Одновременно с появлением в 1977 году первых персональных компьютеров Apple 2 и начала их массовой продажи появились и компьютерные вирусы. В конце 70-х годов стали развиваться сети на базе коммутируемых телефонных линий. В начале 80-х появился первый загрузочный вирус Elk Cloner для ПК Apple 2.
История создания компьютерных вирусов.
Компьютерный вирус – это самовоспроизводящиеся программа, которая может внедряться свои клоны в файл, загрузочный сектор диска, драйвер устройств, сеть, оперативную память, прикладные программы и т. д. Компьютерный вирус поражает данные, уменьшает объём свободного дискового пространства, блокирует работу системы, несанкционированно перезагружает компьютер и т. д. Процесс внедрения вируса своей копии в другую программу (системную область диска и т. д.) называются заражением, а программа или иной объект, содержащий вирус- заражённым. Компьютерные вирусы являются одной из разновидностей проявления компьютерного вандализма.
В истории компьютерных вирусов переломным моментом стал 1984 год, когда А. Д. Дидни создал одну из версий игры Darwin, а итальянские программисты Р. Ч-тик и М. Мотин воплотили в жизнь идею создания программы, саморазмножающейся на базе компьютера Apple 2. Ещё одним исследователем в области реализации саморазмножающихся программ в 1984 году стал сотрудник Ленского университета Ф. Коэн, который провёл ряд экспериментов на системе VAX 11/750, работавшей под управлением операционной системы UNIX. Опубликованные им статьи стали руководством для разработки вирусных программ. Принято считать, что термин “компьютерный вирус” был впервые введён Ф. Коном.
В 1984 году американский программист Ад Хари написал первые антивирусные программы, позволяющие бороться с программами “троянскими конями”. Позднее, в 1985 году, аналогичные программы разработали Ге Вон, Р. Гринберг и М. Фет.
Поскольку освоение рынка персональных компьютеров на территории бывшего СССР началось в 1988 году, то в этот период на наши ПК стали проникать компьютерные вирусы. Первый компьютерный вирус (С-648. VEN (венский)) был занесён в начале 1988 года на компьютеры Переславль-Залеского института программных систем. В Киеве этот вирус появился в середине того же года. Первая попытка создания отечественной вирусной программы была предпринята в 1988 году А.А. Чижовым (результаты исследования были опубликованы в нескольких статьях).
Программные продукты - антивирусы развивались по двум направлениям: создание программ-детекторов, способных обнаруживать вирусы, и создания фагов, способных удалять коды вирусов из программ.
Компьютерные вирусы классифицируются по следующим признакам:
1. месторасположение программного ядра вирусной программы;
2. способу заражения вычислительной системы;
3. деструктивные результаты;
4. способу проявления вирусов.
В 1991 г. появились вирусы нового типа - вирусы, размещения файлов (FAT) как конец файла или как дефектный участок. Для всех .COM- и .EXE-файлов меняющие файловую систему на диске. Такие вирусы прячут своё тело в некоторый участок диска (обычно- в последний кластер диска) и помещают его в таблице указатели на первый кластер (участок) файла, содержащий в соответствующих элементах каталога, заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего остаётся в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдаёт правильные ссылки.
Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. Разве лишь при попытке прочесть или скопировать с заражённой дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл – длиннее. А при запуске любой исполнимой программы с заражённого вирусом диска этот диск, как по волшебству начинает казаться исправным.
Сетевые вирусы.
Эти вирусы, распространяемые не с дискет, а из локальной или глобальной сети, не заражает исполняемые программы. Они приспособлены для проникновения через сетевые средства защита и имеют очень высокую скорость распространения сети.
Наиболее распространённым типом сетевых вирусов являются компьютерные “черви”- “инородные” участки программного кода, которые размножаются с высокой скоростью на всех участках ком- ой сети. Компьютерные “черви” не приводят к серьёзным разрушениям системы. Они не заражаются в файлы и приносят едва различимый вред, который заключается в понижении пропускной способности сети, замедление работы на участках с наиболее напряжённым потока- обменом данными. Засорение сети программами- “червями” может остановить работу на некоторых сетевых участках.
Макровирусы.
Это очень распространённый тип вируса, который по статистике поражает компьютер в 80% всех случаев инфицирования. Макровирусы не заражают исполняемые или загрузочные файлы, а инфицируют документы MS Word и Excel.
Они не наносят вреда данным на системном уровне, но приводят к существенным потерям в документах программ Word и Excel.При открытии документов макросы Word или Excel выполняют ряд действий, в результате которых в главный шаблон Normal.dot автоматически переписывается зараженная информация. Макровирусы проявляют себя в том, что блокируют выполнение команд открытия, закрытия, сохранения документов, установку шрифтов и т.д.
Пакетные вирусы.
Наиболее простой тип вирусов, у которых ядро программы содержится в командном пакетном файле с расширением . bat.
Вирусы- невидимки.
Это вирусы Stealth- технологии, которые читаются одними из наиболее опасных для программ. Этот вирус, заразив компьютер, остаётся незамеченным системами контроля, не располагающими средствами обнаружения этих вирусов.
Stealth- технология маскировки реализована в каждой вирусной программе по своему, в силу чего для борьбы с ними применяются комплексные методы.
Загрузочные вирусы.
Это также очень распространённая разновидность вирусов, они имеют и другое название- бутовые вирусы. Как правило, в основном они имеют восточное происхождение- Тайвань, Южная Корея, Сингапур, Индия.
Они отличаются от файловых резидентных вирусов тем, что переносятся из системы в систему через загрузочный сектор и заражают только ВООТ- секторы дискет и жёстких дисков. Эти программы имеют малые размеры (около 512 байт) и размещаются в одном секторе диска.
Файлово-загрузочные вирусы.
Создание этих вирусов- одна из попыток увеличить их выживаемость при наличии средств контроля. Они отличаются от бутовых тем, что распространяются как через загрузочные секторы, так и через файлы. Вирусы данного типа называются- гибридными.
Для создания вирусов этого типа обычно используются сложные алгоритмы и технологии.
“Троянские программы”.
Эти программы- “вандалы” заняли первое место в списке “чёртовой дюжины” в 1985 году. Они маскируют себя под коммерческие продукты и при запуске, при выводе на экран сообщений, характерных для программ, выполняют какую- либо деструктивную функцию.
“Троянские программы” не располагают механизмом самовоспроизведения и срок их “жизни” ограничен единым запуском системы, после чего они самоуничтожаются. Эти программы распространяются главным образом на сменных носителях.
Что не могут компьютерные вирусы.
Чтобы компьютер заразился вирусом, необходимо , чтобы на нём хотя бы один раз была выполнена программа, содержащая вирус, а именно:
1.Запущен заражённый исполнимый файл или установлен заражённый драйвер;
2.Произведена начальная загрузка(либо даже попытка начальной загрузки) с заражённой загрузочным вирусом дискеты;
3.Открыт на редактирование заражённый документ Word для Windows или заражённая электронная таблица Excel.
И отсюда следует:
1.На компьютер переписываются файлы, не содержащие программ и не подлежащие преобразованию в программы, например, графические файлы, текстовые файлы и т. д.;
2.На не заражённом компьютере производится копирование файлов с одной дискеты на другую или иные действия, не связанные с запуском “чужих’‘ программ, перезагрузкой с “чужих” дискет или редактированием “чужих” документов Word для Windows или электронных таблиц Excel.
Антивирусные программы.
Для защиты от вирусов созданы специальные антивирусные программы, позволяющие выявлять вирусы, лечить заражённые файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов) действия. Разумеется, антивирусные программы надо применять наряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
Антивирусные программы можно разделить на виды в соответствии с выполняемыми ими функциями.
Детекторы.
Программы- детекторы позволяют обнаруживать файлы, заражённые одним из нескольких известных вирусов. Некоторые программы- детекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе- детектору, вирусы. Многие программы- детекторы позволяют также “лечить” заражённые файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе- детектору).
Ревизоры.
Программы- ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках – сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю. Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных (характерных для вирусов или недопустимых) изменениях, не беспокоя лишний паз пользователя. Часто программы- ревизоры позволяют также “лечить” заражённые файлы или диски, удаляя из них вирусы (это удаётся сделать почти для всех типов вирусов).
Сторожа.
Программы- сторожа (или фильтры) располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые в дисководы дискеты. При наличии вируса об этом сообщается пользователю. Кроме того, многие программы- сторожа перехватывают те действия, которые используются вирусами для размножения и нанесения вреда(скажем ,попытку записи в загрузочный сектор или форматирование жесткого диска), и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. Программы- сторожа позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус ещё не успел размножиться и что- либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Замечания. 1. Степень защиты, обеспечиваемую программами-сторожами, не следует переоценивать, поскольку некоторые вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам BIOS системы, не используя стандартный способ вызова этих программ через прерывание, а резидентные программы для защиты от вируса перехватывают только эти прерывания.
Многие программы-сторожа проверяют перед перезагрузкой, выполняемой по нажатию Ctrl Alt Del или по запросу программы, вставленные в дисководы дискеты на наличие загрузочных вирусов. Однако если загрузка осуществляется по нажатию кнопки “Reset” или при включении компьютера, то программы- сторожа ничем помочь не смогут- ведь заражение загрузочным вирусом происходит при загрузке операционной системы, т. е. до запуска любых программ или установки драйверов.
Иногда применяются также программы- вакцины, или иммунизаторы , они модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже заражёнными. Эти программы мало эффективны и далее не рассматриваются.