Исследование проблем борьбы с вирусами и антивирусные программы (Классификация вирусов.)

Содержание:

ВВЕДЕНИЕ

В современную эру компьютерных технологий, аналогично биологическому вирусу, поражающему организм человека, существуют так же компьютерные вирусы, которые поражают компьютер и могут причинить много неприятностей. На тему вирусологии сегодня написано огромное количество книг и множество статей, с компьютерными вирусами борются тысячи специалистов в сотнях разных компаний. И не случайно, ведь компьютерные вирусы являются одной из самых распространенных современных причин потери информации.

С развитием всемирной паутины – интернета, современные компьютерные вирусы стали опасным оружием в руках киберпреступников. Одни из последних созданных вирусов блокировали работу целых предприятий и организаций. Более того, был зафиксирован случай, когда зараженный вирусом компьютер стал причиной гибели человека. Случилось это в одном из госпиталей Нидерландов. Пациент умер из-за летальной дозы морфия. Стационарный компьютер, зараженный вирусами, выдавал неверную информацию.

Несмотря на то, что антивирусные фирмы прикладывают огромные усилия, убытки, которые приносят компьютерные вирусы, абсолютно не падают и достигают небывалых сумм в сотни миллионов долларов ежегодно.

Домашние пользователи компьютера и интернета не менее уязвимы от проникновения вирусов в их компьютер и домашнюю сеть. Наименее опасные вирусы могут снижать производительность компьютера, а очень опасные могут получить доступ к персональным данным пользователя и использовать их в разных целях, а то и вовсе вывести жесткий диск из строя и полностью уничтожить устройство.

Все это подчеркивает актуальность и важность выбранной темы для изучения. Целью данной курсовой работы является изучение современных вирусных программ, основные проблемы борьбы с ними, а также способы борьбы с вирусами на уровне антивирусных корпораций и на уровне конечных пользователей.

Задачи курсовой работы, которые необходимо решить в процессе изучения темы:

• Исследовать историю развития и трансформацию компьютерных вирусов, виды современных вирусов и цели их создания;
• Изучить основные проблемы борьбы с вирусами и новейшие разработки антивирусных программ, направленных на борьбу с ними;
• Осветить основные методы борьбы с вредоносными программами на разных уровнях социального общества.
• Изучить основные рекомендации для конечных пользователей, направленные на защиту устройства от проникновения вирусов.

ГЛАВА 1. ИСТОРИЯ РАЗВИТИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ И ИХ СОВРЕМЕННЫЕ ВИДЫ

«Компьютерные вирусы — это первая вполне удачная попытка создать жизнь»

Е. Касперский

Компьютерный вирус  - это вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.

Основная цель вируса - его распространение, а нарушение работы программно-аппаратных комплексов — удаление файлов, приведение в негодность структур размещения данных, блокирование работы пользователей и т. п. — часто является его сопутствующей функцией. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, не учтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы, как правило, занимают место на накопителях информации и потребляют ресурсы системы.

Отличительными особенностями компьютерных вирусов являются:

• маленький объем;
• самостоятельный запуск;
• многократное копирование кода;
•  создание помех для корректной работы компьютера.

Рассмотрим современную классификацию вирусов.

Классификация вирусов.

 В настоящее время вирусных программ существует великое множество, и классифицировать их становится все сложнее. На данный момент для удобства идентификации вирусов есть несколько классификаций.

По масштабу вредных воздействий компьютерные вирусы делятся на:

• Безвредные  - не влияют на работу ПК^[1], лишь уменьшают объем свободной памяти на диске, в результате своего размножения;
• Неопасные - влияние, которых ограничивается уменьшением памяти на диске, графическими, звуковыми и другими внешними эффектами;
• Опасные  - приводят к сбоям и зависаниям при работе на ПК;
• Очень опасные  - приводят к потери программ и данных (изменение, удаление), форматированию жесткого диска и т.д.

 По среде обитания компьютерные вирусы бывают:

• Файловые вирусы -  способны внедряться в программы и активизируются при их запуске. Из оперативной памяти вирусы заражают другие программные файлы (com, exe, sys) меняя их код вплоть до момента выключения ПК. Передаются с нелегальными копиями популярных программ, особенно компьютерных игр. Но не могут заражать файлы данных (изображения, звук);
•  Загрузочные вирусы -  передаются через зараженные загрузочные сектора при загрузке операционной системы и внедряются в оперативную память,  заражая другие файлы;
•  Макровирусы - заражают файлы документов Word и Excel. Эти вирусы являются фактически макрокомандами (макросами) и встраиваются в документ, заражая стандартный шаблон документов. Угроза заражения прекращается после закрытия приложения;
•  Сетевые вирусы – распространяются по компьютерной сети, как правило, посредством электронных сообщений.

 Вирусы можно также различать по используемым ими алгоритмам работы, то есть различным программным хитростям, делающим их столь опасными и трудноуловимыми:

• Резидентные и нерезидентные вирусы. Резидентный вирус подобен шпиону, постоянно работающему в чужой стране. Попав при загрузке в оперативную память компьютера, вирус остается в ней до тех пор, пока компьютер не будет выключен или перезагружен. Именно оттуда вирус-резидент и совершает все свои деструктивные действия. Нерезидентные вирусы не заражают память компьютера и способны "размножаться" только если их запустить. К резидентным можно также отнести все макровирусы. Они присутствуют в памяти компьютера в течение всего времени работы зараженного ими приложения.
• Видимые и невидимые вирусы. Для простого обывателя невидимость вируса, пожалуй, самое загадочное его свойство. "Невидимость" заключается в том, что вирус посредством программных уловок не дает пользователю или антивирусной программе заметить изменения, которые он внес в зараженный файл. Постоянно присутствуя в памяти компьютера, вирус-невидимка перехватывает запросы операционной системы на чтение и запись таких файлов. Перехватив запрос, он подставляет вместо зараженного файла его первоначальный неиспорченный вариант. Таким образом пользователю всегда попадаются на глаза только "чистые" программы, в то время как вирус незаметно вершит свое "черное дело". Чтобы максимально замаскироваться от антивирусных программ, практически все вирусы используют методы самошифрования или полиморфичности, то есть они могут сами себя зашифровывать и видоизменять. Меняя свой внешний вид (программный код), вирусы полностью сохраняют способность совершать те или иные вредоносные действия. Раньше антивирусные программы умели обнаруживать вирусы только "в лицо", то есть по их уникальному программному коду. Поэтому появление вирусов-полиморфиков несколько лет назад произвело настоящую революцию в компьютерной вирусологии. Сейчас уже существуют универсальные методы борьбы и с такими вирусами.

Перейдем к истории зарождения первых вирусных программ.

Первые вирусные программы.

Появление первых компьютерных вирусов зачастую ошибочно относят к 1970-м и даже 1960-м годам. Обычно упоминаются как «вирусы» такие программы, как Animal, Creeper,  Cookie Monster и Xerox worm. Однако, эти программы можно отнести не более чем к самовопроизводящимся механизмам. Основы теории создания таких механизмов впервые предложил в 1951 году американец венгерского происхождения Джон фон Нейман. Первой публикацией, посвящённой созданию самовоспроизводящихся систем, является статья о самовоспроизводящихся механических структурах, опубликованная в 1957 году американским журналом Nature. Например, программа Cookie Monster (печеньковое чудовище), была написана в 1970 году  для компьютера IBM модели 2741 под управлением операционной системы Multics. Программа выводила на терминал просьбу «дай мне печенья» и блокировала терминал до тех пор, пока оператор не вводил слово «печенье». Cookie Monster ошибочно называют вирусом из-за особенности его реализации. Multics позволяет установить таймер и завершить программу, а когда таймер срабатывает, программа запускается вновь, как будто бы вызов произошёл с терминала. Таким образом, оператор мог подумать, что программа, исполнение которой было прервано, заражена.

Одним же из первых компьютерных вирусов является программа Elk Cloner, которая была обнаружена на компьютерах пользователей, а не в системе, на которой была разработана. Вирус был написан в 1981 году 15-летним школьником Ричардом Скрента для компьютеров Apple 2. Elk Cloner распространялся, заражая операционную систему DOS для Apple 2, записанную на гибких дисках. После того, как компьютер загружался с зараженной дискеты, автоматически запускалась копия вируса. Вирус не влиял на работу компьютера, за исключением наблюдения за доступом к дискам. Когда происходил доступ к незараженной дискете, вирус копировал себя туда, заражая её, медленно распространяясь с диска на диск. Вирус не причинял вреда намеренно, хотя он мог повредить диски, содержащие нестандартный образ DOS, затирая резервные дорожки диска вне зависимости от их содержимого. После каждой 50-й загрузки вирус выводил на экран некий стишок.

Другие вирусы для Apple 2 были созданы студентом Техасского университета A&M Джо Деллинджером в 1981 году. Они были рассчитаны на операционную систему Apple DOS 3.3. Вторая версия этого вируса «ускользнула» от автора и начала распространяться по университету. Ошибка в вирусе вызывала подавление графики популярной игры под названием CONGO, и в течение нескольких недель все «пиратские» копии этой игры перестали работать. Для исправления ситуации автор запустил новый, исправленный вирус, предназначенный для «замещения» предыдущей версии.

В сентябре 1984 году была опубликована статья Ф. Коэна, в которой автор исследовал разновидность файлового вируса. Это было первое академическое исследование проблемы вирусов. Термин «вирус» был предложен научным руководителем Коэна Леном Эдлманом, однако именно Коэна принято считать автором термина «компьютерный вирус».

Развитие вирусных программ с появлением персональных компьютеров.

Очередным этапом развития вирусов считается 1987 год. К этому моменту получили широкое распространение сравнительно дешёвые персональные компьютеры IBM PC, что привело к резкому увеличению масштаба заражения компьютерными вирусами. Именно в 1987 году вспыхнули сразу три крупные эпидемии компьютерных вирусов.

Первая эпидемия 1987 года была вызвана пакистанским вирусом Brain (от англ. "мозг"), который был разработан братьями Амджатом и Базитом Алви в 1986 году и был обнаружен летом 1987 года. Программа должна была наказать местных «пиратов», ворующих программное обеспечение у фирмы братьев Алви, но неожиданно для них самих вирус вышел за границы Пакистана и распространился по всему миру за несколько недель путем заражения boot-сектора дискет. Только в США были заражены более 18000 компьютеров. Вирус Brain являлся также и первым стелс-вирусом^[2]  - при попытке чтения заражённого сектора он «подставлял» его незаражённый оригинал.

В пятницу 13 мая 1988 сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом Jerusalem  - в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии - сообщения о заражённых компьютерах поступали из Европы, Америки и Ближнего Востока.

В этом же 1988 году Роберт Моррис-младший создает первый массовый сетевой червь^[3]. 60000-байтная программа разрабатывалась с расчётом на поражение операционных систем UNIX Berkeley 4.3. Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью ARPANET, и остаться там необнаруженным. Вирусная программа включала компоненты, позволяющие раскрывать пароли, имеющиеся в инфицированной системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса.

По самым скромным оценкам инцидент с червём Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов. Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями. Червь Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя.

В 1989 году широкое распространение получили вирусы DATACRIME, которые начиная с 12 октября разрушали файловую систему, а до этой даты просто размножались. Эта серия компьютерных вирусов начала распространяться в Нидерландах, США и Японии в начале 1989 года и к сентябрю поразила около 100 тысяч персональных компьютеров только в Нидерландах (что составило около 10 % от их общего количества в стране). Даже фирма IBM отреагировала на эту угрозу, выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе. Набор сигнатур мог дополняться и изменяться пользователем.

Начиная с 1990 года, проблема вирусов начинает принимать глобальный размах. В Болгарии открывается первая в мире специализированная BBS, с которой каждый желающий может скачать свежий вирус. Начинают открываться конференции Usenet по вопросам написания вирусов. Выходит «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига. Вредоносные программы стали не просто устраивать всякие виртуальные пакости пользователям, но и заниматься хищением или вымогательством самых что ни на есть реальных денег.

В 1990 году компьютерный журнал PC Today разослал подписчикам зараженную дискету. Вирус называемый AIDS Information Trojan - троянская программа^[4], распространявшейся в составе пакета с базой данных о заболевании синдромом приобретенного иммунодефицита (СПИД). Как программа, так и база данных были записаны на дискете, которая были разослана 20 тысячам подписчиков. После записи на винчестер она действительно начала выдавать информацию по обещанной тематике. Однако затем (после 90 загрузок системы) «троянец» шифровал имена всех файлов на диске, делал их невидимыми и оставлял на диске всего один читаемый файл - требование перечислить сумму в 378 долларов на счет некоей фирмы в Панаме. В этом случае пользователю якобы будет выслана программа, которая произведёт удаление вирусов с компьютера. Джозеф Попп - автор «троянца», был пойман и приговорен к тюремному заключению.

В 1991 году написана программа - генератор вирусов, предназначенная исключительно для создания вирусов, VCS v1.0. В этом же году появился первый полиморфный вирус^[5] Chameleon, умеющий видоизменять свое тело. Данная технология была быстро взята на вооружение и в сочетании со стелс-технологией и бронированием (Armored) позволила новым вирусам успешно противостоять существующим антивирусным пакетам.

Операционная система Windows 95 была почти готова, и её beta-версию разослали 160 тестерам. Все диски оказались зараженными загрузочным вирусом Form, и только один тестер не поленился проверить диск антивирусом. В пресс-релизе, посвященном выходу принципиально новой операционной системы, было сказано, что она полностью защищена от любых вирусов. Через несколько месяцев был создан первый макровирус, представлявший собой не привычный исполняемый файл, а сценарий, который заражал документы Microsoft Word. В течение месяца макровирус Сoncept внедрился в компьютеры пользователей Microsoft Word и парализовал работу десятков компаний по всему миру. На сегодняшний момент существует около 100 модификаций вируса Сoncept.

Вирус Satan Bug заражает сотни компьютеров в Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора - им оказался 12-летний подросток. Зафиксировано появление «бомб замедленного действия» — вирусов, проникающих в компьютеры и активизирующихся лишь при наступлении определенной даты.

1995 год оказался переходом на более совершенный уровень в вирусмейкерстве^[6]. Если до этого года вирусы можно было посчитать по пальцам, то, начиная с 1996 года, их счет пошел на тысячи и по этой же причине ремонт компьютеров дома стал более популярен.

Вирусы в эпоху развития всемирной паутины и интернета.

В 1997 году зарождаются AOL^[7]-трояны и фишинг^[8] — приемы склонения пользователей с помощью обмана на совершение тех или иных действий, приводящих, в конечном счете, к потере денег. Началось все с кражи троянами кодов доступа к сети America Online, что стало предзнаменованием феномена фишинга, доминирующего в 21 веке.

В 1998 году два калифорнийских подростка создали вирус, который заразил более 500 компьютеров Пентагона. После этого Министерство обороны США пришло к выводу, что атаки в киберпространстве не менее опасны, чем традиционные виды ведения боевых действий, и создали термин «гонка компьютерных вооружений».

1998 год — вирус Win95.CIH. Этот вирус активизировался 26 апреля 1999 года и уничтожал всю информацию на жестком диске, записывая на него мусор. Кроме того, он перезаписывал Flash BIOS, если переключатель находился в положении, разрешающем запись, и выводил из строя материнскую плату. Эпидемия вируса Win95.CIH, более известного как «Чернобыль» была на тот момент самой разрушительной. Этот вирус стал поворотной точкой в восприятии компьютерных угроз пользователями. Это был первый вирус, который нанес урон не только данным, находящимся на заразившейся машине, но и вывел из строя некоторые компьютеры целиком. Свое название CIH вирус получил от имени своего создателя - студента тайваньского университета Чен Ин-Хау (Chen Ing-Hau). Его второе название – «Чернобыль» (Chernobyl) появилось из-за того, что вирус активировался 26 апреля - день катастрофы Чернобыльской АЭС.

В 1999 году вирус Melissa вызвал эпидемию мирового масштаба, поразил десятки тысяч компьютеров и нанес ущерб в 80 миллионов долларов. Вирус поразил 13 узловых Интернет-серверов, обеспечивающих работоспособность Всемирной сети. Автора вируса Melissa, 33-летнего программиста Дэвида Смита посадили на 20 месяцев.

В мае 2000 год рекорд вируса Melissa был побит. Червь «I love you», выпущенный на Филиппинах, нанес владельцам компьютеров ущерб, по приблизительным оценкам, превышающий 10 миллиардов долларов. Миллионы компьютеров в течение нескольких часов были заражены. Расследование показало, что вирус создал филиппинский студент, который даже не был осужден из-за отсутствия соответствующего закона в законодательстве Филиппин. В том же году было подписано первое международное соглашение о противодействии компьютерным вирусам.

Червь, вошедший в историю как Code Red, за 14 часов сумел заразить более 300 тысяч компьютеров в Интернете. После них были и другие, например, Nimda (слово admin, прочитанное наоборот), многовекторный червь, распространялся сразу несколькими способами, включая «черные ходы», оставленные другими червями. MyDoom стал самым быстрым червем, распространяющимся по электронной почте.

В феврале 2001 года появился червь AnnaKournikova, который поразил Интернет. Его создателем оказался голландский студент, который вообще не умел программировать. В 2002 году количество и серьёзность вирусов абсолютно выходит из-под контроля.

В 2003 году рекорд скорости распространения побил червь Slammer, поразивший 75 тысяч компьютеров за 10 минут. Вирус заразил компьютеры Госдепартамента США. Slammer, представляющий собой пакет данных размером в 376 бит, самостоятельно создаёт случайные IP адреса и копирует себя туда. Если на его пути находился сервер с установленной на нем «Microsoft SQL Server Desktop Engine», и если эта система не была пропатчена – такой сервер тоже начинал массовую рассылку пакетов. За первые 10 минут было заражено 75 тысяч серверов. А всего – пострадало около полумиллиона машин. Из-за огромного количества «мусорного» трафика каналы связи оказались забиты по всему миру, а Южная Корея вообще оказалась отключенной от Интернета на 12 часов. Серверы были не в состоянии самостоятельно произвести удаление вирусов.

В 2004 году 30 апреля 17 летний немецкий школьник Свен Яшан создал вирус Saccer. Эта чудесная программка, выпущенная парнем в собственный день рождения, привела к блокированию спутниковой связи во Франции, отмене авиарейсов в Великобритании, и заражению миллионов машин по всему миру. 2005 год отличился повышенной активностью вируса Zafi. В создании его сознался Свен Яшан , подготовивший Всемирной паутине рождественский подарок. Так появился новый вирус Zafi.D. Начинается все с того, что пользователь получает по электронной почте милое письмо, в заголовке которого значится фраза "Счастливого Рождества!". Причем поздравление написано на языке получателя - английском, русском, финском, шведском или любом другом.

Вирусы начинают жить «колониями». В 2006 году было зафиксировано появление первых массовых ботнетов – сети связанных между собою вирусом компьютеров, которые управляются злоумышленниками из командного центра. Эти вредоносные программы (боты^[9]) работают незаметно, используя при этом системные ресурсы компьютера пользователя.

В 2007 году Вирус Storm устроил самый настоящий шторм Интернета. Ураган в Европе нашел свое отражение в Интернете. Червь распространялся по почте. После запуска вложенных файлов устанавливается вирус, который дает возможность хакерам перебирать управление компьютером в свои руки. В 2007 году это была самая сильная бот сеть.

Еще один крупнейший ботнет Conficker возник в 2008 году и получил широкую известность за счет массового распространения, долговечности и алгоритма, препятствующего его обнаружению. Боты данной сети отключают в Windows функцию «восстановление системы», могут заблокировать доступ к различным сайтам, которые посвящены информационной безопасности, могут скачивать на пораженную машину дополнительные вредоносные программы, а также отключать системные службы. На 13 января 2009 года насчитывалось 2,4 миллиона компьютеров нуждающихся в ремонте, через день их было уже 3,5 миллиона, а по данным на 16 января вирус заразил почти 9 миллионов систем. Microsoft сообщала, что заплатит 250 тысяч долларов за информацию, которая приведет к поимке создателей червя.

Эпоха киберпреступлений.

Первое реально и успешно использованное кибероружие зафиксировано в 2010 году - программа Stuxnet. Это первый известный компьютерный червь, перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами и рабочими станциями SCADA-системы^[10] Simatic WinCC фирмы Siemens. Таким образом, червь может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в АСУ ТП^[11] промышленных предприятий, электростанций, аэропортов и т. п.

Так компьютерные вирусы обрели возможность разрушать физические объекты с системами, подключенными к средствам цифрового управления.

2012 год стал переломным с точки зрения развития кибервооружений. Уже в первые месяцы того года специалистам «Лаборатории Касперского» пришлось столкнуться с изучением инцидентов, связанных как минимум с четырьмя видами вредоносных программ, имеющих право быть отнесенными к классу кибероружия. Одним из них была программа Flame, поразившая от 1000 до 5000 компьютеров по всему миру. Вирусные аналитики охарактеризовали её самым сложным кибероружием из ранее созданных. Вредоносный код Flame во многом превзошёл Stuxnet: размером (около 20 мегабайт), количеством библиотек и дополнительных плагинов, базой данных, различными уровнями шифрования, использованием редкого для создания вирусов языка программирования LUA. Как считают вирусные аналитики Лаборатории Касперского, разработка этой вредоносной программы началась более 5 лет тому назад и она проработала на заражённых компьютерах Ближнего Востока не менее двух лет. Детальный анализ вредоносной программы позволил исследователям установить, что её разработка началась еще в 2008 году и активно продолжалась вплоть до момента обнаружения в мае 2012 года. Кроме того, выяснилось, что один из модулей платформы Flame был использован в 2009 году для распространения червя Stuxnet .

Дальнейшие поиски привели исследователей к обнаружению еще одной сложной вредоносной программы, созданной на платформе Flame, однако отличающейся по функционалу и ареалу распространения. Это был кибершпион^[12]  Gauss, который обладал модульной структурой и функционалом банковского троянца, предназначенного для кражи финансовой информации пользователей зараженных компьютеров. Многочисленные модули Gauss использовались для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Жертвами вредоноса стали клиенты ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais, а также Citibank и пользователи электронной платёжной системы PayPal.

В январе 2013 года история с кибершпионскими программами получила громкое продолжение. Эксперты «Лаборатории Касперского» сообщили об обнаружении шпионской сети Red October (Красный октябрь), организаторы которой, имеющие предположительно русскоязычные корни, вели слежку за дипломатическими, правительственными и научными организациями в различных странах. Предполагаемые киберпреступники пытались получить конфиденциальную информацию и данные, дающие доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также занимались сбором сведений геополитического характера. Ареал деятельности данных лиц распространялся на республики бывшего СССР, страны Восточной Европы, а также некоторые государства Центральной Азии .

В июне 2013 года «Лаборатория Касперского» объявила о раскрытии новой кибершпионской сети, получившей название NetTraveler и затронувшей более 350 компьютерных систем в 40 странах мира. Атаке подверглись государственные и частные структуры, в том числе правительственные учреждения, посольства, научно-исследовательские центры, военные организации, компании нефтегазового сектора, а также политические активисты. Россия оказалась в числе наиболее пострадавших стран, заняв вторую строчку в рейтинге государств, испытавших на себе наиболее заметные последствия операции NetTraveler. Согласно результатам расследования, проведенного экспертами «Лаборатории Касперского», кампания шпионажа стартовала еще в 2004 году, однако пик её пришелся на период с 2010 по 2013 гг.

В последнее время в сферу интересов атакующих входили такие отрасли, как освоение космоса, нанотехнологии, энергетика, в том числе ядерная, медицина и телекоммуникации.

 В сентябре 2013 года эксперты «Лаборатории Касперского» обнаружили сразу две кампании кибершпионажа, направленные на южнокорейские промышленные, научно-исследовательские, оборонные и государственные организации. Первая кампания строилась на базе «троянца» Kimsuky, который обладал таким функционалом, как слежение за нажатием клавиш, составление и кража списка файлов во всех каталогах, удаленное управление компьютером и хищение документов формата HWP, повсеместно используемого в южнокорейских госучреждениях в составе пакета Hancom Office. Улики, обнаруженные экспертами, дают возможность предполагать наличие «следа» Северной Кореи. Среди целей атакующих были южнокорейские университеты, занимающиеся изучением международных отношений и разработкой государственной оборонной политики, национальная логистическая компания и группы политических активистов.

Другой кибершпион с ярко выраженной корейской «географией» - Icefog - был обнаружен спустя всего несколько дней после Kimsuky. Тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с хирургической точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Исследование показывает, что среди целей группы были подрядчики оборонной отрасли, судостроительные компании, морские грузоперевозчики, телекоммуникационные операторы, медиа-компании. Взламывая компьютеры, киберпреступники перехватывали внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных.

Киберпреступники все больше интересуются пользователями онлайн-банкинга и все профессиональнее обходят банковскую киберзащиту. Троян Hesperbot 2013 года рождения — образец вредоносного программного обеспечения, специально нацеленного на преодоление защиты банковских и других финансовых сервисов.

И, наконец, Windigo — беспрецедентная вредоносная вирусная кампания с точки зрения сложности задействованного программного обеспечения и инфраструктуры киберпреступников. Ее организаторы и операторы пока не найдены.

К сожалению, нет сомнений, что через пару-тройку лет этот перечень пополнится новыми «выдающимися» представителями вирусного племени и новыми изощренными способами их внедрения и распространения. Поэтому очень важно обладать актуальной информацией в области новейших антивирусных разработок, чтобы правильно обеспечить свою информационную защиту.

ГЛАВА 2. ИССЛЕДОВАНИЕ ПРОБЛЕМ БОРЬБЫ С ВИРУСАМИ

«Многие люди считают, что вирусы – особая разновидность темного искусства»

М. Людвиг

2.1 Методы борьбы антивирусных корпораций.

Одними из крупнейших компаний, занимающихся в России антивирусными исследованиями, являются «Лаборатория Касперского» (www.avp.ru) и «СалД» (www.drweb.ru). «Лаборатория Касперского» – международная компания, работающая в сфере информационной безопасности с 1997 года. Глубокие экспертные знания и двадцатилетний опыт компании лежат в основе защитных решений и сервисов, обеспечивающих безопасность бизнеса, критически важной инфраструктуры, государственных органов и пользователей во всем мире. Обширное портфолио «Лаборатории Касперского» включает в себя передовые продукты для защиты конечных устройств, а также ряд специализированных решений и сервисов для борьбы со сложными и постоянно эволюционирующими киберугрозами. Технологии «Лаборатории Касперского» защищают более 400 миллионов пользователей и 270 тысяч корпоративных клиентов. Компания имеет множество наград от исследовательских лабораторий, таких как AV-Comparatives, PCMag, SE Labs и другие, и на сегодняшний день является лидером в антивирусной индустрии на Российском и ряде зарубежных рынков.

По мнению Е. Касперского (основатель и глава АО "Лаборатория Касперского"), для того чтобы успешно противостоять попыткам вирусов проникнуть в ваш компьютер, необходимо выполнять два простейших условия: соблюдать элементарные правила "компьютерной гигиены" и пользоваться антивирусными программами.

С тех пор как существует антивирусная индустрия, было изобретено множество способов противодействия компьютерным вирусам. Попробуем разобраться, в чем преимущества и недостатки тех или иных способов защиты и на сколько они эффективны по отношению к различным типам вирусов.

На сегодняшний день можно выделить пять основных подходов к обеспечению антивирусной безопасности:

• Антивирусные сканеры.

Пионер антивирусного движения - программа-сканер, появившаяся на свет практически одновременно с самими компьютерными вирусами. Принцип работы сканера заключается в просмотре всех файлов, загрузочных секторов и памяти с цепью обнаружения в них вирусных сигнатур, то есть уникального программного кода вируса.

Главный недостаток сканера - неспособность отслеживать различные модификации вируса. К примеру, существует несколько десятков вариантов вируса Melissa, и почти для каждого из них антивирусным компаниям приходится выпускать отдельное обновление антивирусной базы.

Отсюда вытекает и вторая проблема: на время между появлением новой модификации вируса и выходом соответствующего антивируса пользователь остается практически не защищенным. На сегондяшний день эксперты придумали и внедрили в сканеры оригинальный алгоритм обнаружения неизвестных вирусов - эвристический анализатор, который проверял код программы на возможность присутствия в нем компьютерного вируса. Однако этот метод имеет высокий уровень ложных срабатываний, недостаточно надежен и, кроме того, не позволяет ликвидировать обнаруженные вирусы.

И, наконец, третий недостаток антивирусного сканера - он проверяет файлы только тогда, когда вы его об этом «попросите», то есть запустите программу. Между тем пользователи очень часто забывают проверять сомнительные файлы, загруженные, например, из интернета, и в результате своими собственными руками заражают компьютер. Сканер способен определить факт заражения только после того, как в системе уже появился вирус.

• Антивирусные мониторы.

По своей сути антивирусные мониторы - это разновидность сканеров. Но в отличие от последних они постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.

• Ревизоры изменений.

Работа этого вида антивирусных программ основана на снятии оригинальных «отпечатков» (CRC-сумм) с файлов и системных секторов. Эти «отпечатки» сохраняются в базе данных. При следующем запуске ревизор сверяет «отпечатки» с их оригиналами и сообщает пользователю о произошедших изменениях.

У ревизоров изменений тоже есть недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того как вирус разошелся по компьютеру. Во-вторых, они не могут обнаружить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии, или при распаковке файлов из архива), поскольку в базах данных ревизоров информация об этих файлах отсутствует. Этим и пользуются некоторые вирусы, заражая только вновь создаваемые файлы и оставаясь, таким образом, невидимыми для ревизоров. В-третьих, ревизоры требуют регулярного запуска - чем чаще это делать, тем надежнее будет контроль за вирусной активностью.

• Иммунизаторы.

Антивирусные программы-иммунизаторы делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: они абсолютно не способны обнаруживать вирусы-невидимки, хитро скрывающие свое присутствие в зараженном файле.

Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Например, чтобы предотвратить заражение СОМ-файла вирусом Jerusalem, достаточно дописать в него строку MsDos. А для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена и можно ею не заниматься.

Конечно, нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности. Именно поэтому иммунизаторы не получили большого распространения и в настоящее время практически не используются.

• Поведенческие блокираторы.

Все перечисленные выше типы антивирусов не решают главной проблемы - защиты от неизвестных вирусов. Таким образом, компьютерные системы оказываются беззащитны перед ними до тех пор, пока производители антивирусов не разработают «противоядия». Иногда на это уходит несколько недель. За это время можно потерять всю важную информацию.

По мнению Е. Касперского, наиболее перспективное направление антивирусной защиты - это создание так называемых поведенческих блокираторов. Именно они способны практически со стопроцентной гарантией противостоять атакам новых вирусов.

Что такое поведенческий блокиратор? Это программа, постоянно находящаяся в оперативной памяти компьютера и «перехватывающая» различные события в системе. В случае обнаружения «подозрительных» действий, которые может производить вирус или другая вредоносная программа, блокиратор запрещает это действие или запрашивает разрешение у пользователя. Иными словами, блокиратор не ищет код вируса, но отслеживает и предотвращает его действия.

Теоретически блокиратор может предотвратить распространение любого как известного, так и неизвестного (написанного после блокиратора) вируса. Но проблема заключается в том, что «вирусоподобные» действия может производить и сама операционная система, а также полезные программы. Поведенческий блокиратор (здесь имеется в виду «классический» блокиратор, который используется для борьбы с файловыми вирусами) не может самостоятельно определить, кто именно выполняет подозрительное действие - вирус, операционная система или какая-либо программа, и поэтому вынужден спрашивать подтверждения у пользователя. Таким образом пользователь, принимающий конечное решение, должен обладать достаточными знаниями и опытом для того, чтобы дать правильный ответ. Но таких людей мало. Именно поэтому блокираторы до сих пор не стали популярными, хотя сама идея их создания появилась довольно давно. Достоинства этих антивирусных программ зачастую становились их недостатками: они казались слишком навязчивыми, утруждая пользователя своими постоянным запросами, и пользователи их просто удаляли. К сожалению, эту ситуацию может исправить лишь использование искусственного интеллекта, который самостоятельно разбирался бы в причинах того или иного подозрительного действия.

Однако уже сегодня поведенческие блокираторы могут успешно применяться для борьбы с макровирусами. В программах, написанных на макроязыке VBA, можно с очень большой долей вероятности отличать вредоносные действия от полезных. В конце 1999 года «Лаборатория Касперского» разработала уникальную систему защиты от макровирусов пакета MS Office (версий 97 и 2000), основанную на новых подходах к принципам поведенческого блокиратора - AVP Office Guard. Благодаря проведенному анализу поведения макровирусов, были определены наиболее часто встречающиеся последовательности их действий. Это позволило внедрить в программу блокиратора новую высокоинтеллектуальную систему фильтрации действий макросов, практически безошибочно выявляющую те из них, которые представляют собой реальную опасность. Благодаря этому блокиратор AVP Office Guard, с одной стороны, задает пользователю гораздо меньше вопросов и не столь навязчив, как его файловые собратья, а с другой - практически на 100% защищает компьютер от макровирусов как известных, так и еще не написанных.

AVP Office Guard перехватывает и блокирует выполнение даже многоплатформенных макровирусов, то есть вирусов, способных работать сразу в нескольких приложениях. Кроме того, программа AVP Office Guard контролирует работу макросов с внешними приложениями, в том числе и с почтовыми программами. Тем самым исключается возможность распространения макровирусов через электронную почту. А ведь именно таким способом в мае 2000 года вирус LoveLetter поразил десятки тысяч компьютеров по всему миру.

Эффективность блокиратора была бы нулевой, если бы макровирусы могли произвольно отключать его. В этом состоит один из недостатков антивирусной защиты, встроенной в приложения MS Office. В AVP Office Guard заложен новый механизм противодействия атакам макровирусов на него самого с целью его отключения и устранения из системы. Сделать это может только сам пользователь. Таким образом, использование AVP Office Guard избавляет от вечной головной боли по поводу загрузки и подключения обновлений антивирусной базы для защиты от новых макровирусов. Однажды установленная, эта программа надежно защитит компьютер от макровирусов вплоть до выхода новой версии языка программирования VBA с новыми функциями, которые могут быть использованы для написания вирусов.

Хотя поведенческий блокиратор и решает проблему обнаружения и предотвращения распространения макровирусов, он не предназначен для их удаления. Поэтому его надо использовать совместно с антивирусным сканером, который способен успешно уничтожить обнаруженный вирус. Блокиратор позволит безопасно переждать период между обнаружением нового вируса и выпуском обновления антивирусной базы для сканера, не прерывая работу компьютерных систем из-за боязни навсегда потерять ценные данные или серьезно повредить аппаратную часть компьютера.

Для обеспечения информационной безопасности и предотвращения проникновения вирусов в ваш компьютер Е. Касперский также рекомендует соблюдать несколько правил, которые он называет «Правилами компьютерной гигиены»:

• Ни в коем случае не открывать файлы, присылаемые по электронной почте неизвестными отправителями. Даже если адресат известен, необходимо быть осторожным: знакомые и партнеры могут не подозревать, что их почтовый ящик был взломан и вирус незаметно рассылает свои копии по адресам из их адресной книги.
• Обязательно проверять антивирусным сканером с максимальным уровнем проверки все переносные накопительные устройства (дискеты, компакт-диски, флеш-карты и другие мобильные носители информации), а также файлы, получаемые из сети Интернет и других публичных ресурсов (BBS, электронных конференций и т. д.).
• Проводить полную антивирусную проверку компьютера после получения его из ремонтных служб. Специалисты по ремонту пользуются одними и теми же дискетами/флеш-картами для проверки всех компьютеров, поэтому риск попадания вируса из другой машины в разы увеличивается.
• Своевременно устанавливать «заплатки» от производителей используемых вами операционных систем и программ.
• Быть осторожным, допуская других пользователей к вашему компьютеру.
• Для повышения сохранности данных периодически проводить резервную архивацию информации на независимые носители.

Соблюдая данные рекомндации в купе с установкой хорошей антивирусной программы на ваш ПК, безусловно, риск пострадать от вредоносной программы снижается в разы, но, к сожалению, не защищает полностью. Очень важно понимать, что такой продукт, как программа тоже имеет свой срок службы, в плане актуальности и надежности. Время от времени необходимо обновлять свои знания в области информационной защиты и новых актуальных антивирусных программ.

2.2 Проблемы борьбы с вирусами в мобильных устройствах.

Стремительная эволюция мобильных телефонов и ПК привела к появлению карманных компьютеров, называемых в наше время смартфонами и планшетами. И не удивительно, что киберпреступность и здесь не заставила себя долго ждать. Рассмотрим подробнее, как производители и заинтересованные компании противостоят вирусам в этой области, каковы существующие проблемы и какие возможности есть у конечного пользователя, чтобы защитить свое устройство от вторжения.

На сегодняшний день самыми крупными операционными системами для данных устройств являются платформы iOS от компании Apple и Android от Google. iOS-платформа создана и используется только на устройствах компании Apple, таких как iPhone и iPad, Android же используется практически всеми остальными мировыми производителями мобильных устройств. Эти два гиганта имеют ряд принципиальных различий, в т.ч. числе и в подходе к безопасности. Поэтому рассмотрим каждую отдельно.

Операционная система Android была выпущена компанией Google почти 9 лет назад и первые два-три года были для неё безоблачными. Google выпускала версию за версией, производители расширяли линейки выпускаемых устройств, росло число пользователей, а вместе с ним и количество приложений в главном магазине Google Play. Уже к 2011 году каждый второй продаваемый смартфон работал под Android, а счёт приложениям пошёл на сотни тысяч, в это же время и послышались первые голоса, требовавшие мобильный антивирус. Но появились и первые же противники.

Специалисты компаний, занимающихся компьютерной безопасностью все чаще находили вредоносные Android-приложения. Такие продукты обычно маскировались под нормальные (новое оформление, оптимизаторы системы, игры и т.п.), но по факту так или иначе приносили вред: крали контакты и пароли, слали SMS на платные номера, заставляли телефон участвовать в интернет атаках, даже записывали телефонные разговоры. Некоторые лежали прямо в Google Play, другие выкладывались в альтернативные магазины приложений. И динамика роста их численности была устрашающей: каждый год специалисты отлавливали в разы больше таких программ, чем годом ранее. Необходимость создания антивирусов была очевидна.

Как ни парадоксально сама Google противостояла созданию антивирусов. Её руководство занимало такую позицию: вирусов для Android не существует, паника искусственно создаётся разработчиками антивирусов, а тем, кто работает на такие компании, должно быть стыдно!

Это было жестоко, но не лишено оснований. Дело в том, что вирусов в классическом понимании - подобных компьютерным, которые распространяются самостоятельно, без помощи со стороны пользователя - для Android действительно не существовало. То, что все называли «вирусами», было вредоносными программами, замаскированными под полезные приложения: пользователь должен сам скачать такое приложение из магазина и дать разрешение на его установку. Но для пользователя это не меняло сути проблемы. Ведь ему абсолютно не важно, как правильно классифицируется программа, отправившая без спроса SMS за триста рублей.

Так что вполне ожидаемо в споре победили пользователи. А Google, хоть так никогда ошибку и не признала, пошла на попятную и сама стала использовать антивирус Google Bouncer, который и работает по сей день в её магазине, незаметно для пользователей проверяя и перепроверяя все приложения. Сформировался и класс независимых продуктов для поиска мобильной заразы и защитной профилактики вообще.

Пять лет назад испытания мобильных антивирусов давали удручающий результат: что платные, что бесплатные, они не умели почти ничего. С тех пор многое изменилось в лучшую сторону. Современные Android-антивирусы работают подобно компьютерным: умеют сканировать установленные программы, контролируют оперативную память устройства, даже помогают отфильтровывать опасные ссылки в браузере и блокировать сомнительные звонки. Главное, что они действительно эффективны, по крайней мере в отношении известных мобильных вирусов, а также в отношении многих новых, ещё не исследованных специалистами вредоносных программ, которые определяют эвристическим методом (то есть пытаясь «понять», что программа делает).

Одной из проблем борьбы с мобильными Android-вирусами является то, что сама операционная система развивается в направлении, облегчающем мошенникам атаки на пользователя. В отличие от iOS, на Android возможна установка приложений из неизвестных источников, т.е. не только из официального Google Play, где всегда высока вероятность наткнуться на вредоносный «сюрприз». Далее, правила допуска приложений в Google Play остаются сравнительно либеральными и мошенники пользуются этим, придумывая всё новые способы, как протащить туда вредоносный код. Уже были случаи, когда совершенно безвредная программа после установки подкачивала на телефон вредный компонент, когда что-то опасное проникало через рекламу и т.п.

И, наконец, третья проблема - в отличие от iPhone смартфонов, выпускаемых одной компанией, Android-устройства выпускаются тысячами производителей, и версии операционной системы на них самые разные, от классической 2.0 до новейшей 7.0. Проблема в том, что чем более старая версия Android стоит на смартфоне, тем больше ошибок в ней обнаружено, но вот исправлять эти ошибки производители не торопятся.

Даже такие флагманы рынка, как Samsung, перестают обновлять системное программное обеспечение своих телефонов уже спустя год, а то и раньше. В результате подавляющее большинство Android-устройств содержат опасные уязвимости, которые уже никогда не будут исправлены. Вредоносные же программы такими уязвимостями всё чаще пользуются, что облегчает перехват контроля над устройством.

Оценить, насколько уязвим лично ваш телефон, можно, воспользовавшись программой-сканером, например, хорошо известной AndroidVTS. Стоит отметить, что Google исключила её из своего магазина, поэтому скачивать придётся с сайта разработчиков.

Учитывая всё это, следует признать, что лучшим способом избежать мобильной инфекции является цифровая гигиена. Вот несколько простых правил:

• Не пользуйтесь альтернативными магазинами приложений.
• Не устанавливайте приложения со слишком малым числом пользователей.
• Избегайте бесполезных приложений, на разработку которых явно было потрачено немного труда, такие чаще всего и оказываются «троянскими конями».
• Не соблазняйтесь «взломанными» программами.

Всё же даже соблюдая цифровую гигиену, иметь на телефоне или планшете антивирус не помешает. Тем более, что современные защитные продукты часто бесплатны, почти не сказываются на производительности устройства и не требуют большого расхода аккумулятора. Подбирая антивирус для своего устройства, следует держаться известных марок. Немецкая компания AV-Test провела оценку эффективности и производительности среди мобильных антивирусов и выделила наиболее удачные:

• Baidu Mobile Security
• Quihoo 360
• Kaspersky Antivirus & Security
• Avira Antivirus Security
• Bitdefender Mobile Security & Antivirus
• Trend Micro Mobile Security
• Norton Security & Antivirus
• AhnLab v3 Mobile Security

Принципиально иначе обстоят дела с iOS платформой. iOS это полностью закрытая система, тяжело поддающаяся модификациям, приложения здесь, как правило, более стабильны и не содержат вирусов. Вирусы же на Android – обычная ситуация, которая решается установкой защитного ПО, проверяющего все апплеты еще во время установки.

Считается, что операционная система iOS на сегодняшний день является самой безопасной среди популярных мобильных систем, т.к. вирусов здесь практически нет и тому есть ряд причин, которые рассмотрим ниже. Когда пользователь все же задается вопросом установки антивируса на свой iPhone или iPad, важно отметить, что в App Store нет антивируса в классическом понимании этого слова (программа, в которой есть базы вирусов). А крупные компании вроде Symantec или McAfee занимаются чем угодно, но только не выпуском антивируса под iOS. Они имеют совершенно иной подход к безопасности - придумывают безопасные хранилища и браузеры, программы для хранения паролей и т.п.

Однако, интересен тот факт, что в App Store все же продается антивирус для iPad и iPhone - Virus Barrier. Разберем подробнее принцип ее работы: Virus Barrier проверяет файлы, которые вам прислали по электронной почте, на предмет вируса. Единственное, что стоит заметить, вирусы эти не для iOS, а для Windows. Также программа может проверить файлы на предмет наличия вируса в Dropbox или на FTP сервере - только возникает вопрос: Зачем? У многих программистов данная программа вызывает только недоумение. Ведь даже если на электронную почту придет письмо, содержащее вирус для Windows, вряд ли найдется человек, который пользуется антивирусом на iPad или iPhone - проверяет файлы, а потом на своем персональном компьютере пользуется этими файлами без наличия антивируса для ПК, понадеявшись на проверку c iPad. Вывод о бесполезности данного продукта напрашивается сам собой.

Возвращаясь к вопросу о вирусах, нужно отметить, что вирусы для iOS все же есть, но угроза для конкретного пользователя от их наличия очень мала. Уже давно стало ясно, что пользователи iPhone и iPad являются лакомым кусочком для вирусописателей, так как это очень платёжеспособная аудитория. Но за все годы существования iOS было всего пару десятков случаев нахождения вирусов, и все эти истории широко освещались в прессе. За столько лет такое малое количество вирусов объясняется тем, что iOS является закрытой операционной системой и имеет важный принцип: одно приложение  не может как-то влиять на действия другого. А также сама компания Apple ведет очень жесткую политику относительно содержимого магазина App Store. Что касается самих iOS-вирусов: многие вирусы не работают на свежей версии iOS, многие лазейки осуществимы только, если на устройстве сделан джейлбрейк, некоторые угрозы - это специальные утилиты, которые написаны против конкретных людей.

Однако такое положение вещей не устраивает антивирусные компании, которые порой идут на радикальные шаги. В сети несложно найти заказные статьи на уважаемых сайтах, цель которых внушить пользователю, что вирусы вот-вот появятся, просто вирусописатели не заинтересованы в малой аудитории пользователей Apple. Многие информационные бумы, связанные с вирусами на iOS имеют много странностей. Один из ярких примеров – вирус YiSpecter, который заражал пользователей из Китая и Тайваня и умел скачивать приложения на iPhone, добавлять в сторонние приложения рекламу, менять поиск по умолчанию и т.п. Эта история в свое время навела много шума. Однако, сейчас, если попытаться найти информацию о вирусе, то можно обратить внимание на некоторые детали: все статьи про вирус датируются одной датой и являются перепечатками друг друга, найти какое-то доказательство существования этого вируса сложно, т.к. никто не выложил ни одного видео, метод взлома везде описан общими словами. Не смотря на это, Apple подтвердила наличие этого вируса, и в iOS 8.4 уязвимость уже была закрыта.

Подводя итог, можно с уверенностью сказать, что соблюдая элементарные правила безопасности, риск подхватить вирус для iOS стремится к нулю. Вот несколько простых советов:

• Обновляйте iOS
• Не делайте джейлбрейк^[13]. Если джейлбрейк все же есть, не устанавливайте приложения из непроверенных источников. Внимательно относитесь к китайским магазинам, они представляют особую опасность.
• С опаской относитесь к установке профилей со сторонних сайтов. Особенно, если не понимаете, что именно вы делаете.
• Не переходите по непонятным вам ссылкам. Даже если переход по ссылке был сделан и вы увидели надпись вроде: «Ваш iPad атакован!», то просто закройте страницу.
• Защитите свой Apple ID^[14] с помощью двухэтапной авторизации. Так как Apple ID и пароль - это первое, что можно украсть с вашего iPad, iPhone.
• Установите пароль на устройство

В заключение хочется отметить, что Andriod- платформа, не смотря на минусы с точки зрения ее защищенности от вирусов, обладает рядом больших плюсов отностительно ее использования, что является преимуществом перед iOS и делает ее такой популярной среди потребителей. А с точки зрения защиты от вирусов, для потребителя важным остается то, что покупая то или иное устройство, необходимо придерживаться элементарных рекомендаций по безопасности, которые дают специалисты для конкретной операционной системы.

2.3 Борьба за безопасность на уровне корпораций.

Безопасность данных — одна из главных задач, решаемых ИТ-отделами компаний. Найти универсальное решение в данном вопросе практически невозможно: неоднородность сфер деятельности и структур организаций переводит задачу в категорию требующих индивидуального подхода.

Обеспечение информационной безопасности актуально прежде всего для корпораций со сложной, территориально-распределенной, многоуровневой структурой: крупных банков, транснациональных и государственных компаний. Зачастую корпоративные сети подобных организаций построены с использованием оборудования различных поколений и от разных производителей, что заметно усложняет процесс управления ИТ-системой.

Кроме того, информационные структуры корпораций отличаются разнородностью, они состоят из различных баз, наборов распределенных систем и задач локального характера. Это делает ресурсы корпоративного уровня особенно уязвимыми. В процессе обмена данными между пользователями организации и внешним миром сети могут быть поражены вредоносными программами, которые разрушают базы данных и осуществляют передачу сведений третьим лицам.

Однако сказать, что задача обеспечения информационной безопасности неактуальна для среднего и малого бизнеса, тоже было бы неверно. Особенно сегодня, когда бизнес-процессы активно переходят в виртуальное пространство: оплата товаров и услуг через Интернет, электронная почта, IP-телефония, облачные хранилища, виртуальные сервера — все это стало типично для современных фирм средней руки, как и атаки хакеров, утечка конфиденциальных данных, в том числе финансовых и т.д.

По мнению специалистов, наиболее серьезную опасность для ИТ-инфраструктуры сегодня представляют вирусы и все, что с ними связано - троянское ПО, черви, шпионское и рекламное программное обеспечение, спам и фишинг-атаки, подмена главной страницы интернет-ресурса и социальный инжиниринг. Причем источником угроз могут быть как внешние пользователи, так и сотрудники (часто ненамеренно).

Реализация вредоносных алгоритмов может привести как к парализации системы и ее сбоям, так и к утере, подмене или утечке информации. Все это чревато огромными имиджевыми, временными и финансовыми потерями для компании.

Таким образом, для обеспечения информационной безопасности корпоративной системы компании решают в первую очередь такие задачи как:

• обеспечение доступности данных для авторизированных пользователей - возможности оперативного получения информационных услуг;
• гарантия целостности информации — ее актуальности и защищенности от несанкционированного изменения или уничтожения;
• обеспечение конфиденциальности сведений.

Регуляторами выдвигаются следующие требования к защите данных в компьютерных сетях:

• использование лицензионных технических средств и ПО;
• проведение проверки объектов информации на соответствие нормативным требованиям по защищенности;
• составление списка допустимых к применению программных средств и запрет на использование средств, не входящих в этот перечень;
• использование и своевременное обновление антивирусных программ, проведение регулярных проверок компьютеров на предмет заражения вредоносными ПО;
• разработка способов профилактики по недопущению попадания вирусов в сеть;
• разработка методов хранения и восстановления зараженного ПО.

В банковских структурах также необходимо обеспечивать разграничение доступа к данным для предотвращения преступных действий со стороны сотрудников и внедрять методы шифрования данных с целью обеспечения безопасности проведения электронных денежных операций.

Надежную защиту информации может обеспечить только комплексный подход, подразумевающий одновременное использование аппаратных, программных и криптографических средств, т.к. ни одно из этих средств в отдельности не является достаточно надежным. Подобный подход предусматривает анализ и оптимизацию всей системы, а не отдельных ее частей, что позволяет обеспечить баланс характеристик, тогда как улучшение одних параметров нередко приводит к ухудшению других.

Стандартом построения системы безопасности является ISO 17799, который предусматривает внедрение комплексного подхода к решению поставленных задач. Соблюдение данного стандарта позволяет решить задачи по обеспечению конфиденциальности, целостности, достоверности и доступности данных.

Организационные меры, принимаемые при комплексном подходе, являются самостоятельным инструментом и объединяют все используемые методы в единый целостный защитный механизм. Такой подход обеспечивает безопасность данных на всех этапах их обработки. При этом правильно организованная система не создает пользователям серьезных неудобств в процессе работы.

Комплексный подход включает детальный анализ внедряемой системы, оценку угроз безопасности, изучение средств, используемых при построении системы, и их возможностей, анализ соотношения внутренних и внешних угроз и оценку возможности внесения изменений в систему.

Таким образом, для обеспечения защиты информации от вредоносных программ компаниям и организациям необходимо предпринимать следующие меры:

• формирование политики безопасности и составление соответствующей документации;
• внедрение защитных технических средств.

И хотя 60–80% усилий по обеспечению безопасности в крупных компаниях направлено на реализацию первого пункта, второй является не менее, а возможно и более, важным.

К основным программно-аппаратным средствам защиты относятся:

• Межсетевые экраны.

Они обеспечивают разделение сетей и предотвращают нарушение пользователями установленных правил безопасности. Современные межсетевые экраны отличаются удобным управлением и большим функционалом (возможностью организации VPN, интеграции с антивирусами и др.). В настоящее время наблюдаются тенденции к реализации межсетевых экранов аппаратными, а не программными средствами (это позволяет снизить затраты на дополнительное оборудование и ПО и повысить степень защищенности), а также к внедрению персональных межсетевых экранов;

• Антивирусная защита информации.

Усилия крупнейших производителей направлены на обеспечение эшелонированной защиты корпоративных сетей. Разрабатываемые системы защищают рабочие станции, а также закрывают почтовые шлюзы, прокси-серверы и другие пути проникновения вирусов. Эффективным решением является параллельное использование двух и более антивирусов, в которых реализованы различные методы обнаружения вредоносного ПО.

• Системы обнаружения атак.

Подобные системы тесно интегрированы со средствами блокировки вредоносных воздействий и с системами анализа защищенности. Система корреляции событий акцентирует внимание администратора только на тех событиях, которые могут нанести реальный ущерб инфраструктуре компании;

• Контроль доступа и средства защиты информации внутри сети.

С целью обеспечения безопасности данных крупными компаниями проводится автоматизация управления информационной безопасностью или создание общей консоли управления, а также разграничение доступа между сотрудниками согласно их функционалу. В области средств создания VPN^[15] отмечается стремление к повышению производительности процессов шифрования и обеспечения мобильности клиентов (то есть доступа к сведениям с любого устройства). Разработчики систем контроля содержимого стремятся добиться того, чтобы созданные ими системы не создавали дискомфорта пользователям.

Комплексные средства защиты информации меняются со временем и определяются прежде всего текущими экономическими условиями и существующими угрозами. Так, увеличение количества вредоносных атак и экономический кризис заставляют российские компании и госструктуры выбирать только реально работающие решения. Этим объясняется смена ориентиров.

Если раньше корпорации были нацелены в первую очередь на выполнение требований регуляторов, то теперь им не менее важно обеспечить реальную безопасность бизнеса путем внедрения соответствующих программных и аппаратных средств. Все больше компаний стремится интегрировать защитные средства с другими системами ИТ-структур, в частности, SIEM^[16]. Функция администрирования средств защиты передается от подразделений безопасности в ИТ-отделы.

В последнее время руководителями компаний и ИТ-директорами уделяется особое внимание технологичности применения, совместимости и управляемости средств защиты. Отмечается переход от простого поиска уязвимостей (чисто технического подхода) к риск-ориентированному менеджменту (к комплексному подходу). Все больше создается универсальных многозадачных продуктов. Однако любое универсальное ПО состоит из нескольких модулей-приложений, направленных на «закрытие» специфических проблем информационной безопасности. Одни решают вопросы борьбы со спамом и фишингом, другие ориентированы на мониторинг ИТ-инфраструктуры и поиск сетевых уязвимостей, третьи контролируют отправку факс-сообщений и утечку информации через внешние накопители, архивируют и шифруют документооборот и т.д. Обычно производители программных продуктов предоставляют возможность выбора и компиляции нескольких взаимосвязанных ИТ-решений в группы, исходя из текущих задач компании, что позволяет разумно распорядиться бюджетом.

Без­ус­лов­но, за­тра­ты на ком­плек­с­ную за­щи­ту кор­по­ра­тив­ной ин­фор­ма­ции - су­щест­вен­ная статья рас­хо­дов. Но здесь важ­но ис­хо­дить из здра­во­го смыс­ла и со­хра­нять па­ри­тет меж­ду из­держ­ка­ми на без­опас­ность дан­ных и сто­и­мостью са­мой ин­фор­ма­ции. Риск и вре­мя на взлом сер­ве­ров зло­умыш­лен­ни­ки долж­ны оце­ни­вать как не­при­ем­ле­мые в срав­не­нии с ги­по­те­ти­чес­кой вы­го­дой.

Итак, современная информационная безопасность компании базируется на концепции комплексной защиты информации, подразумевающей одновременное использование многих взаимосвязанных программно-аппаратных решений и мер социального характера, которые поддерживают и дополняют друг друга.

2.4 Роль Государства в борьбе с вирусами.

Еще одним мощным инструментом в борьбе с вирусами является Государство, которое путем принятия соответствующих законов и правовых актов в той или иной степени играет роль своеобразного «стоп-крана» в распространении вредносных программ и их пагубного влияния.

До недавнего времени, а именно до 1 января 1997 года, даты вступления в действие нового Уголовного Кодекса Российской Федерации (УК РФ), в России отсутствовала возможность эффективно бороться с компьютерными преступлениями. Несмотря на явную общественную опасность, данные посягательства не были противозаконными, т.е. они не упоминались нашим уголовным законодательством, что в свою очередь усугубляло ситуацию с растущими вирусными атаками и созданием новых и новых вредоносных программ. Хотя, еще до принятия нового УК в России была осознана необходимость правовой борьбы с компьютерной преступностью. Был принят ряд законов, которые внесли правовую определенность в явление
компьютеризации нашего общества вообще и проблему компьютерной преступности в частности и вместе с другими правовыми актами сформировали
пласт, именуемый «законодательством в сфере информатизации», охватывающий в настоящее время несколько сотен нормативно-правовых актов. Непосредственно законодательство России в области информатизации начало формироваться с 1991 года и включало до 1997 года десять основных законов.

В данных законах определяются основные термины и понятия в области компьютерной информации, регулируются вопросы ее распространения, охраны авторских прав, имущественные и неимущественные отношения, возникающие в связи с созданием, правовой охраной и использованием программного обеспечения и новых информационных технологий. Также осуществлено законодательное раскрытие понятий информационной безопасности и международного информационного обмена. Следует также упомянуть Указы Президента РФ, которые касаются, прежде всего, вопросов формирования государственной политики в сфере информатизации, (включая организационные механизмы), создания системы правовой информации и информационно-правового сотрудничества с государствами СНГ, обеспечения информацией органов государственной власти, мер по защите информации (в частности, шифрования).

Таким образом, до 1 января 1997 года на уровне действующего законодательства России можно было считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиту информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве права граждан на доступ к информации и защита информации, т.е. то, что напрямую связано с компьютерными преступлениями. Часть указанных пробелов в общественных отношениях в области компьютерной информации была ликвидирована после введения в действие с 1 января 1997 года нового Уголовного Кодекса, принятого Государственной Думой 24 мая 1996 года. Составы компьютерных преступлений (т.е. перечень признаков, характеризующих общественно опасное деяние как конкретное преступление) приведены в 28 главе УК, которая называется «Преступления в сфере компьютерной информации» и содержит три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), «Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273) и «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» (ст. 274).

Таким образом, распространение вирусных программ, получения с помощью них несанкционированного доступа к ПК и хищение информации пользователя теперь становится уголовно-наказуемым преступлением, что, несомненно, способствует уменьшению потенциально возможных злоумышленников.

Однако основной проблемой остается тот факт, что киберпреступники не останавливаются на достигнутом и разрабатывают все новые и новые изощренные способы мошенничества в обход существующим законам, поэтому со стороны Государства необходима постоянная работа в пересмотре существующих и создании новых регулирующих законов и правовых актов.

ЗАКЛЮЧЕНИЕ

Вирусы были и остаются серьёзной проблемой в компьютерном мире, сегодня они стали опасны и для физического мира, по этой причине борьбой с ними занимаются тысячи специалистов в сотнях компаний по всему миру. В процессе изучения данной темы мы выяснили, какие бывают виды вредоносных программ, насколко они могут быть опасны для нас, какие есть возможности для борьбы с ними. Глубоко изучив данную тему стоит отметить, что борьба с вирусами ведется на всех уровнях социального общества, начиная с государства, крупных компаний-гигантов и заканчивая обычными обывателями, использующими ПК в домашних условиях. В процессе изучения освещены основные проблемы борьбы с вредоносными программами, что является важным для понимания того, в каких направлениях необходимо развиваться для дальнейшего поддержания информационной защиты.

По моему мнению, глобальной проблемой распространения вирусов является то, что в информационном киберпространстве все пользователи являются друг для друга обезличенными, нет четкой идентификации личности, как в физическом мире. Пользователь не может знать наверняка, с кем в данный момент происходит его общение и кому он передает информацию, или от какого конкретного человека ее принимает. Современное общество нуждается в глобальном изменении подхода к организации жизни и отношений в киберпространстве, что на данный момент остается большой проблемой, ведь система уже создана и существует в таком виде, в каком мы ее наблюдаем, помимо этого она огромна и охватывает все страны мира. Эта проблема сравнима с тем, как если бы сейчас вся мировая экономика разом перешла от использования привычного вида топлива к принципиально иному новому виду энергии. Но тем не менее, все больше специалистов начинает задумываться о том, что подход к использованию виртуального пространства нужно менять в корне, система требует изменений и мы уже стоим на пороге этого события, а растущее в геометрической прогрессии количество киберпреступлений является прямым тому доказательством.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Компьютерные вирусы без секретов// Ян Гордон – М: Изд. New House, 2012. С.320.
2. Компьютерные вирусы: внутри и снаружи// Крис Касперски - Спб: Изд. Питер, 2012. С.526.
3. Уголовное право. Особенная часть//Отв. ред.: И.Я. Козаченко, З.А. Незнамова, Г.П. Новоселов- М.: Изд. НОРМА-Инфра*М, 1998. С.556.
4. Энциклопедия ПК. Аппаратура. Программы. Интернет// Пасько В.П.-Киев:Издательская группа BHV, 2004. С.800.
5. Леонтьев В.П. Персональный компьютер.- М.:Изд. ОЛМА Медиа Групп, 2008. С.768.
6. Компьютерная безопасность //Александр Заика. - М.: Изд. Рипол Классик, 2013. С.160.
7. Антивирусная защита, журнал Мой Компьютер, №4.2011г.
8. Сценарий для взлома, журнал Хакер, № 217. 2017 г.
9. https://ru.wikipedia.org/
10. www.kaspersky.ru/‎

1. ПК – персональный компьютер ↑

2. Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий своё присутствие в системе, путём перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.) ↑

3. Сетевые черви (англ. Network worms) – это тип вредоносных программ, который способны распространяться по локальной сети и Интернету, создавая своих копий. В отличие от файловых вирусов сетевые черви способны использовать для распространения сетевые протоколы и сетевые устройства.
   
   ↑

4. Троянская программа (также — троян, троянец, троянский конь) — разновидность вредоносной программы, проникающая в компьютер под видом легального программного обеспечения, в отличие от вирусов и червей, которые распространяются самопроизвольно. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации, и её передачу злоумышленнику, её разрушение или злонамеренное изменение, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях. ↑

5. Полиморфный вирус — вирус, который при заражении новых файлов и системных областей диска шифрует собственный код. При этом для шифрования вирус пользуется случайными паролями (ключами), а также различными методами шифрования, что исключает возможность опознания вируса по сигнатурам вирусов. ↑

6. Вирусмейкерство – создание вирусных программ. ↑

7. AOL Inc. (англ. «America Online») — американский медийный конгломерат, поставщик онлайн-служб и электронных досок объявлений, первый крупнейший  Интернет-провайдер в США. ↑

8. Фишинг (англ. fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, цель которого получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации. ↑

9. Бот - специальная программа, выполняющая автоматически и/или по заданному расписанию какие-либо действия через интерфейсы, предназначенные для людей. ↑

10. SCADA (аббр. от англ. Supervisory Control And Data Acquisition — диспетчерское управление и сбор данных) — программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления. ↑

11. Автоматизированная система управления технологическим процессом (АСУ ТП) — группа решений технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях. Может иметь связь с более общей автоматизированной системой управления предприятием. ↑

12. Кибершпион -  программа-шпион, которая скрытным образом устанавливается на компьютер с целью сбора информации о конфигурации компьютера, пользователе, пользовательской активности без согласия последнего. Также может производить другие действия: изменение настроек, установка программ без ведома пользователя, перенаправление действий пользователя. ↑

13. Джейлбрейк (англ. Jailbreak — «побег из тюрьмы», взлом) — официально неподдерживаемая корпорацией Apple операция, которая позволяет получить доступ к файловой системе ряда моделей устройств iPhone, iPod или iPad. Это позволяет расширить возможности аппарата, например, сделать возможным поддержку тем оформления, твиков и установку приложений из сторонних источников (не App Store). Джейлбрейк открывает полный доступ к файловой системе iPhone, iPod или iPad. ↑

14. Apple ID — это учетная запись для доступа к таким службам Apple, как App Store, Apple Music, iCloud, iMessage, FaceTime и др. Кроме того, с помощью одного идентификатора Apple ID и пароля можно входить во все службы Apple. ↑

15. VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). ↑

16. SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информационной безопасностью и SEM (Security event management) — управление событиями безопасности. ↑