не было установлено специальное ПО, он может долго не догадываться о заражении.