Исследование проблем борьбы с вирусами и антивирусные программы ( Что такое компьютерный вирус )

Содержание:

Введение

Современный уровень технологий дает человеку возможность быстро и качественно выполнять самые различные задачи, а так же открывает перед ним множество развлечений. Важнейшим элементом этих технологий являются электронные вычислительные машины. Но в человеке всегда борется между собой созидательная и разрушающая силы... Поэтому эти технологии используются не только во благо человека, но и во вред. В этой работе мы рассмотрим один из аспектов разрушительной силы, нашедший себя в современных технологиях, который называется компьютерным вирусом, а так же созидательную силу, направленную на борьбу с ним.

Мы узнаем что такое вирусы. Какими они бывают. Какой путь они прошли. Как с ними бороться и что нам в этом мешает.

Глава 1. Электронно-вычислительные машины и программное обеспечение.

Электронно-вычислительные машины или же ЭВМ — это комплекс технических средств, где основные функциональные элементы (логические, запоминающие, индикационные и др.) выполнены на электронных элементах, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач^[1]. Самым распространенным видом ЭВМ в наше время является компьютер. В том или ином виде его можно встретить по всюду: персональные настольные компьютеры, планшетные компьютеры, смартфоны, кассовые аппараты ит.д.

ЭВМ подчиняются алгоритмам, заложенным в них. Почти во всех современных ЭВМ, алгоритмы работы задаются программами.

Программа — это последовательность инструкций, определяющих процедуру решения конкретной задачи компьютером (вычислительной машиной)^[2]. Программы, записанные в памяти ЭВМ определяют алгоритмы, которые будут ими выполняться. Но что если в программе будет ошибка или неточность? Ошибка позиционирования в автоматическом штабелере может привести к тому, что он сломает весь склад, по которому будет перемещаться. А ошибка в начислении заработной платны в программе бухгалтерского учета приведет к убыткам предприятия.

Как уже говорилось ранее — мы рассматриваем здесь разрушающее начало человека. И оно нашло выход и в этой области. Только представьте себе: а что если ошибка в программе будет преднамеренная? Ошибка, заложенная конкурентами в автоматический штабелер, приведет к убыткам у конкурентов. Преднамеренная ошибка в выдаче заработной платы, заложенная сотрудником, по сути является кражей!

Но на стадии написания, программы проходят отладку и тестирование. Поэтому внести в них неправильные алгоритмы в этот момент очень трудно. Но человек — существо изобретательное.. Все, что нельзя внедрить сразу — можно внедрить потом. И в этот момент в ход вступают компьютерные вирусы...

Глава 2. Что такое компьютерный вирус.

Компьютерный вирус — это вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

Как правило, целью вируса является нарушение работы программно-аппаратных комплексов: удаление файлов, приведение в негодность структур размещения данных, блокирование работы пользователей или же приведение в негодность аппаратных комплексов компьютера и т. п. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы, как правило, занимают место на накопителях информации и потребляют некоторые другие ресурсы системы.

В обиходе «вирусами» называют всё вредоносное ПО^[3].

Глава 3. История появления и развития вирусов

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения. По-видимому, впервые слово «вирус» по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford) в фантастическом рассказе «Человек в шрамах», опубликованном в журнале Venture в мае 1970 года.^[4] В 1980 году В дипломной работе по теме «Самовоспроизводящиеся программы», подготовленной студентом Дортмундского университета Юргеном Краусом в 1980 году, наряду с теоретическими выкладками перечислялись и реально существовавшие на тот момент самовоспроизводящиеся программы для компьютера Siemens. Именно в этой работе впервые была проведена параллель между живой клеткой и самовоспроизводящейся компьютерной программой.

Ясное определение термина «компьютерный вирус» было дано в 1983 году Фредом Коэном, на тот момент — аспирантом Университета Южной Калифорнии:

«Мы определяем компьютерный вирус как программу, которая может “инфицировать” другую, внедряя в нее свою копию. Инфекция может распространяться через ЭВМ или сеть... Каждая инфицированная программа может вести себя как вирус, благодаря чему инфекция распространяется».

Фред Коэн, «Компьютерные вирусы, теория и эксперименты»

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. Первой публикацией, посвящённой созданию самовоспроизводящихся систем, является статья Л. С. Пенроуз в соавторстве со своим отцом, нобелевским лауреатом по физике Р. Пенроузом, о самовоспроизводящихся механических структурах, опубликованная в 1957 году американским журналом «Nature»^[5].

В 1981 году Ричард Скрента написал один из первых загрузочных вирусов для ПЭВМ Apple II — «ELK CLONER».^[6]Он обнаруживал своё присутствие сообщением, содержащим небольшое стихотворение.

Другие вирусы для Apple II были созданы студентом Техасского университета A&M Джо Деллинджером в 1981 году. Они были рассчитаны на операционную систему Apple DOS 3.3 для этой ПЭВМ. Вторая версия этого вируса «ускользнула» от автора и начала распространяться по университету. Ошибка в вирусе вызывала подавление графики популярной игры под названием CONGO, и в течение нескольких недель все («пиратские») копии этой игры перестали работать. Для исправления ситуации автор запустил новый, исправленный вирус, предназначенный для «замещения» предыдущей версии.^[7]

19 января 1986 года ровно 30 лет назад появился первый компьютерный вирус Brain (распространившийся для IBM PC). Brain («Мозг») был первым вирусом, удар которого был направлен на компьютеры под управлением популярной в то время операционной системы Microsoft MS-DOS. В коде вируса автором оставлен номер телефона своей мастерской по ремонту компьютеров. Вирус написан с целью наказать пиратов, ворующих ПО у компании. Вирус Brain инфицировал загрузочный сектор 5-дюймовых дискет объемом 360 Кбайт. м вирусом-невидимкой (stealth), прятал себя от любой возможности обнаружения и маскировал инфицированное пространство на диске. Из-за достаточно слабых деструктивных и разрушительных проявлений Brain часто оставался незамеченным, так как многие пользователи обращали мало внимания на замедление скорости работы флоппи-дисков. Вирус обнаружен лишь год спустя...^[8]

Разрушительный потенциал зловредов, путешествующих по компьютерным сетям, первым продемонстрировал так называемый Червь Морриса, который был написан в ноябре 1988 года аспирантом американского Корнеллского университета Робертом Моррисом-младшим. Чтобы скрыть происхождение вируса, Моррис запустил свой червь в только зарождавшуюся Всемирную сеть (тогда ещё ARPANET) не из своего университета, а из Массачусетского технологического института.

Червь Морриса пользовался уязвимостями в операционной системе Unix, а его присутствие проявлялось в периодическом перезаписывании собственного кода и одновременном запуске нескольких копий самого себя, что приводило к засорению памяти и забиванию сетевых каналов. В результате в какой-то момент червь поразил все узлы ARPANET и полностью парализовал работу Сети. Сумма ущерба, нанесённого Великим Червём, составила почти $100 млн, однако суд учёл явку с повинной и приговорил Морриса к условному сроку и штрафу.^[9]

В 1989 году широкое распространение получили вирусы DATACRIME, которые начиная с 12 октября разрушали файловую систему, а до этой даты просто размножались. Эта серия компьютерных вирусов начала распространяться в Нидерландах, США и Японии в начале 1989 года и к сентябрю поразила около 100 тысяч ПЭВМ только в Нидерландах (что составило около 10 % от их общего количества в стране). Даже фирма IBM отреагировала на эту угрозу, выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе. Набор сигнатур мог дополняться и изменяться пользователем.

В 1989 году появился первый «троянский конь» AIDS. Вирус делал недоступной всю информацию на жёстком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой-то адрес». Автор программы был арестован в момент обналичивания чека и осуждён за вымогательство.

Также был создан первый вирус, противодействующий антивирусному программному обеспечению — The Dark Avenger. Он заражал новые файлы, пока антивирусная программа проверяла жёсткий диск компьютера.

Глава 4. Методы распространения вирусов

Методы распространения вирусов совершенствовались и изменялись вместе с совершенствованием и созданием новых технологий.

Первые вирусы использовали для распространения переносные гибкие диски (дискеты). С появлением локальных сетей, они начали распространяться через них. Позднее, когда появилась единая сеть интернет, она стала самым распространенным способом распространения вирусов.

Сейчас вирусы распространяются всеми доступными способами: переносные носители информации, сети интернет, через электронную почту.

Изначально, вирусы «жили» только в исполняемых файлах. Но со временем, появились компьютерные вирусы, которые находятся в библиотеках программ, исполняемых макросах текстовых файлов, в html-коде сетевых страниц и даже в GIF-анимации...

Компьютерные вирусы трансформируются вместе с целями, для которых их создавали... Если изначально их писали как развлечение, способ самореализации, то сейчас их созданием в основном занимаются профессионалы, цель которых получение прибыли.

Так в последнее время огромное распространение получили так называемые «крипто-вирусы». Как правило они зашифровывают всю информацию на зараженном компьютере, тем самым делая ее недоступной для пользователя. А затем требуют денежное вознаграждение за ее дешифровку. Целью таких вирусов как правило являются бухгалтерские базы данных 1С средних и малых предприятий. И даже профессионалы в области восстановления данных признают, что в условиях остуствия «бекапов» и ограниченного времени, единственный способ надежно вернуть данные — это заплатить злоумышленникам.

Глава 5. Классификации компьютерных вирусов

Компьютерные вирусы принято классифицировать по четырем основным критериям: по среде обитания, по особенностям алгоритма работы, по способам заражения и по деструктивным возможностям.

При классификации вирусов по среде обитания выделяют следующие типы:

• Файловые. Вирусы данного вида любыми способами проникают в выполняемые файлы (характер для распространенного типа вирусов), или же сами создают файлы-двойники (носят название компаньон-вирусов), или же в своей работе используют особенности устройства файловой системы (носят название линк-вирусов).
• Загрузочные. Вирусы данного вида помещают себя в загрузочный сектор жесткого диска, или в сектор с системным загрузчиком hard-диска, или же меняют указатель на активный загрузочный сектор винчестера. Вы наверняка встречались с баннером, который заблокировал Windows и требовал отправить смс. Так вот, это работа загрузочного вируса. 
• Макро. Вирусы данного вида заражают электронные таблицы и файловые документы ряда популярных редакторов.
• Сетевые. Вирусы этого вида для своего распространения используют протоколы, либо команды компьютерных сетей, а также электронной почты.

Однако имеются и сочетания данных перечисленных видов вирусов. К примеру:

• Файло-загрузочные. Эти вирусы не только заражают файлы, но и загрузочные сектора жестких дисков. Они имеют очень сложный алгоритм своей работы за счет использования стелс и полиморфик-технологий и оригинальных методов проникновения в систему.
• Сетевые макро-вирусы. Они заражают редактируемые документы на компьютере, плюс, копии вируса рассылают по электронной почте.

При классификации вирусов по особенностям алгоритма работы, выделяют следующие типы:

• Резидентный. При заражении компьютера в оперативной памяти оставляет свою резидентную часть, перехватывающую обращения ОС к объектам заражения для внедрения в них. Данный вид вирусов располагаются в памяти и проявляют активность до перезагрузки операционной системы или выключения компьютера. Нерезидентный вирус не заражает память компьютера, а активность его ограничена временем. Ряд вирусов даже при размещении в памяти небольших резидентных программ не распространяются. Подобные вредоносные утилиты называются нерезидентными. К резидентным вредоносным программам можно отнести макро-вирусы, так как они присутствуют в памяти компьютера постоянно во время работы зараженного редактора. В этом случае роль операционной системы переходит редактору, а активность вируса ограничена временем работы редактора. В многозадачных ОС время активности резидентного ДОС-вируса ограничивается временем работы зараженного ДОС-окна, а в ряде ОС активность ограничена временем инсталляции драйверов.
• Вирусы, использующие стелс-алгоритмы. Они полностью или частично скрывают в системе. Самым распространенным стелс-алгоритмом считается перехват запросов операционки на чтение, либо запись зараженных объектов. Стелс-вирусы временно лечат их или же вместо себя «подставляют» незараженные участки данных. Ярким примеров использования этих алгоритмов в случае с макро-вирусами является отсутствие возможности вызова меню просмотра макросов. Одними из первых загрузочных стелс-вирусов является вирус Brain, а файловых стелс-вирусов – Frodo.
• Вирусы с самошифрованием и полиморфичностью. Практически все типы вредоносных утилит используют данные алгоритмы работы для максимального усложнения процедуры детектирования вируса. Полиморфик-вирусы очень сложно обнаружить из-за отсутствия сигнатур, то есть отсутствия хотя бы одного постоянного участка кода. Чаще всего 2 образца такого вредоносного ПО не будут иметь ни одного схожего фрагмента кода. Данная ситуация достигается за счет шифрования основного тела вируса, а также модификации программы-расшифровщика.
• Вирусы, использующие нестандартные приемы. Применение нестандартных приемов обусловлено необходимостью спрятать тело вируса как можно глубже в ядре операционной системе, защиты от обнаружения резидентсткой копии, затруднения лечения от вируса.

По способу заражения файлов вирусы делятся на: "overwriting", паразитические ("parasitic"), компаньон-вирусы ("companion"), "link"-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.

• Overwriting. Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать. Мне не известно ни одного случая, когда подобного типа вирусы были бы обнаружены "в живом виде" и стали причиной эпидемии.
  К разновидности overwriting-вирусов относятся вирусы, которые записываются вместо DOS-заголовка NewEXE-файлов. Основная часть файла при этом остается без изменений и продолжает нормально работать в соответсвующей операционной системе, однако DOS-заголовок оказывается испорченным.
• Parasitic. К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сими файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов ("prepending"), в конец файлов ("appending") и в середину файлов ("inserting"). В свою очередь, внедрение вирусов в середину файлов происходит различными методами - путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла ("cavity"-вирусы).
• Компаньон-вирусы. К категории "компаньон" относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус.
  Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять .COM-файл, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расшинениями имени - .COM и .EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл. Некоторые вирусы используют не только вариант COM-EXE, но также и BAT-COM-EXE.
  Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, наверное, во всех операционных системах - подобного типа вирусы были обнаружены не только в DOS, но в Windows и OS/2.
  В третью группу входят так называемые "Path-companion" вирусы, которые "играют" на особенностях DOS PATH. Они либо записывают свой код под именем заражаемго файла, но "выше" на один уровень PATH (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д.
  Возможно существование и других типов компаньон-вирусов, использующих иные оригинальные идеи или особенности других операционных систем.
• Файловые черви. Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT.
  Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). К таким вирусам относятся "ArjVirus" и "Winstart". Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы (см. например, "Worm.Info").
  
  Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.
• Link-вирусы. Link-вирусы, как и компаньон-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
  На сегодняшний день известен единственный тип Link-вирусов - вирусы семейства "Dir_II". При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров диска, содержащих эти файлы, не изменяется, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.
• OBJ-, LIB-вирусы и вирусы в исходных текстах. Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.
  Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к исходным текстам свой исходный код (в этом случае вирус должен содержать его в своем теле) или свой шестнадцатеричный дамп (что технически легче). Зараженный файл способен на дальнейшее распространение вируса только после компиляции и линковки (см. например, вирусы "SrcVir", "Urphin").^[10]

При классификации вирусов по деструктивным возможностям обычно имеют ввиду степень их разрушительности:

• Безвредные, не влияющие на работу компьютера, за исключение уменьшения свободного места на диске. Неопасные, влияющие лишь на уменьшение свободного места на жестком диске и на графические, звуковые и иные эффекты.
• Опасные, приводящие к серьезным сбоям в функционировании компьютера.
• Очень опасные вирусы. В их алгоритм работы заложены функции, вызывающие потерю программ, уничтожение данных, уничтожение необходимой для работы ПК информации из системных областей памяти.^[11]

При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражением и восстановление после. Многие файловые вирусы считывают дату последней модификации файла и восстанавливают ее после заражения. Для маскировки своего распространения некоторые вирусы перехватывают прерывание DOS, возникающее при обращении к защищенному от записи диску (INT 24h), и самостоятельно обрабатывают его.

Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения. Чем быстрее распространяется вирус, тем вероятее возникновение эпидемии этого вируса. Чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус пока неизвестен антивирусным программам). Понятия "быстрого" и "медленного" вируса (Fast infector, Slow infector) являются достаточно относительными и используются только как характеристика вируса при его описании.

Нерезидентные вирусы часто являются "медленными" - большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно же, нерезидентые "быстрые" вирусы, которые при запуске ищут и заражат все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус.
"Скорость" резидентных вирусов обычно выше, чем у нерезидентных - они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе.

Скорость распространения резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т.д. Многие вирусы при создании своей копии в оперативной памяти компьютера пытаются занять область памяти с самыми старшими адресами, разрушая временную часть командного интерпретатора COMMAND.COM. По окончании работы зараженной программы временная часть интерпретатора восстанавливается, при этом происходит открытие файла COMMAND.COM и, если вирус заражает файлы при их открытии, его заражение. Таким образом, при запуске подобного вируса первым будет заражен файл COMMAND.COM.

Глава 6. Краткая история антивируса.

Мы уже достаточно подробно поговорили о разрушающей силе человека. Теперь настало время поговорить о созидательной...

С момента появления первого вируса, встал вопрос о том как с ним бороться. Изначально спасение утопающих — являлось делом самих утопающих. Фирмы, выпускающие компьютеры и программное обеспечение, самостоятельно разрабатывали «лекарства» от вирусов, которые их поражали. Но такое положение дел оставалось не долго. Появились программы и фирмы, специализирующиеся на борьбе с компьютерными вирусами. Так появились первые «антивирусы».

Конец 1980-х стал временем бума развития вирусов, который сразу спровоцировал бум развития антивирусов.

За неимением на данный момент в толковых словарях определения этому термину, воспользуемся определением, предлагаемым нам википедией: антивирусные программы или же антивирусы — это специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.^[12]

Первые антивирусные утилиты появились зимой 1984 года. Энди Хопкинс (англ. Andy Hopkins) написал программы CHK4BOMB и BOMBSQAD. CHK4BOMB позволяла проанализировать текст загрузочного модуля и выявляла все текстовые сообщения и «подозрительные» участки кода (команды прямой записи на диск и др.). Благодаря своей простоте (фактически использовался только контекстный поиск) и эффективности CHK4BOMB получила значительную популярность. Программа BOMBSQAD.COM перехватывает операции записи и форматирования, выполняемые через BIOS. При выявлении запрещённой операции можно разрешить её выполнение.^[13]

В 1988 году была разработана первая версия отечественного антивируса Aidstest. Автор этой легендарной программы — Д.Н. Лозинский. Она использовалась практически на всех персональных компьютерах в СССР, а затем в странах СНГ, оставаясь вне конкуренции долгие годы. Разработка Лозинского помогла многим пользователям, в частности в государственном и коммерческом секторах, справиться с вирусной проблемой на начальном этапе ее появления.^[14]

В начале 90-х годов прошлого века появились отечественные антивирусы, которыми мы пользуемся и сейчас...

Автор антивируса Dr.Web — Игорь Данилов — начал свои антивирусные эксперименты в 1990-1991 годах. Именно тогда были созданы прототипы сторожа и сканера.

В 1992 году появилась программа MtE — генератор полиморфного (постоянно меняющегося) кода, которым мог воспользоваться не только опытный, но и любой начинающий программист. Полиморфные вирусы стали появляться каждый день, а всевозможные дополнительные способы борьбы, такие как усложнение алгоритмических языков сверки кода, — перестали работать. Спасло ситуацию только появление эмулятора кода. Система «снимала» зашифрованную часть полиморфного вируса и добиралась до постоянного тела вируса. Первой антивирусной программой с эмулятором стал AVP Евгения Касперского.^[15]

Помимо эмулятора кода, позволившего антивирусам подстроиться под стремительно набиравшую обороты «индустрию вирусов», примерно в то же время появились такие системы защиты, как криптоанализ, статистический анализ, эвристический анализатор и поведенческий блокиратор.

В 1992 году была разработана первая версия антивирусной системы Spider’s Web, включавшая в себя резидентный сторож Spider и доктор (сканер по современной терминологии) Web.

Именно доктор Web впоследствии (в 1994 году) дал всему семейству антивирусных программ Игоря Данилова название, ставшее известным на весь мир — Dr.Web.

В 1991 году Евгений Касперский возглавил группу разработчиков антивируса AntiViral Toolkit Pro (AVP) в Научно-техническом центре (НТЦ) КАМИ, фирме своего бывшего преподавателя в Высшей школе КГБ СССР Алексея Ремизова.^[16] 26 июня 1997года была основана «Лаборатория Каспперского», выпустившая «антивирус Касперского», который в свою очередь стал именем нарицательным на долгие годы.

Глава 7. Современный антивирус.

Антивирусная программа, в современном ее понимании, представляет собой сложную, комбинированную систему, направленную на комплексную защиту системы, куда она установлена.

Как правило в нее входят следующие элементы: вирусная база, модуль сканирования программ, модуль сканирования выполняющихся процессов, карантин, брандмауер, сканер почты, песочница.

Вирусная база — это библиотека знаний обо всех известных вирусах. Для обеспечения максимальной защиты она должна быть всегда максимально полной. Современные антивирусные программы насколько рас в сутки обновляют актуальность базы данных вирусов. Как правило она содержит не только полные версии существующих вирусов, но и общие алгоритмы, похожие на их деятельность.

Модуль сканирования — это основная часть программы антивируса, которая занимается сканированием установленных программ на предмет наличия в них алгоритмов, соответствующих алгоритмам вирусов, имеющихся в базе данных.

Модуль сканирования выполняющихся процессов — это тот же модуль сканирования, только работает в реальном времени и сканирует уже запущенные процессы. Это позволяет избежать запуска алгоритмов вируса, даже если процесс запущен из вне. Например загруженная программа из интернета.

Карантин — когда антивирусная программа обнаруживает зараженный файл — она может поместить его в «карантин». Как правило это отдельный файловый каталог, в котором все «зараженные» файлы переименовываются во избежание их запуска. В тех же целях, программа антивируса, как правило, налагает на этот каталог дополнительные ограничения по его использованию.

Брандмауер или же файервол (firewall – огненная стена) — это программный или программно-аппаратный комплекс компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. ^[17]На сегодняшний день это один из самых эффективных способов защиты от вредоносных программ и несанкционированного доступа к данным. Его основная цель контроль доступа программ к данным и к друг-другу. Современные брандмауеры — сложнейшие программные продукты, которые обладают собственной базой данных для анализа.

Сканер почты — это модуль программы, который специализируется на проверке входящих и исходящих сообщений по электронной почте (e-mail) на предмет вирусных угроз.

«Песочница»(sandbox) — это изолированная виртуальная среда, используемая антивирусами для наблюдения за неизвестными или подозрительными приложениями.^[18] Когда программа запускается в «песочнице», она считает что ее запустили на обычном компьютере и ведет себя так, как ее запрограммировали. И если в ней есть вредоносный код, то все ее действия будут направленны против виртуальной машины, в которой она запущена и не причинит вреда основной системе.

Сейчас производители антивирусных программ соревнуются с друг-другом, наперебой предлагая пользователям все новые и новые возможности. Родительский контроль, мониторинг фишинговых сайтов, блокировка рекламы, работа через удаленный VPN и т. д.

Рассмотрим несколько из них:

Мониторинг фишинговых сайтов — это проверка сайта на подлинность. Сейчас одной из уловок хакеров является создание точной копии настоящего сайта. Основной целью таких сайтов является кража паролей от настоящих сайтов. Это позволяет злоумышленникам воспользоваться учетными записями пользователей в корыстных целях. Например для рассылки спама через вашу учетную запись в «Вконтакте» или перевод всех ваших денег со счетов через «Сбербанк онлайн».

Мониторинговая программа сверяет адрес страницы с базой фишинговых сайтов и если сайт в черном списке, то вам выведу предупреждение, а сайт заблокируют. Наиболее совершенные антифишинговые мониторы умеют анализировать само содержимое таких сайтов, и если оно кажется похожим на другой сайт, то пользователю выдается предупреждение.

Блокировка рекламы не несет функции защиты данных, она лишь позволяет оградить пользователя от излишней бесполезной информации. И является инструментом обеспечения комфорта пользователя и побочным продуктом.

Работа через удаленный VPN (Virtual Private Network) — виртуальная частная сеть. Это общее название сети, а точнее соединения, созданного внутри любой другой сети, например, интернет, путем создания зашифрованного канала связи. Таким образом, VPN состоит из двух основных составляющих: защищенного соединения (тоннеля) для передачи данных и внешнего пространства (сети), где это происходит.^[19] Вся информация внутри такого тунеля является зашифрованной и ее невозможно «прочитать» посторонним. Даже если кто-то сканирует сеть, в которой вы работаете, он не сможет узнать, что вы делаете, какие данные передаете и принимаете. Кроме того, так как это является своего рода прокси-сервером, то люди отслеживающие трафик у конечного ресурса не смогут «выйти» на вас. Они упрутся в VPN-сервер фирмы, предоставляющей вам VPN-тунель и будут головной болью их, а не вашей.

К сожалению все «мощные» антивирусные программы стоят денег, но многие известные производители предлагают и бесплатные продукты. Они менее эффективны, но зато позволяют в какой-то степени улучшить защищенность рядового пользователя.

Глава 8. Рейтинг современных антивирусов.

Так какой-же антивирус самый самый? На это вопрос нет однозначного ответа. Каждому нравится свое. И это вы найдете в интернете при попытке посмотреть рейтинг антивирусов. Но мы попробуем провести обобщение. Возьмем несколько рейтингов и посмотрим, какой антивирус в них признается лучшим чаще... Посмотрим несколько рейтингов, составим таблицу и сравним.

Рейтинг антивирусов на сайтах:

№места\сайт	grozza.ru	top10a.ru	softcatalog.info	pcpro100.info	comss.ru
1	AVG	Panda Cloud	Avast	Malwarebytes	Kaspersky
2	Avast	AVG	360 Tools	Advanced SystemCare	ESTE NOD32
3	McAfee	Avast	Panda Cloud	Avast	Dr. Web
4	Webroot	360 Tools	AVG	AVG	Norton Security
5	Kaspersky	Ad-Aware	ESTE NOD32	Bitdefender	Bitdefender
6		Bitdefender	Avira	Avira	Avast
7		Zillya	Bitdefender	Kaspersky	Emsisoft
8		Avira	Comodo Antivirus	Dr. Web	AVG
9		Microsoft Security	Dr. Web	Comodo Antivirus	Comodo Antivirus
10		Comodo Antivirus		360 Tools	Avira

Возьмем за формулу: общий рейтинг антивируса = сумма всех мест в рейтинге деленное на 10. Если антивирус отсутствует в рейтинге, то ему присуждается 10 баллов. Чем меньше число, тем выше рейтинг. Получим следующее:

Суммарный рейтинг антивируса:

Суммарный балл	Название антивируса
1,5	Avast
1,9	AVG
3,3	Kaspersy и Bitdefender
3,4	Panda Cloud
3,6	360 Tools
3,7	ESTE NOD32
4	Avira
4,1	Malwarebytes
4,2	Dr. Web и Advanced SystemCare
4,3	Mc Cafee
4,4	Webroot
4,5	Ad-Aware
4,6	Comodo Antivirus
4,7	Zillya и Emsisoft
4,9	Microsoft Security

Таким образом мы видим, что общее мнение сводится к тому, что лучшими антивирусами являются: Avast Antivirus, AVG и Kaspersky.

Глава 9. Уязвимости в современной системе.

Все наиболее опасные современные вирусные программы пишутся высококвалифицированными хакерами.

Промышленное программное обеспечение является весьма специфичным продуктом, который создают под выполнение особых задач, в особых условия. Оно тщательно разрабатывается и хорошо проверяется. Все это делает его нежеланной целью для хакеров.

Наиболее привлекательной целью современных хакеров являются ПЭВМ простых обывателей. Программное обеспечение для них делается не качественно и низкий уровень знаний самих пользователей, а так же массовость делают их подходящей целью для вирусных атак.

Современная тенденция выпуска программных продуктов на общий рынок такова, что в изначальных программах имеется огромное количество уязвимостей, или как их еще называют, «дыр» в защите. Со временем, после выпуска, производители производят их доработку и выпускают дополнения («патчи»), которые делают работы программы более стабильной и «закрывают дыры в системе».

Вторым рубежом защиты являются те самые программы антивирусы и брандмауэры. Почти во всех современных операционных системах уже существуют простейшие антивирусы и брандмауэры. Но они дают лишь базовую защиту. Хакеры легко находят лазайки для их обхода. Поэтому установка антивирусных программ, которые годами совершенствовались производителями дает большую защиту, т. к. их производители имеют больший опыт в защите информации, нежели производители операционных систем.

Но самым слабым звеном в защите информации остается человек. Низкий уровень информационной грамотности конечных пользователей по прежнему является главной проблемой защиты от вирусов.

Человек управляет машиной. И если человек говорит, что хочет установить или запустить ту или иную программу, то машина ни чего не сможет с этим поделать. Человеку не нравится, когда машина диктует ему условия и отказывается от программных продуктов, которые слишком сильно ограничивают его в правах пользования. Но слишком большие права в руках неумелых пользователей ведут к более легкому способу «инфицирования» системы.

Хакеры делают зараженные файлы привлекательными для пользователей, побуждая их запустить «инфицированную» программу.

Когда пользователю очень хочется то или иное (например если ему пообещать материальную выгоду), то он уже не будет обращать внимание на предупреждения, которые выдает ему система.

Следующая проблема — это незащищенность передаваемой информации. Наиболее ярко дело обстоит в современных сетях передачи данных. Каждый с кем вы находитесь в одной локальной сети, может «слышать» все, что вы передаете и принимаете.

А если вы подключены к «незащищенной беспроводной сети», т. е. Wi-Fi сети, не имеющей шифрования, то вас могут «слушать» вообще кто-угодно, при наличии соответствующего программного обеспечения. Но даже шифрованные сети можно «взломать».

Заключение.

Производители сейфов говорят: «замок может только задержать профессионального взломщика». Т.е. Чем надежнее дверь, чем лучше замок, чем больше замков, тем сложнее будет проникнуть за них. И можно сделать цену такого проникновения не выгодным.

Это справедливо и для пользователей программ. Невозможно создать абсолютно безопасную систему, но можно сделать ее взлом не выгодным.

Уровень защиты зависит от того, на что готов пользователь.

Все выше сказанное наводит на мысль о том, что наиболее эффективным способом защиты от современных вирусов является комплексный подход, включающий в себя такие вещи как:

• Установку доработанных программных продуктов.
• Использование дополнительных антивирусных программ от известных производителей.
• Использование шифрованных сетей передачи данных.
• Привлечение профессионалов.
• Ограничение прав, которыми обладают простые пользователи.
• Повышение уровня знаний конечных пользователей.

Именно последний пункт наиболее важный. Потому, что именно пользователь решает что делать. Он решает какие программы устанавливать, какими операционными системами пользоваться, что скачивать и что запускать на своем ПЭВМ. Многие крупные фирмы считают своей обязанность проводить курсы повышения квалификации не только для системных администраторов, которые специально наняты для обеспечения информационной безопасности, но и конечных пользователей.

Список литературы

Першиков В. И., Савинков В. М. Толковый словарь по информатике / Рецензенты: канд. физ.-мат. наук А. С. Марков и д-р физ.-мат. наук И. В. Поттосин. — М.: Финансы и статистика, 1991. - 543с.

Компьютеры: справочное руководство = Computer Handbook / Пер. с англ. /Под ред. Г. Хелмса. — М.: Мир, 1986. — Т. 1. — С. 13. — 416 с.

А.Савицкий. Опрос: Самая непонятная киберугроза. Лаборатория Касперского (10 февраля 2014) https://blog.kaspersky.ru/opros-samaya-neponyatnaya-kiberugroza/2960/

Penrose L. S., Penrose R. A Self-reproducing Analogue Nature, 4571, p. 1183

Page dedicated to Elk Cloner on Rich’s home site.

Сообщение в alt.folklore.computers https://groups.google.com/forum/#!msg/alt.folklore.computers/IksLGIll5Es/H9Cb82XmH3EJ

http://infostart.ru/public/445648/

http://www.computerra.ru/89647/kratkaya-istoriya-virusov-k-25-letiyu-chervya-morrisa/

Классификация компьютерных вирусов http://www.spravkapc.ru/articles/klassifikatsiya-kompyuternykh-virusov.html

https://ru.wikipedia.org/

http://company.drweb.ru/first/ Dr.WEB — они были первыми.

Дорофеев, В.; Костылёва, Т. Принцип Касперского: телохранитель Интернета. — М.: Эксмо, 2011. — C. 32—33.

1. Лебедь С. В. Межсетевое экранирование. Теория и практика защиты внешнего периметра. — МГТУ им. Н. Э. Баумана, 2002. с 22.

http://www.drweb.ru/pravda/issue/?number=91&lng=ru dr.WEB - «троянцы в засаде»

The Scarred Man

http://sovetclub.ru/chto-takoe-vpn

http://virusclean.ru/virklasif.html

http://virtoo.ru/almanach/technology/istoriya-razvitiya-antivirusov.html

1. grozza.ru
2. top10a.ru
3. softcatalog.info
4. pcpro100.info
5. comss.ru

1. Першиков В. И., Савинков В. М. Толковый словарь по информатике / Рецензенты: канд. физ.-мат. наук А. С. Марков и д-р физ.-мат. наук И. В. Поттосин. — М.: Финансы и статистика, 1991. - 543с. ↑

2. Компьютеры: справочное руководство = Computer Handbook / Пер. с англ. /Под ред. Г. Хелмса. — М.: Мир, 1986. — Т. 1. — С. 13. — 416 с. ↑

3. А.Савицкий. Опрос: Самая непонятная киберугроза. Лаборатория Касперского (10 февраля 2014) https://blog.kaspersky.ru/opros-samaya-neponyatnaya-kiberugroza/2960/ ↑

4. The Scarred Man ↑

5. Penrose L. S., Penrose R. A Self-reproducing Analogue Nature, 4571, p. 1183 ↑

6. Page dedicated to Elk Cloner on Rich’s home site ↑

7. Сообщение в alt.folklore.computers https://groups.google.com/forum/#!msg/alt.folklore.computers/IksLGIll5Es/H9Cb82XmH3EJ ↑

8. http://infostart.ru/public/445648/ ↑

9. http://www.computerra.ru/89647/kratkaya-istoriya-virusov-k-25-letiyu-chervya-morrisa/ ↑

10. http://virusclean.ru/virklasif.html Классификация копмьютерных вирусов. ↑

11. Классификация компьютерных вирусов http://www.spravkapc.ru/articles/klassifikatsiya-kompyuternykh-virusov.html ↑

12. https://ru.wikipedia.org/wiki/%D0%90%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BD%D0%B0%D1%8F_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B0 Антивирусная программа - ВИКИПЕДИЯ ↑

13. https://ru.wikipedia.org/wiki/%D0%98%D1%81%D1%82%D0%BE%D1%80%D0%B8%D1%8F_%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D1%85_%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BE%D0%B2#.D0.9F.D0.B5.D1.80.D0.B2.D1.8B.D0.B5_.D0.B0.D0.BD.D1.82.D0.B8.D0.B2.D0.B8.D1.80.D1.83.D1.81.D1.8B История компьютерных вирусов - ВИКИПЕДИЯ ↑

14. http://company.drweb.ru/first/ Dr.WEB — они были первыми. ↑

15. http://virtoo.ru/almanach/technology/istoriya-razvitiya-antivirusov.html История развития антивирусов ↑

16. Дорофеев, В.; Костылёва, Т. Принцип Касперского: телохранитель Интернета. — М.: Эксмо, 2011. — C. 32—33. ↑

17. Лебедь С. В. Межсетевое экранирование. Теория и практика защиты внешнего периметра. — МГТУ им. Н. Э. Баумана, 2002. с 22. ↑

18. http://www.drweb.ru/pravda/issue/?number=91&lng=ru dr.WEB - «троянцы в засаде» ↑

19. http://sovetclub.ru/chto-takoe-vpn Что такое VPN. ↑