США в 1977 г., описал эпидемию, за короткое время поразившую более 7000
компьютеров. Причиной эпидемии стал компьютерный вирус, который, передаваясь от
одного компьютера к другому, внедрялся в их операционные системы и выводил их
из-под контроля человека.
Ущерб, наносимый компьютерными вирусами, быстро возрастает, а их опасность для
таких жизненно важных систем, как оборона, транспорт, связь, поставила проблему
компьютерных вирусов в ряд тех, которые обычно находятся под пристальным
вниманием органов государственной безопасности.
Считается признанным, что в последние годы больше всего вирусов создавалось в
СССР, а затем в России и других странах СНГ. Но и в других странах, в том числе
в США, значителен урон, наносимый вирусами. В США борьба с вирусами ведется на
самом высоком уровне.
В Уголовном Кодексе России обозначена статья 273 за "Создание, использование и
распространение вредоносных программ для ЭВМ", которая гласит:
1. Создание программ для ЭВМ или внесение изменений в существующие программы,
заведомо приводящих к несанкционированному уничтожению, блокированию,
модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или
их сети а равно использование либо распространение таких программ или машинных
носителей с такими программами – наказываются лишением свободы на срок до 3 лет
со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или
в размере заработной платы или иного дохода осужденного за период от двух до
пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются
лишением свободы на срок от трех до семи лет.
В США, вскоре после объявления в 1993 году Белым домом о подключении президента
Билла Клинтона и вице-президента Альберта Гора к сети Internet, администрация
поддержала идею проведения Национального дня борьбы с компьютерными вирусами.
Такой день отмечается теперь ежегодно. Национальной ассоциацией по компьютерной
защите США (NCSA) и компанией Dataquest опубликованы следующие данные по
результатам исследований вирусной проблемы:
- 63% опрошенных пострадали от компьютерных вирусов;
- предполагаемые потери американского бизнеса от компьютерных вирусов в 1999
году составят около 3 млрд. долларов;
- идентифицировано более 23000 компьютерных вирусов;
- каждый месяц появляется более 50 новых вирусов;
- в среднем от каждой вирусной атаки страдает 142 персональных компьютера: на ее
отражение в среднем уходит 2,4 дня;
- для компенсации ущерба в 114 случаев требовалось более 5 дней.
Начиная с конца 1990 г., появилась новая тенденция, получившая название
"экспоненциальный вирусный взрыв". Количество новых вирусов, обнаруживаемых в
месяц, стало исчисляться десятками, а в дальнейшем и сотнями. Поначалу
эпицентром этого взрыва была Болгария, затем он переместился в Россию. После
1994 г. темп роста вирусов пошел на убыль, хотя их общее количество продолжает
увеличиваться. Это связано с тем, что ОС MS D0S, которая и дает 99% существующих
компьютерных вирусов, постепенно сдает свои лидирующие позиции как операционная
система для персональных компьютеров, уступая их Windows, 0S\2, UNIX и т.п.
Кроме того, вирусы постоянно расширяют свою "среду обитания" и реализуют
принципиально новые алгоритмы внедрения и поведения. Так, в 1995 году появились
представители, опровергающие ключевые принципы антивирусной защиты – то, что
компьютер, загруженный с заведомо чистой системной дискеты, не может содержать
вирус; и то, что вирусы не заражают файлы с данными.
Первым появился вирус, который таким образом корректирует конфигурацию
компьютера, что при попытке загрузки с дискеты он все равно загружается с
зараженного жесткого диска, и вирус активизируется в системе.
Другой вирус, появившийся в середине августа 1995 г. в США и ряде стран Западной
Европы, использует возможность представления информации в виде конгломерата
данных и программ. Он заражает документы, подготовленные в системе MS Word for
Windows – файлы типа .DOC. Так как такие файлы ежедневно десятками тысяч
циркулируют в локальных и глобальных сетях, эта способность вируса обеспечила
его мгновенное распространение по всему свету в течение нескольких дней и 25
августа он был обнаружен в Москве. Вирус написан на макроязыке пакета Word. Он
переносит себя в область глобальных макросов, переопределяет макрос FileSaveAs и
копирует себя в каждый файл, сохраняемый с помощью команды Save As. При этом он
переводит файл из категории "документ" в категорию "шаблон", что делает,
невозможным его дальнейшее редактирование. Обнаружить наличие этого вируса можно
по появлению в файле winword6.ini строки ww6i=1.
Новым словом в вирусологии стал вирус под названием “Чернобыль” или WIN95.CIH.
Данный вирус в отличие от своих собратьев в зависимости от модификации мог
уничтожать MBR жесткого диска, таблицу размещения данных и не защищенную от
перезаписи Flash-память. Волна эпидемии этого вируса прокатилась по всему миру.
Громадный материальный ущерб был нанесен в Швеции. 26 апреля 1999 года
пострадало большое количество пользователей и в России.
Наиболее известен вызвавший всемирную сенсацию и привлекший внимание к вирусной
проблеме инцидент с вирусом-червем в глобальной сети Internet. Второго ноября
1988 года студент Корнелловского университета Роберт Моррис запустил на
компьютере Массачусетского технологического института программу-червь, которая
передавала свой код с машины на машину, используя ошибки в системе UNIX на
компьютерах VAX и Sun. В течение 6 часов были поражены 6000 компьютеров, в том
числе Станфордского университета, Массачусетского технологического института,
университета Беркли и многих других. Кроме того, были поражены компьютеры
Исследовательского института НАСА и Национальной лаборатории Лоуренса в
Ливерморе – объекты, на которых проводятся самые секретные стратегические
исследования и разработки. Червь представлял собой программу из 4000 строк на
языке "С" и входном языке командного интерпретатора системы UNIX. Следует
отметить, что вирус только распространялся по сети и не совершал каких-либо
разрушающих действий. Однако это стало ясно только на этапе анализа его кода, а
пока вирус распространялся, в вычислительных центрах царила настоящая паника.
Тысячи компьютеров были остановлены, ущерб составил многие миллионы долларов.
2. Классификация вирусов
Известные программные вирусы можно классифицировать по следующим признакам:
среде обитания;
способу заражения среды обитания;
воздействию;
особенностям алгоритма.
В зависимости от среды обитания вирусы можно разделить на:
сетевые;
файловые;
загрузочные;
файлово-загрузочные.
Сетевые вирусы распространяются по различным компьютерным сетям. К сетевым
относятся вирусы, которые для своего распространения активно используют
протоколы и возможности локальных и глобальных сетей. Основным принципом работы
сетевого вируса является возможность самостоятельно передать свой код на
удаленный сервер или рабочую станцию. “Полноценные” сетевые вирусы при этом
обладают еще и возможностью запустить на выполнение свой код на удаленном
компьютере или, по крайней мере, “подтолкнуть” пользователя к запуску
зараженного файла.
Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в
компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми,
даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при
заражении файлов не разбирается - сетевой (удаленный) это диск или локальный. В
результате такой вирус способен заражать файлы в пределах сети, но отнести его к
сетевым вирусам никак нельзя.
Наибольшую известность приобрели сетевые вирусы конца 1980-х, их также называют
сетевыми червями (worms). К ним относятся вирус Морриса, вирусы “Cristmas Tree”
и “Wank Worm&”. Для своего распространения они использовали ошибки и
недокументированные функции глобальных сетей того времени - вирусы передавали
свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусов
Морриса эпидемия захватила аж несколько глобальных сетей в США.
Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так
же как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они
проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса
других компьютеров и рассылали по этим адресам свои копии. Этивирусы иногда
также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к
ресурсам компьютера (за исключением оперативной памяти).
После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и
программном обеспечении были исправлены, а “задние двери” закрыты. В результате
за песледние десять лет не было зафиксировано ни одного случая заражения сетевым
вирусом, как, впрочем, не появилось и ни одного нового сетевого вируса.
Вновь проблема сетевых вирусов возникла лишь в начале 1997-го года с появлением
вирусов “Macro.Word.ShareFun” и “Win.Homer”. Первый из них использует
возможности электронной почты Microsoft Mail - он создает новое письмо,
содержащее зараженный файл-документ (“ShareFun” является макро-вирусом), затем
выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним
зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail
таким образом, что при получении письма автоматически запускается MS Word, то
вирус “автоматически” внедряется в компьютер адресата зараженного письма.
Этот вирус иллюстрирует первый тип современного сетевого вируса, которые