Сетевой червь. Компьютерный червь Компьютерный червь программный продукт

Ровно 28 лет назад, 22 января 1990 года закончилось слушание по делу Роберта Таппана Морриса - программиста, известного как создатель «Червя». Для тех, кто не в курсе, «Червь» - это вредоносная компьютерная программа, способная самостоятельно распространяться через локальные и глобальные сети.

Другими словами, это вирус, который на несколько суток заблокировал тысячи компьютеров мира. В конце восьмидесятых программисты еще не сталкивались с хакерами, и выведенные из строя военные, школьные и рабочие компьютеры повергли их в шок. Но ситуацию быстро удалось поправить, когда специалисты из университета Беркли смогли декомпилировать код вредоносной программы.

Что касается Морриса, то суд назначил ему 400 часов общественных работ, $10000 штрафа, испытательный срок в три года и оплату расходов, связанных с наблюдением за осужденным. Тогда программисты еще не предполагали, что через 10 лет появятся умельцы, которые придумают вирусы пострашнее «Червей».

«Ридус» предлагает вспомнить, какие необычные и опасные вирусы пытались напасть на наши компьютеры за последние 20 лет.

Самым первым разработанным вирусом считается программа Elk Cloner для компьютеров Apple II, которую создал 15-летний школьник. После того как компьютер загружался с заражённой дискеты, автоматически запускалась копия вируса. Вирус не влиял на работу компьютера, за исключением наблюдения за доступом к дискам. Когда происходил доступ к незаражённой дискете, вирус копировал себя туда, заражая её, медленно распространяясь с диска на диск.

Интересно то, что когда вирус попадал в устройство, на экране появлялся стишок:

THE PROGRAM WITH A PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES, IT’S CLONER

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM, TOO SEND IN THE CLONER!

Особого вреда вирус не доставлял, поэтому сегодня мало кто помнит о Elk Cloner. А вот о первой вирусной эпидемии забыть сложно: туда попал и «Червь Морриса», и DATACRIME, и AIDS. Вирусы DATACRIME стали широко распространяться в 1989 году в Нидерландах, США и Японии.

Вирусная программа полностью разрушала файловую систему и за все время существования поразила около 100 тысяч компьютеров. На такую угрозу отреагировала даже компания IBM , выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе.

Из червей в кони

В том же году появился первый «троянский конь» AIDS. Вирус делал недоступной всю информацию на жёстком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой-то адрес». Вскоре автора вируса поймали при попытке обналичить чек и осудили за вымогательство.

С начала 90-х годов начинается «эра компьютерных вирусов», когда вредоносные программы принимают глобальные размахи. Компьютерные пользователи конца девяностых наверняка помнят вирус CIH, более известный как «Чернобыль».

Тайваньский студент Чэнь Инхао изначально заразил вирусом компьютеры в своем университете, откуда вирусы распространились практически по всему миру, в том числе и в Россию. «Чернобыль» работал только на компьютерах под управлением Windows 95/98/ME, и сразу после активации начинал уничтожать всю информацию с жестких дисков, а также повреждать данные микросхем BIOS.

Всего от Чернобыля пострадало около 500 000 персональных компьютеров по всему миру, убытки оцениваются в $ 1 млрд, но создатель вируса так и не был осужден, и по последним данным сейчас он работает в компании по производству компьютерной техники Gigabyte.

Кстати, вирус запускался на компьютерах 26 апреля, в день памяти погибших на Чернобыльской АЭС, за что CIH позже и получил свое название.

Письма «счастья»

Чаще всего вирусы попадают на наши устройства через электронную почту: открывая письмо, мы автоматически пускам зараженную программу или загружаем ее сами. К таким файловым вирусам, передающимся по электронной почте, относится Storm Worm - троянский конь, заражающий операционные системы Microsoft Windows.

В отличие от «червей», распространяющихся самостоятельно, троянский конь - это дело рук человека: злоумышленник либо сам загружает вирус на ваше устройство, или предлагает вам самостоятельно заразить компьютерную систему, например, скачать подозрительный файл.

Для достижения последнего троянские программы часто помещают на сайты с файлообменом. Загрузив такую программу, многие могут долго не подозревать, что их компьютер заражен, так как «трояны» зачастую имитируют имя и иконку какой-нибудь программы. Причем последнее время злоумышленники стали вставлять вирус в реальные программы, а не в файлы-пустышки.

Вреда от троянских программ достаточно: все может начинаться с небольших неполадок в работе компьютера, а закончиться полным уничтожением всех данных или слежкой за пользователем, например, какие сайты он посещает.

Так, в 2007 году Storm Worm атаковал пользователей Windows, заразив почти десять миллионов компьютеров. Распространялся троянский конь в основном по электронной почте письмом с заголовком «230 человек погибли в результате разгромивших Европу штормов» (230 dead as stоrm batters Eurоpe). Во входящем письме был прикреплен файл с вирусом.

За последние 20 лет было придумано не мало почтовых вирусов, и те, кто хоть раз попадался на удочку, были уверены, что «больше никаких подозрительных писем». Но хакеры-то знают наши слабости!

Еще один интересный почтовый вирус называется «I LOVE YOU», поразивший почти 3 миллиона компьютеров по всему миру. Схема распространения все та же: получил-открыл-загрузил. Пользователям приходило на почту письмо под названием «I LOVE YOU», внутри которого был файл «LOVE-LETTER-FOR-YOU.TXT.VBS». Как несложно догадаться, самые любопытные заработали вредоносную программу, которая поражала не только их компьютер, но и отправляла новые любовные письма контактам из адресной книги.

Ущерб, нанесённый вирусом, составляет $ 10−15 миллиардов, из-за чего он был занесён в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире.

Бывает и так, что для получения вируса достаточно ничего не делать - хакеры все сделают за тебя. Например, в начале 2000-х по миру прошелся компьютерный червь SQL Slammer, который сам генерировал случайные IP адреса и отправлял себя по ним. 25 января 2003 года он поразил сервера Microsoft и ещё 500 000 серверов по всему миру, что привело к значительному снижению пропускной способности интернет-каналов, а Южную Корею, вообще, отключил от интернета на 12 часов.

Как позже выяснилось, замедление было вызвано крахом многочисленных маршрутизаторов, из-за очень высокого исходящего трафика с заражённых серверов. Вредоносная программа распространялась с неимоверной скоростью: за 10 минут она инфицировала около 75 000 компьютеров.

Хакеры отакуют

Компьютерный червь Stuxnet - относительно недавний вирус, появившийся в 2010 году. Его особенность была в том, что он мог шпионить не только за домашними ПК, но и собирать данные с компьютеров крупных предприятий, электростанций, аэропортов и т. д.

Считается, что вирус Stuxnet был разработкой спецслужб Израиля и США, направленной на предотвращение ядерного проекта Ирана. В качестве доказательств эксперты привели слово «MYRTUS», содержащееся в коде червя.

«Myrtus» может означать как веточку мирта, так и имя Есфирь (по-еврейски Hadassah). Эта иудейка была одной из жен персидского царя Ксеркса. Согласно Ветхому Завету, будучи хитроумной и смелой, эта женщина раскрыла и предупредила заговор персов против евреев. В результате израильтяне спасли свои жизни и отомстили угнетателям. В воспоминание об этом у евреев установлен праздник Пурим.

Кроме того, в коде встречается дата 9 мая 1979 года (19790509). Напомним, что в этот день произошла казнь известного иранского промышленника Хабиба Эльганяна.

Вирус каким-то образом попал в систему управления компьютеров ядерного завода, и начал свою почти незаметную работу. Stuxnet постепенно увеличивал скорость вращения ядерных центрифуг, которые поддерживали завод, медленно разрушая их. Вирус уничтожил около 1/5 центрифуг на ядерном объекте в Натанзе.

Через год, Хиллари Клинтон скажет, что проект по разработке вируса Stuxnet оказался успешным и иранская ядерная программа таким образом будет отброшена на несколько лет назад

Тогда, в 2010 году, вирус распространился через Интернет и на другие компьютеры, многие из которых могли принадлежать промышленным организациям, например, водохранилищам или атомным электростанциям. Но вирус успели вовремя декодировать.

Не без уязвимости

С развитием вирусов, естественно, стали появляться и антивирусные программы, которые сейчас есть практически на каждом компьютере. Если не бродить совсем уж по злачным сайтам, шанс подцепить вирус крайне мал. Но он все-таки есть, например, вирус может проникнуть на ваше устройство через уязвимость.

Этим воспользовался и вирус 2017 года «WannaCry», от которого пострадало около 500 тысяч компьютеров с операционной системой Windows. Этот сетевой червь через Интернет искал компьютеры с уязвимостью EternalBlue, и в случае успеха, устанавливал бэкдор DoublePulsar, через который загружался и запускался исполняемый код программы WannaCry.

Дальше по известной схеме: вирус проникал в операционную систему, блокировал все данные и далее вымогатели требовали выкуп за расшифровку. Причем хакеры WannaCry решили не отставать от модной тенденции, и требовали выкуп в биткоинах.

Похожий вирус прошлого года - «Petya», создатели которого тоже требовали выкуп за расшифровку в биткоинах. Но в отличие от «WannaCry» вредоносная программа блокировала не только данные, но и поражала операционную систему запуска.

Раз уж мы упомянули об уязвимостях, с помощью которых вирусы могут попасть на наши устройства, нельзя не упомянуть про Meltdown и Spectre, о которых заговорили в начале января 2018 года. Сообщалось, что все процессоры Intel после 2010 года выпуска и AMR64 подвержены этой уязвимости, из-за которой у злоумышленников появляется доступ к вашим паролям, даже если весь ваш софт идеально написан и пропатчен.

Над уязвимостью еще в декабре 2017 года стал работать Линус Торвальдс со своей командой, и как сообщалось, специалистам удалось ее устранить. В конце года появились патчи для операционных систем Windows и Linux, и, казалось бы, беда миновала, но все оказалось не так просто.

Патч, который решает проблему с Intel , начал сильно тормозить работу компьютеров. Те, кто использует ПК для игр или проводит время в интернете, замедление устройства вряд ли заметит, но, если у вас на Intel файлохранилище, падение производительности может быть до 50%.

Помоги себе сам К тому же не стоит забывать, что Meltdown - это один из способов эксплуатации этой уязвимости, всего их представлено три. И двум другим, получившим общее название Spectre, процессоры AMD или Samsung очень даже подвержены.

Большая проблема этих уязвимостей еще и в том, что подобрать патч для Spectre гораздо сложнее, чем для Meltdown. И на данный момент такого патча просто нет. Трудность в том, что наложить «заплатку» только на ядро недостаточно, надо патчить сами приложения, чтобы они не давали другим программам проникать в свою память.

А теперь давайте представим, сколько времени уйдет у программистов, чтобы создать патчи для всех программ. Пока такие средства защиты еще не сделаны, эксперты предлагают обезопасить себя самим, например, включить все средства защиты в браузерах и прочих приложениях.

Конечно, лучше прислушаться к совету специалистов, но важно понимать, что 100% защиты такие действия не дадут. Единственное, что может внести хоть какой-то вклад в решение ситуации - это обновление микрокода процессоров, которое может выпустить только сама Intel, которая до сих пор полностью не признает существование уязвимости. Кстати, примеры кода, которого достаточно, чтобы вас обокрасть, уже доступны по всему интернету. Поэтому лучшая рекомендация сейчас - это отключить компьютеры от Сети на пару месяцев и никакие носители в него не вставлять. Но понятно, что это подходит почти никому, советует IT-специалист, автор шоу «16 бит тому назад» Дмитрий Бачило.

Если говорить о вирусах в целом, то сейчас все современные антивирусные программы легко справляются с простыми «Червями» или «Троянскими конями», но хакеры не дремлют, и каждый год появляются новые вирусы, к которым разработчики просто не успевают подбирать алгоритмы для антивирусных программ.

Поэтому даже в компьютерной сфере нужно следовать правилу «помоги себе сам», и стараться не подвергать свой компьютер лишней опасности.

Привет всем.

Хочу рассказать вам о том, что представляет собой вирус червь. Я называю его вирусом, чтобы всем сразу стало понятно, о чем пойдет речь. Однако между этими понятиями есть разница. Какая? Об этом вы тоже прочтете в моей статье.

Также я поведаю вам, как распространяются сетевые черви, каких видов они бывают и как с ними можно бороться.

Червь: разъяснение и возникновение

В компьютерной области данный термин подразумевает под собой тип вредоносной программы, которая самостоятельно разносится по интернету или локальным сетям. Её отличие от обычного вируса состоит в том, что она не заражает другие файлы, чтобы нанести вред, а лишь копирует саму себя. Но такое поведение тоже может вызвать немало проблем. Далее вы поймете, что я имею в виду.

История появления

Впервые работы по применению червей в распределенных вычислениях провели Йон Хупп и Джон Шоч в 1978 году на базе исследовательской лаборатории Xerox в Пало-Альто.

Первый известный пример

Нельзя не упомянуть «Червя Морриса» - одного из первых и самого известного червяка, названного в честь своего создателя Роберта Морриса-младшего. На момент написания проги (1988 г.) он учился в Корнеллском Университете. Представляете, работа аспиранта проникла приблизительно в 6200 ПК (около 10% от общего числа машин с доступом к Интернету на то время).

Чем опасен был этот червь? Частым созданием своих копий. Дело в том, что Роберт Моррис указал слишком малый промежуток времени между образованием клонов. Вследствие этой, казалось бы, незначительной ошибки, вирус исчерпывал все ресурсы компьютеров, что приводило к их отказу от обслуживания. В итоге он нанес общий ущерб на сумму 96,5 миллионов долларов.

Способы распространения

Чтобы попасть в нашу систему, червь идет на такие уловки:

Обнаружение недочетов в структуре и администрировании имеющегося у нас программного обеспечения. Кстати Червь Морриса воспользовался «пробелами» в почтовой службе Sendmail, сервисе Finger и вычислял пароль при помощи словаря. Примечательно, что распространение таких вредителей даже не нужно контролировать - они работают в автономном режиме.
Слышали про социальную инженерию? Она предполагает управление нашим поведением без помощи технических средств. То есть ее методы основаны на человеческом факторе.
Так вот, второй способ распространения червей заключается в использовании данной инженерии. Это значит, что мы сами запускаем вредоносную прогу. Конечно, мы об этом не подозреваем, ведь она маскируется под нормальный софт.
К примеру, VBS.LoveLetter воспользовался тем, что в Outlook Express расширения файлов скрыты, поэтому он ни у кого не вызовет подозрений. Такой механизм популярен в рассылках спама, соц. сетях и пр.

Скорость, с которой распространяются вредители, зависит от разных обстоятельств: топологии сети, способов поиска уязвимостей, насколько быстро они умеют создавать своих клонов и т. д. Стремительнее всего им удается распространяться с одного IP-адреса на другой.

Вообще, они часто пытаются проникнуть в компьютеры случайным образом. Более того, современные антивирусы их быстро обнаруживают, проводят работу над ошибками и делают систему неуязвимой.

Виды компьютерных червей

В зависимости от способа распространения, выделяют такие разновидности червей:

Другое отличие

Учитывая принцип действия, червей еще можно поделить на такие группы:

Резидентные, которые не способны загружаться как простые файлы, поэтому попадают только в оперативную память и инфицируют функционирующее ПО. Таким образом, их можно устранить простой перезагрузкой компа, так как это действие сбрасывает ОЗУ.
Вредители, которые загружаются в виде исполняемых файлов, более опасны. После заражения памяти они оставляют код на жестком диске, чтобы суметь активизироваться даже после перезапуска ПК. Они могут осуществлять это при помощи создания специальных ключей в реестре Windows. С таким безобразием можно бороться только антивирусами.

Как видите вирус червь это довольна таки не безобидная штука.

Вредоносной называется любая программа, созданная для исполнения какого-нибудь несанкционированного действия на устройстве пользователя. Видов такого рода программ существует множество. В качестве примера можно привести клавиатурных шпионов, программы для кражи паролей и пр.

Но чаще всего гаджеты простых пользователей заражаются все же именно червями или троянами. Именно эти виды вредоносных программ наносят вред простым пользователям компьютерной техники и смартфонов чаще всего.

Так чем же все-таки отличается компьютерный вирус от компьютерного червя?

Отличия между двумя этими разновидностями вредоносных программ, конечно же, существуют. И вирусы, и черви способны нанести компьютеру серьезный вред. Однако, по сути, последний является подклассом первого, имеющим свои особенности. В отличие от простого вируса, червь способен быстро размножаться вообще без каких-либо действий со стороны пользователя. Другие файлы он не заражает.

То есть, проще говоря, вирус представляет собой просто фрагмент программного кода, внедряющийся в файлы. Червь же - это отдельная самостоятельная программа. Прямого вреда компьютеру он не наносит. Основная его задача - это не уничтожение или повреждение данных, как у вируса, а замусоривание памяти устройства. Размножаться компьютерные черви могут с поистине огромной скоростью. Передаются они от одного устройства к другому в основном через интернет.

Что такое троян

Таким образом, мы выяснили, чем отличается простой вирус от червя. Троян в свою очередь также является особой разновидностью вирусной программы. Вред копьютеру он может нанести колоссальный. Однако в сравнении с простыми вирусами и червями такая программа имеет ряд особенностей.

В отличии от компьютерного вируса червя, основной задачей трояна обычно является не замусоривание памяти и даже не банальная порча файлов. Пишутся такие программы чаще всего с целью кражи данных с устройства. Также трояны могут:

использовать ресурсы компьютера в каких-либо неблаговидных целях;
нарушать работу собственно самого устройства.

Иногда трояны создаются и для того, чтобы перехватывать контроль над компьютером, в том числе и с правами администрирования.

Ровно 28 лет назад, 22 января 1990 года, закончилось слушание по делу Роберта Таппана Морриса - программиста, известного как создатель «Червя». Для тех, кто не в курсе, «Червь» - это вредоносная компьютерная программа, способная самостоятельно распространяться через локальные и глобальные сети.

Другими словами, это вирус, который на несколько суток заблокировал тысячи компьютеров мира. В конце 80-х программисты еще не сталкивались с хакерами, и выведенные из строя военные, школьные и рабочие компьютеры повергли их в шок. Но ситуацию быстро удалось поправить, когда специалисты из Университета Беркли смогли декомпилировать код вредоносной программы.

Что касается Морриса, то суд назначил ему 400 часов общественных работ, 10 000 долларов штрафа, испытательный срок в три года и оплату расходов, связанных с наблюдением за осужденным. Тогда программисты еще не предполагали, что через 10 лет появятся умельцы, которые придумают вирусы пострашнее «червей».

Самым первым разработанным вирусом считается программа Elk Cloner для компьютеров Apple II, которую создал 15-летний школьник. После того как компьютер загружался с зараженной дискеты, автоматически запускалась копия вируса. Вирус не влиял на работу компьютера, за исключением наблюдения за доступом к дискам. Когда происходил доступ к незараженной дискете, вирус копировал себя туда, заражая ее, медленно распространяясь с диска на диск.

Интересно, что, когда вирус попадал в устройство, на экране появлялся стишок:

ELK CLONER:

THE PROGRAM WITH A PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES, IT’S CLONER

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM, TOO

SEND IN THE CLONER!

Особого вреда вирус не доставлял, поэтому сегодня мало кто помнит о Elk Cloner. А вот о первой вирусной эпидемии забыть сложно: туда попали и «Червь Морриса», и DATACRIME, и AIDS. Вирусы DATACRIME стали широко распространяться в 1989 году в Нидерландах, США и Японии.

Вирусная программа полностью разрушала файловую систему и за все время существования поразила около 100 тысяч компьютеров. На такую угрозу отреагировала даже компания IBM, выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе.

Из червей в кони

В том же году появился первый «троянский конь» AIDS. Вирус делал недоступной всю информацию на жестком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на 189 долларов на такой-то адрес». Вскоре автора вируса поймали при попытке обналичить чек и осудили за вымогательство.

С начала 90-х годов начинается «эра компьютерных вирусов», когда вредоносные программы принимают глобальный размах. Компьютерные пользователи конца 90-х наверняка помнят вирус CIH, более известный как «Чернобыль».

Всего от «Чернобыля» пострадало около 500 000 персональных компьютеров по всему миру, убытки оцениваются в 1 миллиард долларов, но создатель вируса так и не был осужден, и, по последним данным, сейчас он работает в компании по производству компьютерной техники Gigabyte.

«Письма счастья»

Чаще всего вирусы попадают на наши устройства через электронную почту: открывая письмо, мы автоматически запускаем зараженную программу или загружаем ее сами. К таким файловым вирусам, передающимся по электронной почте, относится Storm Worm - троянский конь, заражающий операционные системы Microsoft Windows.

В отличие от «червей», распространяющихся самостоятельно, троянский конь - это дело рук человека: злоумышленник либо сам загружает вирус на ваше устройство, либо предлагает вам самостоятельно заразить компьютерную систему, например скачать подозрительный файл.

Так, в 2007 году Storm Worm атаковал пользователей Windows, заразив почти 10 миллионов компьютеров. Распространялся троянский конь в основном по электронной почте письмом с заголовком «230 человек погибли в результате разгромивших Европу штормов» («230 dead as stоrm batters Eurоpe»). Во входящем письме был прикреплен файл с вирусом.

За последние 20 лет было придумано немало почтовых вирусов, и те, кто хоть раз попадался на удочку, были уверены, что «больше никаких подозрительных писем». Но хакеры-то знают наши слабости!

Еще один интересный почтовый вирус называется ILOVEYOU, он поразил почти 3 миллиона компьютеров по всему миру. Схема распространения все та же: получил, открыл, загрузил. Пользователям приходило на почту письмо под названием «I LOVE YOU», внутри которого был файл «LOVE-LETTER-FOR-YOU.TXT.VBS». Как несложно догадаться, самые любопытные заработали вредоносную программу, которая поражала не только их компьютер, но и отправляла новые любовные письма контактам из адресной книги.

Ущерб, нанесенный вирусом, составляет 10-15 миллиардов долларов, из-за чего он был занесен в Книгу рекордов Гиннесса как самый разрушительный компьютерный вирус в мире.

Бывает и так, что для получения вируса достаточно ничего не делать: хакеры все сделают за тебя. Например, в начале 2000-х по миру прошелся компьютерный червь SQL Slammer, который сам генерировал случайные IP-адреса и отправлял себя по ним. 25 января 2003 года он поразил серверы Microsoft и еще 500 000 серверов по всему миру, что привело к значительному снижению пропускной способности интернет-каналов, а Южную Корею вообще отключил от интернета на 12 часов.

Как позже выяснилось, замедление было вызвано крахом многочисленных маршрутизаторов из-за очень высокого исходящего трафика с зараженных серверов. Вредоносная программа распространялась с неимоверной скоростью: за 10 минут она инфицировала около 75 000 компьютеров.

Хакеры атакуют

Считается, что вирус Stuxnet был разработкой спецслужб Израиля и США, направленной на предотвращение ядерного проекта Ирана. В качестве доказательств эксперты привели слово «Myrtus», содержащееся в коде червя.

«Myrtus» может означать как веточку мирта, так и имя Есфирь (по-еврейски Hadassah). Эта иудейка была одной из жен персидского царя Ксеркса. Согласно Ветхому Завету, будучи хитроумной и смелой, эта женщина раскрыла и предупредила заговор персов против евреев. В результате израильтяне спасли свои жизни и отомстили угнетателям. В память об этом у евреев установлен праздник Пурим.

Вирус каким-то образом попал в систему управления компьютеров ядерного завода и начал свою почти незаметную работу. Stuxnet постепенно увеличивал скорость вращения ядерных центрифуг, которые поддерживали завод, медленно разрушая их. Вирус уничтожил около 1/5 центрифуг на ядерном объекте в Натанзе.

Через год Хиллари Клинтон скажет, что проект по разработке вируса Stuxnet оказался успешным и иранская ядерная программа таким образом будет отброшена на несколько лет назад

Тогда, в 2010 году, вирус распространился через интернет и на другие компьютеры, многие из которых могли принадлежать промышленным организациям, например водохранилищам или атомным электростанциям. Но вирус успели вовремя декодировать.

Не без уязвимости

С развитием вирусов, естественно, стали появляться и антивирусные программы, которые сейчас есть практически на каждом компьютере. Если не бродить по совсем уж злачным сайтам, шанс подцепить вирус крайне мал. Но он все-таки есть, например вирус может проникнуть на ваше устройство через уязвимость.

Этим воспользовался и вирус 2017 года WannaCry, от которого пострадало около 500 тысяч компьютеров с операционной системой Windows. Этот сетевой червь через интернет искал компьютеры с уязвимостью EternalBlue и в случае успеха устанавливал бэкдор DoublePulsar, через который загружался и запускался исполняемый код программы WannaCry.

Дальше по известной схеме: вирус проникал в операционную систему, блокировал все данные и далее вымогатели требовали выкуп за расшифровку. Причем хакеры WannaCry решили не отставать от модной тенденции и требовали выкуп в биткоинах.

Похожий вирус прошлого года - Petya, создатели которого тоже требовали выкуп за расшифровку в биткоинах. Но, в отличие от WannaCry, вредоносная программа блокировала не только данные, но и поражала операционную систему запуска.

Раз уж мы упомянули об уязвимостях, с помощью которых вирусы могут попасть на наши устройства, нельзя не рассказать про Meltdown и Spectre, о которых заговорили в начале января 2018 года. Сообщалось, что все процессоры Intel после 2010 года выпуска и AMR64 подвержены этой уязвимости, из-за которой у злоумышленников появляется доступ к вашим паролям, даже если весь ваш софт идеально написан и пропатчен.

Над уязвимостью еще в декабре 2017 года стал работать Линус Торвальдс со своей командой, и, как сообщалось, специалистам удалось ее устранить. В конце года появились патчи для операционных систем Windows и Linux, и, казалось бы, беда миновала, но все оказалось не так просто.

Патч, который решает проблему с Intel, начал сильно тормозить работу компьютеров. Те, кто использует ПК для игр или проводит время в интернете, замедление устройства вряд ли заметит, но, если у вас на Intel файлохранилище, падение производительности может быть до 50%.

Помоги себе сам

К тому же не стоит забывать, что Meltdown - это один из способов эксплуатации этой уязвимости, всего их представлено три. И двум другим, получившим общее название Spectre, процессоры AMD или Samsung очень даже подвержены.

А теперь давайте представим, сколько времени уйдет у программистов, чтобы создать патчи для всех программ. Пока такие средства защиты еще не сделаны, эксперты предлагают обезопасить себя самим, например включить все средства защиты в браузерах и прочих приложениях.

Конечно, лучше прислушаться к совету специалистов, но важно понимать, что стопроцентной защиты такие действия не дадут. Единственное, что может внести хоть какой-то вклад в решение ситуации, - это обновление микрокода процессоров, которое может выпустить только сама Intel, которая до сих пор полностью не признаёт существование уязвимости. Кстати, примеры кода, которого достаточно, чтобы вас обокрасть, уже доступны по всему интернету. Поэтому лучшая рекомендация сейчас - это отключить компьютеры от Сети на пару месяцев и никакие носители в него не вставлять. Но понятно, что это подходит почти никому, советует IT-специалист, автор шоу «16 бит тому назад» Дмитрий Бачило.

Если говорить о вирусах в целом, то сейчас все современные антивирусные программы легко справляются с простыми «червями» или «троянскими конями», но хакеры не дремлют, и каждый год появляются новые вирусы, к которым разработчики просто не успевают подбирать алгоритмы для антивирусных программ.

Поэтому даже в компьютерной сфере нужно следовать правилу «помоги себе сам» и стараться не подвергать свой компьютер лишней опасности.

Сетевые вирусы в качестве среды обитания используют глобальную или локальные компьютерные сети. Они не сохраняют свой код на жестком диске компьютера, а проникают напрямую в оперативную память ПК. Вирусы этого типа за способность вычислять сетевые адреса других машин, находясь в памяти компьютера, и самостоятельно рассылать по этим адресам свои копии называют сетевыми червями. Такой вирус может находиться одновременно в памяти нескольких компьютеров. Сетевые вирусы обнаружить сложнее, чем файловые. Сетевые вирусы распространяются с большой скоростью и могут сильно замедлить работу аппаратного обеспечения компьютерной сети.

Червь (сетевой червь) - тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.

Так же как для вирусов, жизненный цикл червей можно разделить на определенные стадии:

Проникновение в систему.
Активация.
Поиск «жертв».
Подготовка копий.
Распространение копий.

Стадии 1 и 5, вообще говоря, симметричны и характеризуются в первую очередь используемыми протоколами и приложениями.

Стадия 4 - подготовка копий - практически ничем не отличается от аналогичной стадии в процессе размножения вирусов. Сказанное о подготовке копий вирусов без изменений применимо и к червям.

На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

Сетевые черви - черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов tcp/ip.
Почтовые черви - черви, распространяющиеся в формате сообщений электронной почты.
IRC-черви - черви, распространяющиеся по каналам IRC (Internet Relay Chat).
P2P-черви - черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей.
IM-черви - черви, использующие для распространения системы мгновенного обмена сообщениями (IM, Instant Messenger - ICQ, MSN Messenger, AIM и др.)

Примеры. Классическими сетевыми червями являются представители семейства Net-Worm.Win32.Sasser. Эти черви используют уязвимость в службе LSASS Microsoft Windows. При размножении, червь запускает FTP-службу на TCP-порту 5554, после чего выбирает IP-адрес для атаки и отсылает запрос на порт 445 по этому адресу, проверяя, запущена ли служба LSASS. Если атакуемый компьютер отвечает на запрос, червь посылает на этот же порт эксплойт уязвимости в службе LSASS, в результате успешного выполнения которого на удаленном компьютере запускается командная оболочка на TCP-порту 9996. Через эту оболочку червь удаленно выполняет загрузку копии червя по протоколу FTP с запущенного ранее сервера и удаленно же запускает себя, завершая процесс проникновения и активации.

В качестве примера почтового червя можно рассмотреть Email-Worm.Win32.Zafi.d. Зараженное сообщение включает в себя выбираемые из некоторого списка тему и текст, содержанием которых является поздравление с праздником (большая часть - с Рождеством) и предложение ознакомиться с поздравительной открыткой во вложении. Поздравления могут быть на разных языках. Имя находящегося во вложении файла червя состоит из слова postcard на языке, соответствующем поздравлению, и произвольного набора символов. Расширение файла червя случайным образом выбирается из списка.BAT, .COM, .EXE, .PIF, .ZIP. Для рассылки червь использует адреса электронной почты, найденные на зараженном компьютере. Чтобы получить управление, червь должен быть запущен пользователем.

IRC-Worm.Win32.Golember.a является, как следует из названия IRC-червем. При запуске он сохраняет себя в каталоге Windows под именем trlmsn.exe и добавляет в раздел автозапуска реестра Windows параметр со строкой запуска этого файла. Кроме этого червь сохраняет на диск свою копию в виде архива Janey2002.zip и файл-изображение Janey.jpg. Затем червь подключается к произвольным IRC-каналам под различными именами и начинает слать определенные текстовые строки, имитируя активность обычного пользователя. Параллельно всем пользователям этих каналов отсылается заархивированная копия червя.

Функциональностью распространения через P2P-каналы обладают многие сетевые и почтовые черви. Например, Email-Worm.Win32.Netsky.q для размножения через файлообменные сети ищет на локальном диске каталоги, содержащие названия наиболее популярных сетей или же слово «shared», после чего кладет в эти каталоги свои копии под различными названиями

IM-черви редко пересылают зараженные файлы непосредственно между клиентами. Вместо этого они рассылают ссылки на зараженные веб-страницы. Так червь IM-Worm.Win32.Kelvir.k посылает через MSN Messenger сообщения, содержащие текст «its you» и ссылку «http://www.malignancy.us// pictures.php?email=», по указанному в которой адресу расположен файл червя.

Сегодня наиболее многочисленную группу составляют почтовые черви. Сетевые черви также являются заметным явлением, но не столько из-за количества, сколько из-за качества: эпидемии, вызванные сетевыми червями зачастую отличаются высокой скоростью распространения и большими масштабами. IRC-, P2P- и IM-черви встречаются достаточно редко, чаще IRC, P2P и IM служат альтернативными каналами распространения для почтовых и сетевых червей.

На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни:

Для активации необходимо активное участие пользователя.
Для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия.

Под пассивным участием пользователя во второй группе понимается, например, просмотр писем в почтовом клиенте, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным.

Отличие в этих подходах глубже, чем может показаться на первый взгляд. Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера. Это приводит к очень быстрому распространению червя внутри корпоративной сети с большим числом станций, существенно увеличивает загрузку каналов связи и может полностью парализовать сеть. Именно этот метод активации использовали черви Lovesan и Sasser. В результате вызванной таким сетевым червем эпидемии, используемая брешь закрывается администраторами либо пользователями, и по мере уменьшения компьютеров с открытой брешью эпидемия завершается. Для повторения эпидемии разработчикам вирусов приходится эксплуатировать другую брешь. В итоге, эпидемии, вызванные активными червями, существеннее влияют на работу сети в целом, однако случаются значительно реже, чем эпидемии пассивных сетевых червей. Обязательной мерой защиты от таких эпидемий является своевременная установка заплат безопасности. Отметим также, что особенно уязвимыми для этого типа червей являются операционные системы с заложенными возможностями удаленного управления или запуска программ - это семейство Microsoft Windows NT/2000/XP/2003.

Пример. Уязвимость в службе LSASS, впервые использованная в черве MyDoom в начале 2004 года, продолжала успешно применяться и спустя полтора года. Так Net-Worm.Win32.Mytob.be обнаруженный в июне 2005 все еще использовал эту уязвимость как один из способов распространения, в дополнение к распространению через электронную почту

С другой стороны, активное участие пользователя в активации червя означает, что пользователь был введен в заблуждение методами социальной инженерии . В большинстве случаев основным фактором служит форма подачи инфицированного сообщения: оно может имитировать письмо от знакомого человека (включая электронный адрес, если знакомый уже заражен), служебное сообщение от почтовой системы или же что-либо подобное, столь же часто встречающееся в потоке обычной корреспонденции. Пользователь в суматохе просто не отличает обычное письмо от зараженного и производит запуск автоматически.

Защититься заплатами от такого рода червей невозможно. Даже внесение сигнатуры сетевого червя в вирусную базу данных не решает проблему до конца. Разработчикам вируса достаточно исполняемый файл так, чтобы антивирус его не обнаруживал, и незначительно поменять текст сообщения, используя в том числе и технологии спам-рассылок, применяемые для обхода фильтров.

В результате, эпидемии, вызванные пассивными сетевыми червями, могут быть гораздо продолжительнее и порождать целые семейства однотипных сетевых червей.

В последнее время наметилась тенденция к совмещению в червях обоих способов распространения. Многие представители семейства Mytob обладают функциями распространения через электронную почту и через уязвимость в службе LSASS.

Способ поиска компьютера-жертвы полностью базируется на используемых протоколах и приложениях. В частности, если речь идет о почтовом черве, производится сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя.

Точно так же интернет-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров, а P2P черви кладут свои копии в общедоступные каталоги клиентов пиринговых сетей. Некоторые черви способны эксплуатировать списки контактов интернет-пейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo! Messenger и др.

Сказанное ранее о подготовке копий для распространения вирусов, применимо и для червей.

Наиболее часто среди червей встречаются упрощенные реализации метаморфизма. Некоторые черви способны рассылать свои копии в письмах, как с внедрением скрипта приводящего к автоматической активации червя, так и без внедрения. Такое поведение червя обусловлено двумя факторами: скрипт автоматической активации повышает вероятность запуска червя на компьютере пользователя, но при этом уменьшает вероятность проскочить антивирусные фильтры на почтовых серверах.

Аналогично, черви могут менять тему и текст инфицированного сообщения, имя, расширение и даже формат вложенного файла - исполняемый модуль может быть приложен как есть или в заархивированном виде. Все это нельзя считать мета- или полиморфизмом, но определенной долей изменчивости черви, безусловно, обладают.

Пример вируса на моем компьютере: Email-Worm.Win32. Brontok.a.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.

Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог. Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:

Червь рассылает свои копии со следующими именами во вложении к зараженным письмам. Выбирается из списка Также червь изменяет содержимое файла autoexec.bat в корневом каталоге диска C:, добавляя в него строку «pause».

Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб. Наиболее яркий пример - Net-Worm.Win32.Slammer.

МБОУ "Гимназия № 75", МБОУ "Лицей №182". г. Казань. 2019

«Мне кажется, компьютерные вирусы стоит рассматривать, как форму жизни. Это многое говорит о природе человека: единственная форма жизни, которую мы создали к настоящему моменту, несёт только разрушения. Мы создаём жизнь по образу и подобию своему.» Стивен Хокинг

Исследование

Цели исследования:

выявить уровень знаний преподавателей и учащихся о биологических и компьютерных вирусах, о способах профилактики и борьбы с компьютерными и биологическими вирусами.

Факты

Одним из классов вредоносных компьютерных программ являются так называемые зип-бомбы. Это архивные файлы формата.zip, которые при распаковке многократно увеличиваются в размере. Например, одна из самых известных зип-бомб под названием 42.zip имеет размер всего 42 КБ, при этом внутри архива содержится 5 слоёв вложенных архивов по 16 файлов на уровень. Размер каждого файла на последнем уровне - 4,3 ГБ, а весь архив в распакованном виде занимает 4,5 Петабайта. Вредоносное действие таких архивов заключается в переполнении системных ресурсов, когда их пытаются просканировать антивирусы или другие системные программы, хотя в настоящее время все приличные антивирусы распознают бомбы заранее и не пытаются вскрывать их до конца.

Вирус «I Love You» (именно так он назывался) был занесен в Книгу Рекордов Гиннесса как самый разрушительный компьютерный вирус в мире. Он поразил более 3 миллионов компьютеров на планете, став ещё и самым дорогим за всю историю.

По статистике, компьютер каждого третьего пользователя Интернета в развитых странах хотя бы раз в течение года подвергается атакам компьютерных вирусов.

В Израиле действует забавный компьютерный вирус, который создан якобы для справедливости. Он находит в компьютере фильмы, музыку и фотографии, незаконно скачанные из Интернета, и уничтожает их. Что интересно, когда пользователь хочет удалить этот вирус из компьютера, его просят заплатить за эту услугу деньги.