Definicja wirusa komputerowego jest historycznie problematyczną kwestią, ponieważ dość trudno jest podać jasną definicję wirusa, jednocześnie przedstawiając właściwości, które są nieodłączne tylko dla wirusów i nie mają zastosowania do innych. systemy oprogramowania. Wręcz przeciwnie, podając ścisłą definicję wirusa jako programu posiadającego określone właściwości, niemal natychmiast można znaleźć przykład wirusa, który takich właściwości nie posiada.
Inny problem z definicją wirusa komputerowego polega na tym, że obecnie wirus jest najczęściej rozumiany nie jako „tradycyjny” wirus, ale prawie każdy złośliwy program. Prowadzi to do zamieszania terminologicznego, które dodatkowo komplikuje fakt, że prawie wszystkie nowoczesne programy antywirusowe są w stanie wykryć określone typy złośliwego oprogramowania, dlatego powiązanie złośliwego oprogramowania z wirusem staje się coraz bardziej niezawodne.
Obecnie nie ma jednego systemu klasyfikacji i nazewnictwa wirusów, jednak w różnych klasyfikacjach można znaleźć różne źródła, oto niektóre z nich:
Takie wirusy, po przejęciu kontroli, w taki czy inny sposób pozostają w pamięci i nieustannie szukają ofiar, aż do końca środowiska, w którym działają. Wraz z przejściem do Problem z Windowsem pozostawanie w pamięci nie ma już znaczenia: prawie wszystkie wirusy działają w środowisku Windows, a także w środowisku aplikacji Microsoft Office, są wirusami rezydentnymi. W związku z tym atrybut rezydentny ma zastosowanie tylko do wirusów plikowych DOS. Istnienie nierezydenta Wirus Windowsa możliwe, ale w praktyce są to rzadkie wyjątki.
Po otrzymaniu kontroli wirus taki przeprowadza jednorazowe wyszukiwanie ofiar, po czym przekazuje kontrolę obiektowi z nim powiązanemu (zainfekowanemu obiektowi). Wirusy skryptowe można sklasyfikować jako tego rodzaju wirusy.
Wirusy, które w żaden sposób nie wpływają na działanie komputera (poza redukcją wolnego miejsca na dysku w wyniku ich rozprzestrzeniania się);
Wirusy nie zakłócają działania komputera, ale zmniejszają ilość wolnego pamięć o swobodnym dostępie i pamięci na dyskach, działania takich wirusów przejawiają się w dowolnej grafice lub efekty dźwiękowe;
Wirusy, które mogą prowadzić do różnych awarii komputera;
Wirusy, których wpływ może prowadzić do utraty programów, zniszczenia danych, wymazania informacji w systemowych obszarach dysku.
Podczas tworzenia kopii do maskowania można zastosować następujące technologie:
Szyfrowanie- wirus składa się z dwóch części funkcjonalnych: samego wirusa i kodera. Każda kopia wirusa składa się z kodera, losowego klucza i rzeczywistego wirusa zaszyfrowanego tym kluczem.
Metamorfizm- tworzenie różnych kopii wirusa poprzez zastępowanie bloków poleceń równoważnymi, przestawianie fragmentów kodu, wstawianie „śmieciowych” poleceń pomiędzy znaczące fragmenty kodu, które praktycznie nic nie robią.
Jest to wirus, który używa prostego szyfrowania z losowym kluczem i niezmiennym szyfrem. Takie wirusy są łatwo wykrywane przez sygnaturę kodera.
W większości przypadków wirus ransomware pojawia się w postaci załącznika wiadomości e-mail od osoby nieznanej użytkownikowi, prawdopodobnie w imieniu znanego banku lub dużej organizacji operacyjnej. Listy mają nagłówki typu: „Akt pojednania ...”, „Twój dług wobec banku ...”, „Sprawdzanie danych rejestrowych”, „Cyciorys”, „Blokada rachunku bieżącego” i tak dalej. Pismo zawiera załącznik z dokumentami rzekomo potwierdzającymi fakt wskazany w nagłówku lub treści pisma. Po otwarciu tego załącznika natychmiast uruchamiany jest wirus ransomware, który po cichu i natychmiast zaszyfruje wszystkie dokumenty. Użytkownik wykryje infekcję, widząc, że wszystkie pliki, które wcześniej miały znajome ikony, zostaną wyświetlone z ikonami nieznanego typu. Za odszyfrowanie zażąda pieniędzy przestępca. Ale często, nawet po zapłaceniu atakującemu, szanse na odzyskanie danych są znikome.
Złośliwe załączniki wiadomości e-mail najczęściej znajdują się w archiwach .zip, .rar, .7z. A jeśli funkcja wyświetlania rozszerzeń plików jest wyłączona w ustawieniach systemu komputerowego, wówczas użytkownik (odbiorca listu) zobaczy tylko pliki w formacie „Document.doc”, „Act.xls” i tym podobne. Innymi słowy, pliki będą wyglądać całkowicie nieszkodliwie. Ale jeśli włączysz wyświetlanie rozszerzeń plików, natychmiast stanie się jasne, że nie są to dokumenty, ale programy wykonywalne lub skrypty, nazwy plików przyjmą inną formę, na przykład „Document.doc.exe” lub „ Act.xls.js”. Gdy takie pliki są otwierane, dokument nie jest otwierany, ale uruchamiany jest wirus ransomware. To jest tylko ostateczna lista najpopularniejsze „niebezpieczne” rozszerzenia plików: .exe, .com, .js, .wbs, .hta, .bat, .cmd. Dlatego jeśli użytkownik nie wie, co zostało do niego wysłane w załączniku lub nadawca nie jest zaznajomiony, najprawdopodobniej list zawiera wirusa szyfrującego.
W praktyce zdarzają się przypadki otrzymania pocztą elektroniczną zwykłego pliku `Word` (z rozszerzeniem .doc), w którym oprócz tekstu znajduje się obrazek, hiperłącze (do nieznanej strony w Internecie) lub osadzony obiekt OLE. Po kliknięciu takiego obiektu następuje natychmiastowa infekcja.
Wirusy ransomware zyskują na popularności od 2013 roku. W czerwcu 2013 roku znana firma McAfee opublikowała dane pokazujące, że w pierwszym kwartale 2013 roku zebrała 250 000 unikalnych przykładów wirusów ransomware, czyli ponad dwukrotnie więcej niż liczba wirusów wykrytych w pierwszym kwartale 2012 roku.
W 2016 roku wirusy te weszły do nowy poziom zmieniając sposób, w jaki to działa. W kwietniu 2016 r. w sieci pojawiła się informacja o nowym typie wirusa szyfrującego, który zamiast szyfrować pojedyncze pliki, szyfruje tabelę MFT system plików, co prowadzi do tego, że system operacyjny nie może wykryć plików na dysku, a cały dysk jest w rzeczywistości zaszyfrowany.
Wirus, który używa szyfru metamorficznego do szyfrowania głównej części wirusa za pomocą losowego klucza. W takim przypadku część informacji wykorzystanych do uzyskania nowych kopii kodera również może zostać zaszyfrowana. Na przykład wirus może zaimplementować kilka algorytmów szyfrowania i podczas tworzenia nowej kopii zmienić nie tylko polecenia kodera, ale także sam algorytm.
„Siedlisko” odnosi się do obszarów systemowych komputera, systemów operacyjnych lub aplikacji, w komponentach (plikach) których wprowadzony jest kod wirusa. Ze względu na siedlisko wirusy można podzielić na:
W erze wirusów DOS powszechne były hybrydowe wirusy uruchamiające pliki. Po masowym przejściu na systemy operacyjne z rodziny Windows, zarówno same wirusy rozruchowe, jak i wspomniane hybrydy praktycznie zniknęły. Osobno warto zwrócić uwagę na fakt, że wirusy przeznaczone do pracy w środowisku danego systemu operacyjnego lub aplikacji nie działają w środowisku innego systemu operacyjnego i aplikacji. Dlatego środowisko, w którym może działać, jest wyodrębniane jako osobny atrybut wirusa. W przypadku wirusów plikowych są to DOS, Windows, Linux, MacOS, OS/2. W przypadku wirusów makr - Word, Excel, PowerPoint, Office. Czasami wirus potrzebuje jakiegoś rodzaju konkretna wersja OS lub aplikacji, wówczas atrybut jest określony wężej: Win9x, Excel97.
Wirusy plikowe podczas ich reprodukcji w taki czy inny sposób wykorzystują system plików dowolnego (lub dowolnego) systemu operacyjnego. Oni:
Wszystko, co jest podłączone do Internetu, potrzebuje ochrona antywirusowa: 82% wykrytych wirusów „ukryło się” w plikach z rozszerzenie PHP, HTML i EXE.
Liczba szkodliwych programów stale rośnie iw niedalekiej przyszłości może osiągnąć rozmiary epidemii. Rozprzestrzenianie się wirusów w cyfrowym świecie nie ma granic i nawet przy wszystkich dostępnych możliwościach już dziś nie jest możliwe zneutralizowanie działań przestępczej społeczności cybernetycznej. Walka z hakerami i twórcami wirusów, którzy niestrudzenie doskonalą swoje umiejętności, staje się coraz trudniejsza. W ten sposób osoby atakujące nauczyły się skutecznie ukrywać kanały cyfrowe rozprzestrzenianie się zagrożeń, co znacznie utrudnia śledzenie i analizowanie ich ruchu online. Zmieniają się również metody dystrybucji, o ile wcześniej cyberprzestępcy preferowali pocztę e-mail do rozprzestrzeniania wirusów, to dziś ataki w czasie rzeczywistym zajmują czołowe pozycje. Nastąpił również wzrost liczby złośliwych aplikacji internetowych, które okazały się bardziej niż odpowiednie dla atakujących. Według Govinda Rammurthy'ego, dyrektora generalnego i dyrektora zarządzającego eScan MicroWorld, dzisiejsi hakerzy nauczyli się skutecznie unikać wykrycia za pomocą tradycyjnych sygnatur antywirusowych, które z wielu powodów są skazane na niepowodzenie, jeśli chodzi o wykrywanie zagrożeń sieciowych. Na podstawie próbek przeanalizowanych przez eScan zagrożenia internetowe są najczęstszym rodzajem złośliwego oprogramowania. 82% wykrytego złośliwego oprogramowania to pliki PHP, HTML i EXE, podczas gdy pliki MP3, CSS i PNG stanowią mniej niż 1%.
To wyraźnie sugeruje, że wybór hakerów to Internet, a nie ataki z wykorzystaniem luk w oprogramowaniu. Zagrożenia mają charakter polimorficzny, co oznacza, że złośliwe oprogramowanie można skutecznie przekodować zdalnie, co utrudnia jego wykrycie. Dlatego duże prawdopodobieństwo zakażenia wiąże się między innymi z wizytami w serwisie. Według eScan MicroWorld liczba linków przekierowujących i pobrań drive-by-download na zaatakowanych stronach wzrosła o ponad 20% w ciągu ostatnich dwóch miesięcy. Sieci społecznościowe znacznie rozszerzają również możliwości dostarczania zagrożeń.
Weźmy na przykład baner krążący po Facebooku, który skłonił użytkownika do zmiany koloru strony na czerwony, niebieski, żółty itd. Kuszący baner zawierał odsyłacz kierujący użytkownika do fałszywej strony. Tam atakujący dostali się w ręce poufnych informacji, które były wykorzystywane lub sprzedawane dla nielegalnych zysków różnym organizacjom internetowym. Dlatego programy antywirusowe oparte na tradycyjnych sygnaturach są dziś nieskuteczne, ponieważ nie mogą niezawodnie chronić przed zagrożeniami sieciowymi w czasie rzeczywistym. Antywirus, który bazuje na technologiach chmurowych i odbiera informacje o zagrożeniach z „chmury”, te zadania leżą w kompetencjach.
Wirusy rozruchowe zapisują się do sektor rozruchowy dysku (sektor rozruchowy) lub do sektora zawierającego program ładujący system dysku twardego (Master Boot Record) lub zmień wskaźnik na aktywny sektor rozruchowy. Ten typ wirusa był dość powszechny w latach 90., ale praktycznie zniknął wraz z przejściem na 32-bitowe systemy operacyjne i odrzuceniem dyskietek jako głównego sposobu wymiany informacji. Teoretycznie wirusy rozruchowe mogą infekować płyty CD i dyski flash USB, ale jak dotąd nie znaleziono takich wirusów.
Wiele stołów i edytor graficzny, systemy projektowe, edytory tekstu mają własne języki makr do automatyzacji powtarzalnych czynności. Te makrojęzyki często mają złożoną strukturę i bogaty zestaw instrukcji. Makrowirusy to programy w językach makro osadzone w takich systemach przetwarzania danych. W celu reprodukcji wirusy tej klasy wykorzystują możliwości języków makr i przy ich pomocy przenoszą się z jednego zainfekowanego pliku (dokumentu lub tabeli) do innych.
Wirusy skryptowe, podobnie jak wirusy makr, stanowią podgrupę wirusów plikowych. Wirusy te są napisane w różnych językach skryptowych (VBS, JS, BAT, PHP itp.). Albo infekują inne programy skryptowe (pliki poleceń i usług MS Windows lub Linux), albo są częścią wirusów wieloskładnikowych. Ponadto wirusy te mogą infekować pliki w innych formatach (na przykład HTML), jeśli można w nich wykonywać skrypty.
Ta metoda infekcji jest najprostsza: wirus zapisuje swój własny kod zamiast kodu zainfekowanego pliku, niszcząc jego zawartość. Oczywiście w tym przypadku plik przestaje działać i nie jest przywracany. Takie wirusy wykrywają się bardzo szybko, ponieważ system operacyjny i aplikacje dość szybko przestają działać.
Tak więc, kiedy zainfekowany plik jest uruchamiany, kod wirusa jako pierwszy przejmuje kontrolę. Jednocześnie, aby program działał, wirusy albo leczą zainfekowany plik, uruchamiają go ponownie, czekają, aż przestanie działać i ponownie zapisują do początku (czasami używany jest do tego plik tymczasowy, do którego zneutralizowany plik jest zapisany) lub przywracają kod programu w pamięci komputera i ustawiają niezbędne adresy w jego ciele (czyli powielają działanie systemu operacyjnego).
Najczęstszym sposobem wstrzyknięcia wirusa do pliku jest dołączenie go na końcu pliku. W takim przypadku wirus zmienia początek pliku w taki sposób, że pierwsze wykonywane polecenia programu zawarte w pliku są poleceniami wirusa. W celu przejęcia kontroli podczas uruchamiania pliku wirus poprawia adres startowy programu (adres punktu wejścia). W tym celu wirus dokonuje niezbędnych zmian w nagłówku pliku.
Istnieje kilka metod wstrzykiwania wirusa do środka pliku. W najprostszym z nich wirus przenosi część pliku na swój koniec lub „rozprzestrzenia” plik i zapisuje jego kod na zwolnionej przestrzeni. Ta metoda jest bardzo podobna do metod wymienionych powyżej. Niektóre wirusy kompresują przenośny blok plików w taki sposób, że długość pliku nie zmienia się podczas infekcji.
Drugi to metoda „wnęki”, w której wirus jest zapisywany w najwyraźniej nieużywanych obszarach pliku. Wirus może zostać skopiowany do nieużywanych obszarów nagłówka pliku EXE, do „dziur” między sekcjami plików EXE lub do obszaru wiadomości tekstowych popularnych kompilatorów. Istnieją wirusy, które infekują tylko te pliki, które zawierają bloki wypełnione jakimś stałym bajtem, podczas gdy wirus pisze swój własny kod zamiast takiego bloku.
Ponadto skopiowanie wirusa do środka pliku może nastąpić w wyniku błędu wirusa, w którym to przypadku plik może zostać nieodwracalnie uszkodzony.
Osobno należy zwrócić uwagę na raczej niewielką grupę wirusów, które nie mają „punktu wejścia” (wirusy EPO - Entry Point Obscuring virus). Należą do nich wirusy, które nie zmieniają adresu punktu początkowego w nagłówku plików EXE. Takie wirusy piszą polecenie przełączenia się na swój kod gdzieś w środku pliku i przejmują kontrolę nie bezpośrednio po uruchomieniu zainfekowanego pliku, ale podczas wywoływania procedury zawierającej kod przekazujący kontrolę do ciała wirusa. Co więcej, tę procedurę można wykonać niezwykle rzadko (na przykład podczas wyświetlania komunikatu o określonym błędzie). W rezultacie wirus może „spać” w pliku przez wiele lat i wyskakiwać na wolność tylko w określonych, ograniczonych warunkach.
Przed napisaniem polecenia przełączenia na swój kod w środku pliku wirus musi wybrać „poprawny” adres w pliku — w przeciwnym razie zainfekowany plik może zostać uszkodzony. Istnieje kilka znanych metod, za pomocą których wirusy określają takie adresy w plikach, na przykład przeszukując plik w poszukiwaniu sekwencji standardowego kodu nagłówków procedur języka programowania (C/Pascal), dezasemblując kod pliku lub podmieniając adresy importowanych funkcji.
Wirusy towarzyszące to wirusy, które nie modyfikują zainfekowanych plików. Algorytm działania tych wirusów polega na tym, że dla zainfekowanego pliku tworzony jest plik bliźniaczy, a kiedy zainfekowany plik jest uruchamiany, to właśnie ten plik bliźniaczy, czyli wirus, przejmuje kontrolę.
Do wirusów tego typu obejmują te, które po zainfekowaniu zmieniają nazwę pliku na inną, zapamiętują ją (w celu późniejszego uruchomienia pliku hosta) i zapisują swój kod na dysku pod nazwą zainfekowanego pliku. Na przykład nazwa pliku NOTEPAD.EXE zostaje zmieniona na NOTEPAD.EXD, a wirus jest zapisywany pod nazwą NOTEPAD.EXE. Podczas uruchamiania kontrola otrzymuje kod wirusa, który następnie uruchamia oryginalny NOTATNIK.
Mogą istnieć inne typy wirusów towarzyszących, które używają innych oryginalne pomysły lub funkcje innych systemów operacyjnych. Na przykład towarzysze PATH, którzy umieszczają swoje kopie w głównym katalogu Windows, wykorzystując fakt, że ten katalog jest pierwszy na liście PATH, a pliki dla Uruchomienie Windowsa w pierwszej kolejności będzie go w nim szukać. Wiele robaków komputerowych i trojanów również korzysta z tej samouruchamiającej się metody.
Wirusy linków lub wirusy linków nie zmieniają fizycznej zawartości plików, jednak po uruchomieniu zainfekowanego pliku „zmuszają” system operacyjny do wykonania jego kodu. Osiągają ten cel, modyfikując niezbędne pola systemu plików.
Robaki plikowe w żaden sposób nie kojarzą swojej obecności z żadnym plikiem wykonywalnym. Kiedy się rozmnażają, po prostu kopiują swój kod do niektórych katalogów na dysku w nadziei, że te nowe kopie zostaną kiedyś uruchomione przez użytkownika. Czasami wirusy te nadają swoim kopiom "specjalne" nazwy, aby zachęcić użytkownika do uruchomienia ich kopii - na przykład INSTALL.EXE lub WINSTART.BAT.
Niektóre robaki plikowe mogą zapisywać swoje kopie w archiwach (ARJ, ZIP, RAR). Inni piszą polecenie uruchomienia zainfekowanego pliku w plikach BAT.
Wirusy infekujące biblioteki kompilatorów, moduły obiektowe i kody źródłowe programów są dość egzotyczne i praktycznie rzadkie. W sumie jest ich około dziesięciu. Wirusy infekujące pliki OBJ i LIB zapisują do nich swój kod w postaci modułu obiektowego lub biblioteki. Zainfekowany plik nie jest zatem wykonywalny i nie jest w stanie dalej rozprzestrzeniać wirusa w obecnym stanie. Nośnikiem „żywego” wirusa jest plik COM lub EXE uzyskany przez połączenie zainfekowanego pliku OBJ/LIB z innymi modułami obiektowymi i bibliotekami. W ten sposób wirus rozprzestrzenia się w dwóch etapach: pliki OBJ/LIB są infekowane na pierwszym etapie, a działający wirus jest uzyskiwany na drugim etapie (linkowanie).
Infekcja tekstów źródłowych programu jest logiczną kontynuacją poprzedniej metody propagacji. W tym przypadku wirus dodaje swoje własne źródło(w tym przypadku wirus musi zawierać go w swoim ciele) lub zrzut heksadecymalny (co jest technicznie łatwiejsze). Zainfekowany plik może dalej rozprzestrzeniać wirusa dopiero po skompilowaniu i podłączeniu.
W przeciwieństwie do robaków (robaków sieciowych) wirusy nie wykorzystują usług sieciowych do infiltracji innych komputerów. Kopia wirusa trafia na komputery zdalne tylko wtedy, gdy zainfekowany obiekt, z jakiegoś powodu niezależnego od funkcjonalności wirusa, zostanie aktywowany na innym komputerze, na przykład:
Latem 2012 roku specjaliści z Kaspersky Lab przygotowali listę 15 najbardziej znanych szkodliwych programów, które odcisnęły swoje piętno na historii:
Jeśli więc chcesz wiedzieć, jak powiedzieć „Zobacz zdjęcie” w innym języku, ta lista pozwoli Ci zaoszczędzić czas:
Dzień dobry Każdy z nas słyszał takie słowo jak wirus komputerowy. Niektórzy wiedzą o tym pojęciu całkiem sporo, ale dla większości czytelników to słowo pozostaje tajemnicze, niezrozumiałe, coś odległego.
Co znaczy wirus komputerowy? Najpierw zdefiniujmy wspólnego wirusa. Wirus to rodzaj kryształu, który ma własne DNA, cytoplazmę i inne elementy. Ale wirus nie ma własnego jądra, nie jest samodzielnym organizmem i nie może istnieć poza jakąkolwiek żywą istotą, czy to komórką, czy organizmem wielokomórkowym.
Wirusy mogą być uśpione, inkubowane lub aktywne. Wszystko to dotyczy wirusów komputerowych. Ich istota jest naprawdę taka sama. Integrują się również z innym organizmem, tj. program, zmieniać jego kod, aktywnie namnażać, a czasem nawet uszkadzać sprzęt komputerowy. Ponadto, podobnie jak konwencjonalne wirusy, wirusy komputerowe są dość zróżnicowane.
Można powiedzieć, że wirus komputerowy to program, który jest w stanie stworzyć wiele swoich duplikatów, zintegrować się z kodem innego oprogramowania, w pamięci systemu, i wprowadzać swoje wielokrotne duplikaty na różne sposoby.
Zadaniem wirusów komputerowych jest awaria różnych systemów oprogramowania, usunięcie wielu plików, uszkodzenie struktury informacji, zablokowanie działania różnych węzłów komputera w celu utrudnienia ich działania.
I to prawda, zaledwie trzy dni temu przyszedł do mnie mój siostrzeniec, ściągnąłem mu gry przez torrent. W trakcie pobierania na ekranie monitora zaczęły pojawiać się różne skróty różnych programów, których nie potrzebowałem.
Musiałem wtedy usunąć te programy, ale to nonsens, najważniejsze, że został do niego wprowadzony wirus, który zjadłem usunięty. A potem to zrobił tryb bezpieczeństwa Działanie komputera ”(Ten tryb włącza tylko część sterowników i innych programów, najbardziej niezbędnych, co umożliwia wyszukiwanie wirusa bez zakłócania działania programu antywirusowego).
Radzę go używać, ponieważ. wiele wirusów przede wszystkim próbuje wyłączyć program antywirusowy, co stało się z moim komputerem. Włącza się dość łatwo, kliknij przycisk twardego resetu (obok przycisku Start), podczas procesu uruchamiania zaoferowane zostaną trzy opcje włączenia, z których jedną jest tryb normalny i tryb awaryjny.
Chcę również dać ci radę, kiedy pobierasz przez, zawsze patrz na to, co pobierasz, ile plików. Zwykle plik powinien być jeden, jeśli jest to jeden program, a nie kilka. Jeśli jest ich kilka, jest to już podejrzane!
Uważaj także na tak zwane pliki zwane „cichą instalacją" wśród pobranych aplikacji. Jeśli zobaczysz podobny plik, natychmiast go odznacz. W przeciwnym razie nie jest jasne, co zainstalujesz!
I jeszcze jedna wskazówka, jeśli używasz Kaspersky, lepiej wybrać KIS, ponieważ. blokuje takie ciche pliki instalacyjne! Wcale nie warto oszczędzać dobry antywirus! Ale wracając do rodzajów wirusów.
Jeśli chodzi o etapy występowania wirusa, to się zdarza Utajone, inkubacyjne i aktywne (Najniebezpieczniejszy!).
A) okres utajony- w tym okresie wirus znajduje się w systemie operacyjnym bez aktywnych działań. Osoba może tego nie zauważyć. Jest w stanie zauważyć go tylko w tym stanie, a następnie, gdy zacznie skanować cały komputer.
W) Okres wylęgania- w przeciwieństwie do poprzedniego, dość niebezpieczny okres. W tym okresie kod oprogramowania wirusowego aktywuje się i powiela na wiele sposobów, rozsyłając swoje duplikaty nie tylko do różnych części konkretnego komputera, ale także do sieci światowej.
Wirus komputerowy- jest wyjątkowy program komputerowy, który różni się zdolnością do reprodukcji. Ponadto wirus może uszkodzić lub zniszczyć dane użytkownika, w imieniu którego uruchamiany jest zainfekowany program.
Niektórzy niedoświadczeni użytkownicy biorą pod uwagę wirusy i oprogramowanie szpiegujące, trojany, a nawet spam.
Stopniowo wirusy zaczęły się rozprzestrzeniać i wprowadzały do siebie wykonywalny kod programów lub zastępowały inne programy. Przez pewien czas uważano, że wirus, podobnie jak program, może infekować tylko programy, a wszelkie zmiany w nie-programach są jedynie uszkodzeniem danych.
Ale w przyszłości hakerzy udowodnili, że nie tylko kod wykonywalny może być wirusem. Istniały wirusy napisane w języku plików wsadowych, makrowirusy wprowadzane do programów biurowych poprzez makra.
Wtedy zaczęły pojawiać się wirusy wykorzystujące luki w zabezpieczeniach popularnych programów, za pomocą których były dystrybuowane specjalny kod, który został osadzony w sekwencji danych.
Istnieje wiele wersji dotyczących narodzin pierwszego wirusa komputerowego. Ale na podstawie faktów możemy powiedzieć, że na pierwszym komputerze Charlesa Babbage'a nie było wirusów, ale w połowie lat 70. IBM 360/370 już były.
W latach czterdziestych XX wieku znane stały się prace Johna von Neumanna poświęcone samoreprodukującym się automatom matematycznym. Można to uznać za punkt wyjścia w historii wirusów komputerowych. W kolejnych latach różni naukowcy prowadzili szereg badań mających na celu zbadanie i rozwinięcie idei von Neumanna. Oczywiście nie starali się opracować wirusa komputerowego, ale studiować i ulepszać możliwości komputerów.
W 1962 roku grupa inżynierów z amerykańskiej firmy Bell Telephone Laboratories stworzyła grę Darwin. Istota rozgrywki została sprowadzona do konfrontacji dwóch programów, które pełniły funkcje reprodukcji, eksploracji kosmosu i zniszczenia. Zwycięzcą został ten, którego program usunął wszystkie kopie programu przeciwnika i opanował pole bitwy.
Ale po kilku latach stało się jasne, że teoria samoreprodukujących się struktur może służyć nie tylko rozrywce inżynierów.
Krótka historia wirusów komputerowych
Dzisiaj wirusy komputerowe dzielą się na trzy rodzaje:
tradycyjny wirus c - kiedy dostanie się do komputera, powiela się i zaczyna powodować problemy, takie jak niszczenie plików. Wirus I Love You wyrządził największe szkody w 2000 roku - 8 miliardów dolarów.
« Robaki"- dostają się do komputerów przez sieć i powodują, że program pocztowy E-mail wysyłać listy z wirusem na wszystkie adresy zapisane w pamięci. Robak Blaster w 2003 roku zdołał zainfekować ponad milion komputerów.
« Koń trojański„- program nie szkodzi komputerowi, ale po wejściu do systemu zapewnia hakerom dostęp do wszystkich informacji na komputerze, a także kontrolę nad komputerem. W 2002 roku, używając trojana QAZ, hakerzy zdołali uzyskać dostęp do kodu Microsoftu.
1949 Naukowiec John von Naumann opracował matematyczną teorię tworzenia samoreplikujących się programów, która była pierwszą teorią tworzenia wirusów komputerowych.
1950 Grupa amerykańskich inżynierów tworzy grę: programy muszą zabierać sobie miejsce na komputerze. Programy te były prekursorami wirusów.
1969 Powstała pierwsza sieć komputerowa ARPANET, do której podłączono komputery z wiodących ośrodków badawczych i laboratoriów w Stanach Zjednoczonych.
koniec lat 60. Pojawiają się pierwsze wirusy. Ofiarą pierwszego wirusa stworzonego do ekstrakcji był komputer Univax 1108.
1974 Powstał komercyjny analog ARPANET - sieć Telenet.
1975 Creeper, pierwszy wirus sieciowy w historii, rozprzestrzenił się w nowej sieci. Aby go zneutralizować, napisano pierwszy program antywirusowy, The Reeper.
1979 Inżynierowie firmy Xerox stworzyli pierwszego robaka komputerowego.
1981 komputery Apple'a są dotknięte wirusem Elk Cloner, który rozprzestrzenia się poprzez „pirackie” gry komputerowe.
1983 Termin „wirus komputerowy” został użyty po raz pierwszy.
1986 Powstaje The Brain - pierwszy wirus na IBM PC.
1988 Stworzył „robaka”, który masowo infekował ARPANET.
1991 Napisany został program VCS v 1.0, który był przeznaczony wyłącznie do tworzenia wirusów.
1999 Epidemia pierwszego świata. wirus Melisa zainfekowanych zostało dziesiątki tysięcy komputerów. Spowodowało to skokowy popyt na antywirusy.
maj 2000 Wirus Kocham Cię!, w ciągu kilku godzin trafiło do milionów komputerów.
2002 Programista David Smith został skazany na więzienie.
2003 Nowy rekord prędkości został ustanowiony przez robaka Slammer, który zainfekował 75 000 komputerów w ciągu 10 minut.
Wirus Anny Kurnikowej ma swoją nazwę nie bez powodu – odbiorcy myśleli, że przesyłają zdjęcia seksownej tenisistki. Straty finansowe spowodowane wirusem nie były największe, ale wirus stał się bardzo popularny w kulturze popularnej, w szczególności wspomina się o nim w jednym z odcinków serialu Przyjaciele z 2002 roku.
W kwietniu 2004 firma Microsoft wydała poprawkę dla usługi systemowej LSASS (Authentication Server system lokalny bezpieczeństwo). Nieco później niemiecki nastolatek wypuścił robaka Sasser, który wykorzystywał tę lukę na nieaktualizowanych komputerach. Liczne odmiany Sassera pojawiły się w sieciach linii lotniczych, firm transportowych i placówek medycznych, powodując szkody w wysokości 18 miliardów dolarów.
Nazwany na cześć striptizerki z Florydy, wirus Melissa miał rozprzestrzeniać się poprzez wysyłanie złośliwego kodu do 50 najlepszych kontaktów w książce adresowej. Microsoft Outlook ofiary. Atak był tak skuteczny, że wirus zainfekował 20 procent komputerów na całym świecie i spowodował szkody w wysokości 80 milionów dolarów.
Twórca wirusa, David L. Smith, został aresztowany przez FBI, spędził 20 miesięcy w więzieniu i zapłacił grzywnę w wysokości 5000 dolarów.
Podczas gdy większość złośliwego oprogramowania z naszej listy powodowała problemy, Zeus (znany również jako Zbot) był pierwotnie narzędziem używanym przez zorganizowaną grupę przestępczą.
Trojan wykorzystywał techniki phishingu i keyloggera w celu kradzieży kont bankowych ofiar. Złośliwe oprogramowanie z powodzeniem ukradło 70 milionów dolarów z kont ofiar.
Storm Trojan stał się jednym z najszybciej rozwijających się zagrożeń, po trzech dniach od jego wypuszczenia w styczniu 2007 roku osiągnął 8% współczynnik infekcji na komputerach na całym świecie.
Trojan stworzył ogromny botnet obejmujący od 1 do 10 milionów komputerów, a ze względu na architekturę zmiany kodu co 10 minut trojan Storm okazał się bardzo trwałym złośliwym oprogramowaniem.
Robak ILOVEYOU (Letter of Happiness) udający plik tekstowy od fana.
W rzeczywistości list miłosny stanowił poważne zagrożenie: w maju 2000 roku zagrożenie rozprzestrzeniło się na 10 procent komputerów podłączonych do sieci, zmuszając CIA do wyłączenia swoich serwerów, aby zapobiec dalszemu rozprzestrzenianiu się. Szkody szacuje się na 15 miliardów dolarów.
Podobnie jak wiele wczesnych złośliwych skryptów, Sircam używał metod Inżynieria społeczna aby zmusić użytkowników do otwarcia załącznika wiadomości e-mail.
Robak użyty losowo Pliki Microsoftu Office na komputerze ofiary, infekował je i wysyłał szkodliwy kod do kontaktów w książce adresowej. Według badań przeprowadzonych przez University of Florida, Sircam spowodował szkody w wysokości 3 miliardów dolarów.
Wypuszczony w następstwie ataków z 11 września 2001 r. robak Nimda był powszechnie przypisywany Al-Kaidzie, ale nigdy nie zostało to udowodnione, a nawet prokurator generalny John Ashcroft zaprzeczył jakiemukolwiek powiązaniu z organizacją terrorystyczną.
Zagrożenie rozprzestrzeniło się kilkoma wektorami i doprowadziło do upadku sieci bankowych, sieci sądów federalnych i innych sieci komputerowych. Koszty sprzątania Nimdy przekroczyły 500 milionów dolarów w ciągu pierwszych kilku dni.
Robak SQL Slammer zajmował tylko 376 bajtów duża liczba zniszczenie w zwartej skorupie. Robak odciął Internet, call center służby ratunkowe, 12 000 bankomatów Bank of America i większość z nich odłączona od Internetu Korea Południowa. Robak był również w stanie zablokować dostęp do globalnej sieci w elektrowni atomowej w Ohio.
Wirus Michaelangelo rozprzestrzenił się na stosunkowo niewielką liczbę komputerów i spowodował niewielkie rzeczywiste szkody. Jednak koncepcja wirusa, który miał „wysadzić komputer” 6 marca 1992 r., wywołała wśród użytkowników masową histerię, która powtarzała się co roku w tym dniu.
Robak Code Red, nazwany na cześć wariantu napoju Mountain Dew, zaraz po wydaniu zainfekował jedną trzecią pakietu serwerów sieciowych Microsoft IIS.
Był w stanie złamać witrynę whitehouse.gov, zastępując ją strona główna komunikat „Zhakowany przez Chińczyków!”. Szkody wynikające z działań Code Red na całym świecie szacuje się na miliardy dolarów.
Na komputerach zainfekowanych Cryptolockerem ważne pliki były szyfrowane i wymagany był okup. Użytkownicy, którzy zapłacili hakerom ponad 300 milionów dolarów w bitcoinach, uzyskali dostęp do klucza szyfrującego, reszta na zawsze utraciła dostęp do plików.
Trojan Sobig.F zainfekował w 2003 roku ponad 2 miliony komputerów, paraliżując Air Canada i powodując spowolnienie sieć komputerowa Na całym świecie. Szkodliwe oprogramowanie spowodowało koszty czyszczenia w wysokości 37,1 miliarda dolarów, co jest jedną z najdroższych kampanii odzyskiwania wszechczasów.
Skulls.A (2004) to trojan mobilny, który infekował telefon Nokia 7610 i inne urządzenia z systemem SymbOS. Złośliwe oprogramowanie został zaprojektowany w celu zmiany wszystkich ikon na zainfekowanych smartfonach na ikonę Jolly Roger i wyłączenia wszystkich funkcji smartfona z wyjątkiem wykonywania i odbierania połączeń.
Według F-Secure Skulls.A wyrządził niewielkie szkody, ale trojan był podstępny.
Stuxnet to jeden z najbardziej znanych wirusów cybernetycznych. Stworzony jako wspólny wysiłek Izraela i Stanów Zjednoczonych, Stuxnet atakował irańskie systemy wzbogacania uranu.
Zainfekowane komputery kontrolowały wirówki do czasu ich fizycznego zniszczenia i informowały operatora, że wszystkie operacje przebiegają normalnie.
W kwietniu 2004 MyDoom został okrzyknięty przez TechRepublic „najgorszą infekcją wszechczasów” nie bez powodu. Robak zwiększył czas ładowania strony o 50 procent, zablokował zainfekowanym komputerom dostęp do stron z oprogramowaniem antywirusowym i rozpoczął ataki na giganta komputerowego Microsoft, powodując odmowę świadczenia usług.
Kampania oczyszczania MyDoom kosztowała 40 miliardów dolarów.
Robak Netsky, stworzony przez tego samego nastolatka, który opracował Sassera, wędrował po świecie za pośrednictwem załączników do wiadomości e-mail. Wersja P Netsky'ego była najbardziej rozpowszechnionym robakiem na świecie dwa lata po jej uruchomieniu w lutym 2004 roku.
Robak Conficker (znany również jako Downup, Downadup, Kido) został po raz pierwszy odkryty w 2008 roku i miał na celu wyłączenie programy antywirusowe na zainfekowanych komputerach i blokowaniu Automatyczne aktualizacje, co mogłoby usunąć zagrożenie.
Conficker szybko rozprzestrzenił się w wielu sieciach, w tym brytyjskich, francuskich i niemieckich agencjach obrony, powodując szkody w wysokości 9 miliardów dolarów.
Wirusy komputerowe – specjalne programy, które są tworzone przez atakujących w celu uzyskania jakiejś korzyści. Zasada ich działania może być różna: albo kradną informacje, albo nakłaniają użytkownika do wykonania pewnych działań na korzyść atakujących, na przykład uzupełnienia konta lub wysłania pieniędzy.
Obecnie istnieje wiele różnych wirusów. O głównych będziemy rozmawiać W tym artykule.
