Компьютерные вирусы вчера и сегодня. Самые известные компьютерные вирусы. Восемь вредоносных программ нового века

Вирус Anna Kournikova получил такое название неспроста - получатели думали, что они загружают фотографии сексуальной теннисистки. Финансовый ущерб от вируса был не самым значительным, но вирус стал очень популярен в массовой культуре, в частности о нем упоминается в одном из эпизодов сериала Друзья 2002 года.

2. Sasser (2004)

В апреле 2004 года Microsoft выпустила патч для системной службы LSASS (сервер проверки подлинности локальной системы безопасности). Немного позже немецкий подросток выпустил червь Sasser, который эксплуатировал эту уязвимость на не обновленных машинах. Многочисленные вариации Sasser появились в сетях авиакомпаний, транспортных компаний и медицинских учреждений, вызвав ущерб на 18 миллиардов долларов.

3. Melissa (1999)

Названный в честь стриптизерши из Флориды, вирус Melissa был разработан для распространения посредством отправки вредоносного кода 50 первым контактам в адресной книге Microsoft Outlook жертвы. Атака была настолько успешной, что вирус заразил 20 процентов компьютеров по всему миру и нанес ущерб на 80 миллионов долларов.

Создатель вируса Дэвид Смит (David L.Smith) был арестован ФБР, провел 20 месяцев в тюрьме и заплатил 5000 долларов штрафа.

В то время как большинство вредоносных программ нашего списка вызывали неприятности Zeus (aka Zbot) изначально был инструментом, используемым организованной преступной группировкой.

Троян использовал приемы фишинга и кейлоггинга для кражи банковских аккаунтов у жертв. Зловред успешно похитил 70 миллионов долларов со счетов жертв.

5. Storm Trojan (2007)

Storm Trojan стал одной из самых быстро распространяющихся угроз, ведь за три дня после его выхода в январе 2007, он достиг 8-процентного уровня заражения компьютеров по всему миру.

Троян создавал массивный ботнет от 1 до 10 миллионов компьютеров, и за счет своей архитектуры изменения кода каждый 10 минут, Storm Trojan оказался очень стойким зловредом.

Червь ILOVEYOU (Письмо счастья) маскировался под текстовый файл от поклонника.

На самом деле любовное письмо представляло серьезную опасность: в мае 2000 года угроза распространилась на 10 процентов подключенных к сети компьютеров, вынудив ЦРУ отключить свои серверы, чтобы предотвратить дальнейшее распространение. Ущерб оценивается в 15 миллиардов долларов.

7. Sircam (2001)

Как многие ранние вредоносные скрипты, Sircam использовал методы социальной инженерии, чтобы вынудить пользователей открыть вложение электронной почты.

Червь использовал случайные файлы Microsoft Office на компьютере жертвы, инфицировал их и отправлял вредоносный код контактам адресной книги. Согласно исследованию Университета Флориды, Sircam нанес 3 миллиарда долларов ущерба.

8. Nimda (2001)

Выпущенному после атак 11 сентября 2001 года червю Nimda многие приписывали связь с Аль-Каидой, однако это никогда не было доказано, и даже генеральный прокурор Джон Эшкрофт отрицал всякую связь с террористической организацией.

Угроза распространялась по нескольким векторам и привела к падению банковских сетей, сетей федеральных судов и других компьютерных сетей. Издержки по очистке Nimda превысили 500 миллионов долларов в первые несколько дней.

Занимавший всего 376 байт, червь SQL Slammer содержал большое количество разрушений в компактной оболочке. Червь отключал Интернет, колл-центры экстренных служб, 12000 банкоматов Bank of America и отключил от Интернета большую часть Южной Кореи. Червь также смог отключить доступ к глобальной паутине на АЭС в Огайо.

10. Michaelangelo (1992)

Вирус Michaelangelo распространился на относительно небольшое количество компьютеров и вызвал небольшой реальный ущерб. Однако, концепция вируса, предполагающая “взорвать компьютер” 6 марта 1992 года вызвала массовую истерию среди пользователей, которая повторялась еще каждый год в эту дату.

11. Code Red (2001)

Червь Code Red, названный в честь одного из разновидностей напитка Mountain Dew, инфицировал треть набора веб-серверов Microsoft IIS после выхода.

Он смог нарушить работоспособность сайта whitehouse.gov, заменив главную страницу сообщением “Hacked by Chinese!”. Ущерб от действия Code Red по всему миру оценивается в миллиарды долларов.

12. Cryptolocker (2014)

На компьютерах, зараженных Cryptolocker, зашифровывались важные файлы и требовался выкуп. Пользователи, которые заплатили хакерам более 300 миллионов долларов в биткоинах получили доступ к ключу шифрования, остальные потеряли доступ к файлам навсегда.

Троян Sobig.F инфицировал более 2 миллионов компьютеров в 2003 году, парализовав работу авиакомпании Air Canada и вызвав замедление в компьютерных сетях по всему миру. Данный зловред привел к 37,1 миллиардным затратам на очистку, что является одной из самых дорогих кампаний по восстановлению за все время.

14. Skulls.A (2004)

Skulls.A (2004) является мобильным трояном, который заражал Nokia 7610 и другие устройства на SymbOS. Вредоносная программа была предназначена для изменения всех иконок на инфицированных смартфонах на иконку Веселого Роджера и отключения всех функций смартфона, за исключением совершения и приема вызовов.

По данным F-Secure Skulls.A вызвал незначительный ущерб, но троян был коварен.

15. Stuxnet (2009)

Stuxnet является одним из самых известных вирусов, созданных для кибер-войны. Созданный в рамках совместных усилий Израиля и США, Stuxnet был нацелен на системы по обогащению урана в Иране.

Зараженные компьютеры управляли центрифугами до их физического разрушения, и сообщали оператору, что все операции проходят в штатном режиме.

В апреле 2004 MyDoom был назван порталом TechRepublic “худшим заражением за все время”, на что есть вполне разумные причины. Червь увеличил время загрузки страниц на 50 процентов, блокировал зараженным компьютерам доступ к сайтам антивирусного ПО и запускал атаки на компьютерного гиганта Microsoft, вызывая отказы обслуживания.

Кампания по очистке от MyDoom обошлась в 40 миллиардов долларов.

17. Netsky (2004)

Червь Netsky, созданный тем же подростком, который разработал Sasser, прошелся по всему миру с помощью вложений электронной почты. P-версия Netsky была самым распространенным червем в мире спустя два года после запуска в феврале 2004 года.

18. Conficker (2008)

Червь Conficker (известный также как Downup, Downadup, Kido) был впервые обнаружен в 2008 и был предназначен для отключения антивирусных программ на зараженных компьютерах и блокировки автоматических обновлений, который могли удалять угрозу.

Conficker быстро распространился по многочисленным сетям, включая сети оборонных ведомств Великобритании, Франции и Германии, причинив 9-миллиардный ущерб.

Считается, что термин "компьютерный вирус" впервые употребил сотрудник Лехайского университета (США) Ф. Коэн на конференции по безопасности информации в 1984 г. Однако еще в работах Винера и фон Неймана исследовались различные виды конечных автоматов, в том числе и самовоспроизводящихся. В любом случае, в настоящий момент эти вопросы представляют чисто исторический интерес и имеют мало отношения к реальности. Итак, что сегодня, летом 1997 года, представляют собой компьютерные вирусы?

Прежде всего, компьютерные вирусы это программы. Даже это довольно простое утверждение способно развеять многочисленные легенды о необыкновенных возможностях компьютерных вирусов. Компьютерный вирус может перевернуть изображение на мониторе, но не может перевернуть сам монитор. К разговорам о вирусах "25 кадра", убивающих операторов, также следует относится адекватно. Правда, программы эти бывают разные и далеко не всегда хорошие...

Компьютерные вирусы это программы, обладающие способностью к самовоспроизведению. Указанное свойство присуще всем типам компьютерных вирусов, но не только им. Кроме того, способность к самовоспроизведению надо понимать весьма широко. Различные экземпляры одного вируса не только не обязаны полностью совпадать, но могут даже не иметь ни одного общего байта (речь идет о так называемых сложнополиморфных вирусах). Сами механизмы воспроизведения тоже могут быть весьма разнообразны. Не так давно к специалистам "ДиалогНауки" попал многоплатформенный вирус (Anarchy.6093), заражающий файлы исполняемые файлы DOS, Windows, а также DOC - файлы - документы Word for Windows.

При этом DOC - файлы являются лишь средством доставки вирусного кода.

Основные типы компьютерных вирусов

Существует совершенно формальная система, позволяющая классифицировать компьютерные вирусы и называть их таким образом, чтобы избежать ситуации, когда один и тот же вирус имеет неузнаваемо разные имена в классификации разных разработчиков антивирусных программ. Несмотря на это, все еще нельзя сказать о полной унификации имен и характеристик вирусов. В значительной степени это определяется тем, что к тому моменту, когда были сформулированы некоторые "правила игры", уже существовали антивирусные средства, работающие в собственной системе обозначений. Всеобщая унификация потребовала бы приложить значительные усилия и модифицировать программы и документацию. В ряде случаев это было сделано. Мы станем исходить из того, что обычному пользователю нет необходимости вникать во все тонкости функционирования вируса: объекты атаки, способы заражения, особенности проявления и пр. Но желательно знать, какими бывают вирусы, понимать общую схему их работы.

Среди всего разнообразия вирусов можно выделить следующие основные группы:

- Загрузочные (бутовые) вирусы.

Так называют вирусы, заражающие загрузочные секторы дискет и винчестеров. Имеются бутовые вирусы, заражающие только загрузочные сектора дискет, другие заражают - еще и загрузочные сектора винчестеров, некоторые - заражают главный загрузочный сектор винчестера. Часто вирусы "всеядны" и заражают и то, и другое.

- Файловые вирусы.

В простейшем случае такие вирусы заражают исполняемые файлы. Если с загрузочными вирусами все более или менее ясно, то файловые вирусы - это гораздо менее определенное понятие. Достаточно, к примеру, сказать, что файловый вирус может вообще не модифицировать файл (вирусы - спутники и вирусы семейства Dir). Кроме того, к файловым относятся так называемые macro - вирусы. О них мы еще поговорим подробнее.

- Загрузочно - файловые вирусы.

Такие вирусы обладают способностью заражать как код загрузочных секторов, так и код файлов. Вирусов этого типа не очень много, но среди них встречаются чрезвычайно злобные экземпляры (например, известный вирус OneHalf).

Основные свойства компьютерных вирусов

Как правило, пользователи сталкиваются с внешними проявлениями компьютерных вирусов и классифицируют их на "вирусы, осыпающие буковки" и "вирусы, форматирующие винчестер". Специалистов же интересуют совсем другие свойства вирусов (хотя и внешние проявления также изучаются). Рассмотрим некоторые качественно важные свойства компьютерных вирусов.

Стелс - вирусы. Так называют маскирующиеся вирусы. Видов маскировки великое множество, но все они основаны на перехвате вирусами прерываний BIOS и операционной системы.

Перехватив прерывания, вирусы контролируют доступ к зараженным объектам. Например, при просмотре зараженного объекта, они могут "подсунуть" вместо него здоровый. Кроме того, вирусы искажают информацию DOS (например, возвращают неверное значения длины файла, скрывая свое присутствие в нем). Для большинства антивирусных программ вирусы, использующие стелс - технологию, являются серьезной проблемой. Исключением является ревизор дисков ADinf - уникальная российская программа, одним из замечательных свойств которой является способность обнаруживать маскирующиеся вирусы.

Полиморфные вирусы. Вероятно, большинство вопросов связано, прежде всего, с самим термином "полиморфный вирус". Нам кажется, что суть дела становится яснее, если рассмотреть один из типов полиморфных вирусов, которые известный специалист по компьютерным вирусам д. т. н. Н. Н. Безруков называет вирусами с самомодифицирующимися расшифровщиками. Но начнем с самого начала.

"Я помню чудное мгновенье...". Узнали? Разумеется, узнали. Слишком характерная строчка, со школьных лет мы безошибочно узнаем известное стихотворение великого поэта. Если взглянуть на вопрос с точки зрения вирусолога, то приведенная строчка является так называемой сигнатурой - характерной, в идеале - уникальной, последовательностью символов, характеризующей стихотворение. Открыв томик стихов и увидев эту строчку, мы совершенно точно знаем, на какое стихотворение мы попали. Анализ вирусов также заключается в выделении в них сигнатур и последующем их поиске в потенциальных объектах вирусной атаки. Таким образом, еще несколько лет назад достаточно было поймать вирус, изучить его код, (для профессионалов это, как правило, было делом нескольких минут) и выделить сигнатуру. Но вирусные технологии не стояли на месте.

Вирусы, шифрующие свой код, известны довольно давно. Цель такого шифрования тоже достаточно очевидна: имея зараженный и оригинальный файлы, а, следовательно, и возможность выделить вирус "в чистом виде", вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны самые различные варианты: вирус может расшифровать себя всего сразу, а может выполнять такую расшифровку "по ходу дела", может вновь шифровать уже отработавшие участки (причем иногда не тем способом, каким они были зашифрованы раньше) - в общем, имеется очень много различных вариантов. Все это делается только ради того, чтобы затруднить анализ кода вируса (кстати, это не единственное, что предпринимается ради этой цели: хитро зашифрованный вирус, эффективно противодействующий трассировке, может заставить серьезно поработать разработчиков антивирусных средств).

Но до 1992 года вирусописатели старались на самом деле зря. Совершенно ясно, что квалификация профессионалов в сфере антивирусной безопасности никак не меньше их собственной и, следовательно, все их многомесячные усилия стоили в крайнем случае лишних часов работы специалистов. Ведь все зашифрованные вирусы обязательно содержали некий незашифрованный фрагмент - расшифровщик (или его часть). По нему можно было построить сигнатуру данного вируса и дальше уже бороться с ним обычными способами. Ситуация изменилась, когда были придуманы алгоритмы, позволяющие не только шифровать код вируса, но и менять расшифровщики. Сама постановка такой задачи вопросов не вызывает: достаточно очевидно, что можно построить различные расшифровщики. Суть в том, что этот процесс автоматизирован - каждая новая копия вируса содержит новый расшифровщик, который может в каждом бите отличаться от расшифровщика породившей ее копии. Даже из простых комбинаторных соображений ясно, что расшифровщиков, длина которых обычно ограниченна, не может быть бесконечно много. Но если их всего лишь триллиона так два - три, то ясно, что задача перебора всех возможных не стоит... Вирусы, использующие описанную технологию, и получили название полиморфных.

Кто - то проспорил пиво или победное шествие macro - вирусов

Ходит весьма правдоподобный слух, что между авторами антивирусных программ было заключено пари на изрядное количество пива. Предметом пари являлся вопрос "дойдет ли к 1 июля этого года число macro - вирусов до 1000". Шутки шутками, но macro - вирусы действительно стали настоящим бедствием, и их количество продолжает катастрофически увеличиваться. Что же это за вирусы, почему они посыпались как из ведра?

Формально, macro - вирусы являются файловыми вирусами, заражающими файлы некоторых систем документооборота. Насколько известно автору, в настоящее время имеются вирусы для Word for Windows (в огромном количестве!), MS - Word, Excel for Windows и AmiPro. Все указанные системы имеют встроенные макро - языки (Word Basic, Visual Basic). Эти языки обладают достаточными возможностями, чтобы производить практически все операции, необходимые вирусу.

Достаточно сказать, что имеются даже шифрованные и полиморфные macro - вирусы. Кроме того, все чаще стали встречать вирусы, поражающие как документы, так и исполняемые файлы (иногда обычные EXE - файлы, иногда NewEXE, иногда и те, и другие). Инфицирующая способность таких вирусов крайне велика.

В настоящий момент более 90 % macro - вирусов - вирусы для Word for Windows. Это без сомнения объясняется тем, что файлы этого текстового процессора фактически стали стандартом на текстовые документы. Самый первый macro - вирус (Word.Concept) также заражал DOC - файлы. Любопытно, что достоверно известно о двух "проколах" самой фирмы Microsoft. На ее собственном сервере дважды оказывались документы, зараженные macro - вирусами.

Когда два года назад появились первые macro - вирусы для WinWord, были выпущены специальные антивирусные программы, написанные на том же самом Word Basic, что и сами вирусы и, фактически, представляющие собой документы, устроенные специальным образом. Таким образом, можно было легко получить доступ к макросам документа. Хотя это и было самым простым решением, время показало его бесперспективность.

Тем не менее, те первые антивирусы еще продолжают использоваться, что, безусловно, является ошибкой. Сегодня все "приличные" сканеры умеют самостоятельно разбирать структуру DOC - файлов. Одним из первых это "научился" делать Doctor Web, а недавно у него был существенно усилен эвристический анализатор macro - вирусов, с помощью которого можно обнаруживать новые macro - вирусы, еще не известные антивирусу "в лицо".

В нулевом кольце защиты

Много лет уже прошло с момента появления процессора i386, (не будем даже вспоминать, что до него был i286), а вирусы до настоящего момента не могли покорить его самый мощный защищенный режим. Загрузочный вирус PMBS, первым пытавшийся освоить защищенный режим (1994 г.), не мог ужиться ни с одной программой или драйвером (EMM386, Windows, OS/2,...).

Вирусы Evolution.2761 и Evolution.2770 (тоже 1994 г.) использовали только часть мощного защищенного режима и то только тогда, когда процессор находился в реальном режиме работы.

Но вот все - таки свершилось! В России, в "диком" виде обнаружен файловый вирус PM.Wanderer, использующий защищенный режим. Этот вирус исследовал ведущий вирусолог "ДиалогНауки" И. А. Данилов. Вот, что он выяснил. Вирус более - менее корректно взаимодействует с другими программами и драйверами, также использующими защищенный режим. PM.Wanderer является резидентным полиморфным вирусом, использующим защищенный (виртуальный) режим процессоров i386 - Pentium. Для установки своей резидентной копии в память и переключения в защищенный режим процессора (Protected Mode) используется документированный интерфейс VCPI (Virtual Control Program Interface) драйвера расширенной памяти EMS (EMM386).

Обнаружить резидентную копию данного вируса, находящегося в нулевом кольце защищенного режима процессора, обычными способами невозможно. Для обнаружения вируса в памяти необходимо переключаться в защищенный режим с наивысшими привилегиями. Но попытаться обнаружить признаки вируса в системе можно и обычными способами. Вирус не стелсируется и, даже при наличии резидентной копии в памяти, в файлах прекрасно виден. После обнаружения вируса рекомендуется, как и всегда в таких случаях, перезагрузиться с системной дискеты и выполнять лечение в заведомо стерильных условиях.

Вирусы в Internet. Сказки и реальность

Как мы уже говорили, с компьютерными вирусами вообще связано много разнообразных легенд. Впрочем, иногда легенды эти, после творческой переработки вирусописаками, превращаются в серьезную опасность. История с вирусами, заражающими документы, - тому подтверждение. Так представляет ли сегодня Internet реальную опасность?

Безусловно - да. Миллионы людей бродят по сети, "перехватывая" то тут, то там разнообразные программы. После чего эти программы немедленно "опробуются в деле", ну а дальше... как повезет. В сети лежат гигабайты информации и сколько в ней вирусов (случайно попавших или намеренно "подсаженных") неизвестно. И при этом приходится только удивляться беспечности тех, кто тщательно проверяет все "внешние" дискеты, но даже "и в голову не берет", что вирус может притаится в программе, полученной из сети. Или в документе, полученном из сети.

Вместе с этим, в различных электронных конференциях периодически появляются "ужастики" о вирусах, заражающих сообщения электронной почты или "прыгающих" на компьютер, при просмотре WWW - страниц. На сегодняшний день можно уверенно утверждать, что таких вирусов нет. Есть вирус (кстати, macro - вирус), который запускает программу Microsoft Mail и отправляет текстовые сообщения с пометкой "Срочно!" по нескольким случайным адресам из адресной книги. Обратим внимание, что это - именно внешнее проявление вируса, а не средство его размножения.

Разумеется, ничто не мешает вирусу вместо текстовых сообщений рассылать свою копию, но данный конкретный этого не делает. А если бы и делал, то получателю сообщения все равно требуется запустить полученную копию вируса. Впрочем, учитывая возможность распространения вирусов в документах и беспечность некоторых пользователей, это не представляется столь уж невероятным. Всегда ли вы проверяете приаттаченные DOC - файлы перед тем, как посмотреть, что в них?

Отдельная тема - вирусы, якобы написанные на Java. На сегодняшний день нет ни одного вируса на Java и считается, что текущая версия языка принципиально не позволяет вирусам размножатся. Другое дело, что известны многочисленные примеры апплетов, которые можно назвать деструктивными, но их разрушительные возможности невелики и вирусами они не являются. По всей видимости, сейчас, когда с появлением macro - вирусов разработчики систем стали несколько внимательнее относится к вопросам безопасности, можно быть более или менее спокойным, используя Java. Чего не скажешь, об объектах ActivX, но практически во всех программах просмотра имеются возможность запретить работу этих объектов.

Антивирусные средства

Антивирусных средств довольно много. В каждом конкретном случае (об этом говорилось в уже упомянутой статье Е. Судова) надо выбирать антивирусный комплект, исходя из общей концепции информационной безопасности организации и нужд конкретного пользователя. Ниже кратко описаны основные типы антивирусных средств.

Детекторы (scanner). Назначение детектора - обнаружить вирус. Бороться с ним предстоит либо другой антивирусной программе, либо системному программисту.

Несколько лет назад детекторы практически уступили позиции полифагам, но любопытно, что они вновь возвращаются на компьютерный рынок по мере его развития. Если вы используете лицензионное программное обеспечение, то для вас может быть даже проще восстановить зараженную программу с дистрибутива (вот он, на полке, руку протянул и все), чем тратить время на лечение файлов. У нас другие традиции, и чистые детекторы (сканеры) еще не скоро будут в состоянии конкурировать с фагами.

Фаги (полифаги) (scanner/cleaner, scaner/remover). Фаг - программа, способная уничтожить вирус (полифаг способен уничтожить много вирусов). Aidstest, к примеру, сегодня обнаруживает и обезвреживает около 2000 вирусов. Основной принцип работы традиционного фага описан выше. Он совсем прост и секретом не является. Кратко повторим основные моменты. Для каждого вируса путем анализа его кода, способов заражения файлов и т. д. выделяется некоторая характерная только для него последовательность байт. Эта последовательность называется сигнатурой данного вируса.

Поиск вирусов в простейшем случае сводится к поиску их сигнатур. Современные фаги используют другие методы поиска вирусов. После обнаружения вируса в теле программы (или загрузочного сектора, который тоже, впрочем, содержит программу начальной загрузки) фаг обезвреживает его. Для этого разработчики антивирусных средств тщательно изучают работу каждого конкретного вируса: что он портит, как он портит, где он прячет то, что испортит (если прячет, конечно). В большинстве случаев фаг способен благополучно удалить вирус и восстановить работоспособность испорченных программ. Но необходимо хорошо понимать, что это возможно далеко не всегда (о причинах еще будет сказано ниже).

Ревизоры. Вирусы не всесильны. Мы уже говорили о том, что изобретательность авторов этой мерзости ограничена некоторыми рамками того, что в принципе возможно. Рамки возможного известны, и если взять под контроль все мыслимые направления вирусной атаки на ваш компьютер, то вы будете практически в полной безопасности. Имеются программы, в функции которых входит контроль возможных путей распространения инфекции. Из программ - ревизоров, которые можно приобрести в России, следует обратить внимание на уже упомянутую выше программу ADinf.

Сторожа. Сторож - небольшая резидентная программа, постоянно находящаяся в памяти компьютера и контролирующая операции, которые она считает подозрительными. В качестве примера сторожа можно привести VSAFE, входивший в поставку некоторых версий MS - DOS. На наш взгляд, для обычного пользователя программные сторожа довольно бесполезны. Одни и те же операции выполняют и вирусы, и обычные программы.

Невозможно даже выделить класс исключительно "вирусных" операций. Вследствие этого сторож либо вынужден ничего не контролировать и пассивно наблюдать за происходящим, либо "звенеть" при каждой подозрительной операции. При этом он так вам надоест, что вы просто отключите его, чтобы не мешал работать. Если уж использовать сторож, то на самом минимальном уровне контроля (например, отслеживая изменение загрузочных секторов). Кстати, такие сторожевые функции имеют некоторые современные BIOS, хотя и с этим все не так просто. Эта функция BIOS может конфликтовать с некоторыми операционными системами, а в некоторых случаях может вообще не работать.

Не так давно был популярен еще один класс антивирусных средств - специальные вакцины, которые использовались для обработки файлов и загрузочных секторов. Вакцины бывают пассивными (пример такой вакцины описан ниже) и активными.

Активная вакцина, "заражая" файл, подобно вирусу, предохраняет его от любого изменения и в ряде случаев способна не только обнаружить сам факт заражения, но и вылечить файл. Пассивные вакцины использовались (теперь это уже большая редкость) для предотвращения заражения файлов некоторыми вирусами, использующими простые признаки их зараженности - "странные" время или дата создания, определенные символьные строки и пр. В настоящее время вакцинирование широко не применяется. Бездумное вакцинирование всего и вся способно вызвать целые эпидемии несуществующих вирусных болезней. Так, в течение нескольких лет на территории бывшего СССР свирепствовала страшная эпидемия ужасного вируса TIME. Жертвой этого вируса стали сотни абсолютно здоровых программ, "зарезанных на операционном столе" хирургом ANTI - KOTом. История эта вкратце такова. Имеется довольно много вирусов, предотвращающих повторное заражение файлов некоторой "черной меткой", которую они "навешивают" на программу. Имеются, к примеру, вирусы, выставляющие в поле секунд времени создания файла значение 62. Уже довольно давно появился вирус, который ко всем зараженным файлам дописывал в конец пять байт - "MsDos". Нормальных файлов, содержащих в конце такую символьную строку, не бывает, поэтому вирус и использовал этот признак как индикатор заражения файла. Вакцинирование файлов против этого вируса совсем не сложно. Достаточно дописать в конец вышеупомянутую символьную строку - и вирус вам не страшен.

Страшно другое - имеются (точнее, имелись) антивирусные программы (к примеру, ANTI - KOT), которые обманываются так же легко, как и сам вирус. Видя в конце файла злополучную строчку, они немедленно лечат его и умывают руки. Шансов на то, что такой инвалид будет нормально работать, практически никаких. С этим же вирусом (и с этим же антивирусом) связана еще одна история. До сих пор не вышел из употребления другой "мощный" антивирус - ANTITIME. В отличие от ANTI - KOTа, он не калечит программ, но и не лечит их тоже. Видя в конце файла все ту же строчку, он отрезает ее (сообщая при этом, что в файле найден "страшный TIME", - утверждение само по себе довольно корректно, поскольку вирусом он его явно не называет). Программа эта, написанная, по всей видимости, как антивакцина, периодически пытается участвовать в конкурсе на лучший антивирус, ибо она также видит "страшный TIME" там, где никакая из нормальных антивирусных программ его не видит.

Аппаратные средства защиты. Имеются специальные дополнительные устройства, обеспечивающие достаточно надежную (в некотором смысле - абсолютную) защиту. В отличие от всех рассмотренных выше антивирусных средств, Sheriff способен предотвратить нападение вируса. К сожалению, автору известны случаи, когда пользователи, установившие на компьютере плату Sheriff, были настолько уверены в своей полной неуязвимости, что совершенно теряли всякую осторожность. Так, они не обращали внимания на области жесткого диска, не защищенные Sheriff (а такие области есть практически всегда - если вы защитите винчестер целиком, то, как вы будете работать?). Необходимо помнить, что антивирусные средства должны применяться комплексно и только такая комплексная защита с использованием надежного ревизора (ADinf), фагов Doctor Web и Aidstest, а при необходимости и платы Sheriff способна обеспечить максимальную безопасность.

Доброго времени суток, друзья! Как вы знаете, вопросы безопасности и защиты своего электронного друга являются насущными для огромного количества пользователей. В Интернете постоянно бродят хитроумные черви и коварные трояны, которые норовят пробраться через лазейки на ПК и устроить на жестком диске настоящее бесчинство. Сегодня я предлагаю всем нам вспомнить самые известные компьютерные вирусы нашего времени.

Восемь вредоносных программ нового века

Сначала давайте составим небольшой список всех этих зловредных утилит, а затем я расскажу о каждом более подробно, включая самые новые и хитрые. Итак, вот эти негодяи:

• ILOVEYOU – 2000 год;
• Nimda – 2001 год;
• SQL Slammer/Sapphire – 2003 год;
• Sasser – 2004 год;
• Storm Trojan – 2007 год;
• Conficker – 2008 год;
• Wannacry – 2017;
• Petya – 2017.

ILOVEYOU

Этот вирус считается первопроходцем масштабных заражений ЭВМ по всему миру. Он начал свое распространение ночью 5 мая в виде писем, к которым был приложен вредоносный скрипт.

При открытии этого письма он сразу же начинал рассылку самого себя по контактному листу Microsoft Outlook (тогда эта программа считалась верхом совершенства для отправки емайлов). За последующие несколько дней он заразил собой около 3 млн ПК во всем мире и перезаписал на них файлы. Ущерб от его деструктивной деятельности составил примерно 1015 млрд. долларов. За это вирус ILOVEYOU даже попал в книгу рекордов Гиннеса, получив «почетное» звание самого разрушительного вируса.

Nimda

Этот зловред распространился за считанные минуты. Его скрипты были прописаны таким образом, что он поражал не только компьютеры обычных пользователей, но даже и серверные части под управлением Windows NT и 2000, которые на тот момент обладали достаточно мощной защитой. Он проникал на жесткий диск посредством рассылки через электронные почты. Объектами заражения становились порталы в Интернете, которые не обладали необходимой системой защиты.

Этому червю приписывалось авторство Аль-Каиды (террористической организации, запрещенной в РФ). Однако, никаких доказательств получено не было. По примерным подсчетам ущерб от вируса составил более 50 млн. долларов, тогда обрушились сети банков, отелей, федеральных судов и так далее.

SQL Slammer/Sapphire

Примечательная особенность этого червя – его маленький объем. Он весил всего 376 байт, но именно эти байты заразили около 75 тысяч компьютеров в мире за 10 минут. В результате его атаки отключились сети экстренных служб, обрушились многие хосты, а также исчез доступ к Интернету на атомной электростанции в штате Огайо, США.

Sasser

Эпидемия этого червя началась в конце апреля 2004 года. За несколько дней червь сумел заразить около 250 000 ЭВМ во всем мире. После инфицирования одного устройства червь получал доступ к Интернету и искал компьютеры с уязвимостью, через которую мог попасть туда. Особого вреда и пакостей вирус не причинял – он всего лишь пускал компьютер в бесконечный цикл перезагрузок.

Что интересно, его автором стал не бородатый хакер с мощным десктопом, а обычный 17-летний подросток из Германии с домашним ПК. Его удалось достаточно быстро вычислить, после чего он был приговорен к условному сроку. Сложно объяснить почему, ведь его детище саботировало работу авиакомпаний, больниц, почт, службы береговой охраны Великобритании и множество других социальных учреждений и нанесло ущерб на 18 млрд. долларов.

Storm Trojan

8% зараженных компьютеров из общего числа по всему миру – таков итог шествия вируса Storm Trojan по планете. Принцип его действия очень распространенный – он заключался в заражении ПК и подключении к так называемой бот-сети. В ней огромное количество компьютеров соединялось в одну сеть, без ведома владельцев, которая служила единственной цели – массивным атакам на мощные сервера. Обезвредить его было достаточно сложно, поскольку он самостоятельно изменял свой код каждые 10 минут.

Conficker

Червь Conficker использовал уязвимости операционных систем и отключал множество служб, в их числе и безопасности. Он считается «прародителем» зловредных программ, которые распространяются посредством USB-накопителей. В них он создавал файл autorun.inf, который, я уверен, многие из нас видели.

Кстати, до сих пор можно встретить разновидность вируса, который скрывает файлы на носителе информации и подменяет их своими ярлыками. Как вернуть видимость таким файлам я уже описывал в статье .

Его назначение то же, что и у предыдущего – объединение зараженных ПК в общую бот-сеть. Таким вот образом он смог «подчинить» себе огромное количество машин и обрушить сети не только обычных компаний, но и министерств обороны Германии, Франции и Великобритании. По самым скромным подсчетам он нанес ущерб в размере 9 млрд. долларов.

Wannacry

Сегодня о Wannacry не слышал разве что тот, кто не бывает в Интернете и не смотрит телевизор. Он относится к семейству вирусов Trojan Winlock. Этот суперсовременный, хитрый и невероятно ловкий сетевой червь, известный также как программа-вымогатель, действует следующим образом: она шифрует подавляющее большинство хранящихся на жестком диске файлов, после чего блокирует компьютер и выводит окно с требованием выкупа. Деньги предлагалось перечислить в виде биткоинов – современной криптовалюты. Червь смог поразить около 500 000 в 150 странах мира, больше всего пострадали Индия, Украина и Россия.

Известно, что от своих жертв хакеры смогли получить 42 тысячи долларов. Остановить атаку удалось случайно. Было обнаружено, что перед началом шифровки файлов вредоносная программа обращается к несуществующему домену, и если его нет, то процесс начинается. Дело было за малым – домен зарегистрировали, и шествие Wannacry остановилось. Так мир был спасен от компьютерного апокалипсиса. На данный момент ущерб оценивается в 1 млрд. долларов. Вирус нарушил работу многих банков транспортных компаний, диспетчерских служб. Если бы не чудесное спасение, миллионы людей могли разориться, погибнуть в железнодорожных и авиа катастрофах. По мнению экспертов, это был показательный случай. Теперь стало всем понятно - насколько опасно современные необычайно сложные и тщательно проработанные мошеннические схемы.

С информационной преступностью стали бороться очень серьёзно, в том числе и в нашей стране. Однако уже через месяц в июне 2017 года появился вирус Petya.

Petya

Вирус-вымогатель Petya – это тренд июня 2017 года. Он очень похож на Wannacry, но есть существенное отличие – не шифрует отдельные файлы, а блокирует весь жесткий диск целиком. Его создатели сделали ставку на любителей нелицензионного ПО, ведь далеко не каждый пользователь следит за официальными обновлениями Microsoft, а именно в одном из них был выпущен патч, закрывающий дыру, сквозь которую Petya сейчас и попадает на ПК.

Он распространяется через вложения в электронных письмах. Если пользователь запустит этот файл, компьютер уйдет в перезагрузку, и на экране появится имитация проверки диска на ошибки. После этого предстанет перед глазами красный череп во весь монитор. Чтобы расшифровать жесткий диск нужно перевести определенную сумму в биткоинах.

Специалисты считают, чем активнее развиваются технологии, тем больше будет желающих воспользоваться ими, чтобы обмануть своего ближнего. Такова суровая реальность 21 века.

По статистике в 2016 году с банковских карточек россиян похитили около 650 000 000 рублей. Это на 15% меньше, чем в 2015 году. Социологи считают, что жители нашей страны раскусили большинство . Впрочем, новые, прежде не известные, способы выманить деньги из кошелька появляются едва ли не каждый день.

Вот так выглядит список самых известных и опасных вирусов, которые поражают электронных помощников людей в 21 веке. Если вам было интересно почитать про них, поделитесь статьей в социальных сетях, чтобы и ваши друзья тоже узнали о такой опасности. Также не забывайте подписываться на обновления блога!

PS: Удивительные факты

Дорогой читатель! Вы посмотрели статью до конца.
Получили вы ответ на свой вопрос? Напишите в комментариях пару слов.
Если ответа не нашли, укажите что искали .

Трансляция

С начала С конца

Не обновлять Обновлять

На этом «Газета.Ru» завершает онлайн-репортаж. Спасибо, что были с нами. Сегодня 74 страны мира столкнулись с одной из крупнейших хакерских атак в мире. Мошенники блокировали компьютеры и просили выкуп в криптовалюте. Сумма, по разным источникам, составляет от 300 до 600 долларов.

Наиболее пострадавшей страной стала Россия. Также серьезно пострадали Украина, Япония, Индия и другие страны.

Берегите себя и свою информацию. Обновите свой Windows и делайте мир безопасным.

Мы продолжаем следить за развитием событий. Оставайтесь с нами.

Раньше аналогичные сообщения поступали из Испании. Теперь вот и россияне подтянулись.

Написано вроде бы и понятно, но все равно как-то не по-русски. Значит, софт писался как минимум не испанцами и не русскими.

МЧС России также сообщило о попытках атаковать их компьютеры. Ничего у хакеров не вышло.

«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — сообщили ТАССу в пресс-службе ведомства.

Хакерская атака действительно объединила сегодня почти весь мир. Да, делать сеть безопасной, видимо, — наша общая задача.

«А если АНБ создаст инструмент для атаки на Windows XP, который больше не поддерживается Microsoft, и он попадет в руки преступников — должно ли агентство само выпустить патч?»

If NSA builds a weapon to attack Windows XP—which Microsoft refuses to patches—and it falls into enemy hands, should NSA write a patch? https://t.co/TUTtmc2aU9

— Edward Snowden (@Snowden) May 12, 2017

«Это особый случай. Если бы АНБ вовремя уведомило о найденных уязвимостях, у больниц были бы годы — даже не месяцы — чтобы подготовиться», — продолжил Сноуден.

В сети активно интересовались, что же думает Эдвард Сноуден по данному вопросу. Вот что.

«Вот это да, АНБ создало инструменты для взлома американского софта, которые в итоге угрожают жизни сотен пациентов», — пишет бывший сотрудник Агентства национальной безопасности Эдвард Сноуден.

В МВД РФ признали, что в пятницу компьютеры ведомства все же подверглись вирусной атаке. По словам официального представителя МВД Ирины Волк, заражено было меньше 1% компьютеров. Все успели вовремя отследить и локализовать. «Департаментом информационных технологий, связи и защиты информации МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Благодаря своевременно принятым мерам было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1%», — цитирует ТАСС Волк.

Кстати, эксперты говорят, что самый простой обезопасить себя от атаки — это закрыть порт 445.

Буквально пару недель назад «Газета.Ru» в своем материале о том, что количество хакерских атак с вымогательством в интернете выросло вдвое за последний год. Об этом свидетельствует ежегодный отчет о киберпреступлениях от телекоммуникационной компании Verizon.

На диаграмме отчетливо видно, что наибольшие проблемы с атакой испытывает Россия. Следом — Украина и Индия, правда, с очень большим отрывом.

Примечательно, но Великобритания, где пользователи сети острее всего реагируют на атаку, даже не вошла в топ-20 наиболее пострадавших стран.

Тут появилась крутая видеографика, на которой показано, с какой скоростью и где шло распространение вируса. Судя по всему, первыми атакам подверглись США и Китай. Россию «подключили» очень скоро. И, судя по всему, первая атака совершена, ожидаемо, на компьютеры в Москве. Саму интерактивную карту можно посмотреть .

В ESET Russia, тем не менее, говорят, что вирус как раз эксплуатирует уязвимость большинства версий Microsoft. «При эксплуатации уязвимости запускается сетевой шифратор, и расшифровка файлов практически невозможна. Способ защититься от этого вируса — обновить ОС», — сказал «Газете.Ru» Виталий Земских, руководитель отдела поддержки продаж ESET Russia. К слову, собеседник подтвердил, что мартовским обновлением ОС MS17010 все «фиксится», как нужно.

А вот и еще комментарий от Microsoft. Представители компании заявляют, что тот пробел, которым сегодня воспользовались мошенники, Windows как раз и закрыл 14 марта вместе с обновлением. Те, кто с этого момента все же увидел надпись «Идет обновление системы», как говорят в компании, в безопасности.

Различные СМИ по всему миру пишут, что главными целями киберпреступников стали все же телекоммуникационные системы и больницы.

Microsoft заявила, что пользователи с бесплатным антивирусным программным обеспечением и включенной функцией обновления системы Windows будут защищены от атак. Об этом пишет Sky News. Пользователи старой доброй «винды» могут выдохнуть.

Раз уж актуально, вот самые элементарные правила компьютерной безопасности. 1. Обновляйте установленные антивирусные программы в строго установленные сроки.

2. Обращайте внимания на то, какие файлы из почты вы скачиваете на свой рабочий и домашний компьютер.

3. Лучше всего если вашим компьютером, что на работе, что дома, пользуетесь только вы.

4. Обновляйте все приложения и программы. Программисты работают над устранением брешей в безопасности своего софта. Не пренебрегайте их трудом.

5. Установите антивирусы на мобильные устройства.

6. Будьте осторожны даже с теми источниками, которым вы доверяете. Их тоже могут взломать.

7. Сочетайте разные антивирусные технологии. Не только общее сканирование, но и сканеры на отдельные, например, браузеры.

8. Имейте запасную антивирусную программу, софт которой записан на отдельный — «чистый» и проверенный носитель.

10. И главное, если вас вдруг «взломали», не паникуйте. Главное, помните, что любую проблему можно исправить.

Глава представительства Avast в России и СНГ Алексей Федоров в беседе с «Газетой.Ru» подчеркнул, что сегодняшняя атака — одна из самых масштабных. «Судя по специализации большей части жертв, которые в первую очередь подверглись атаке (медучреждения), злоумышленники постарались добраться до организаций, для которых оперативный доступ к информации и корректная работа IT-инфраструктуры являются в буквальном смысле вопросом жизни и смерти. Соответственно, они будут готовы быстро заплатить вымогателям деньги, чтобы вернуть работоспособность своей инфраструктуры», — комментирует ситуацию Федоров.

Также он констатировал, что «циничность и масштабы деятельности компьютерных злоумышленников растут». «Мы имеем дело с хорошо скоординированной атакой международного уровня», — добавил представитель Avast и посоветовал пользователям ПК строго соблюдать правила компьютерной безопасности.

В твиттере пишут, что WannaCry ломается при отсутствии файлов. А еще пишут, что программа поддерживает 28 языков. Напоминаем, атаки зафиксированы в 74 странах.

Ransomeware WannaCry представляет собой зловредный вирус, который попадает на компьютер жертвы и шифрует или блокирует на нем все файлы и данные, предлагая заплатить выкуп за дешифровку, рассказала «Газете.Ru» консультант по безопасности Check Point Software Technologies. «Сейчас вымогатели действительно становятся одной из самых критических угроз: по данным Check Point, во вторую половину 2016 года они неоднократно попадали в топ-3 самых активных вредоносных программ для атак по всему миру. Для их доставки злоумышленники используют фишинг, спам-рассылки и другие инструменты. Опасность состоит в том, что многие предпочитают платить выкуп, тем самым поощряя злоумышленников дальше использовать эту технику», — рассказал эксперт.

К слову, компьютеры какой страны первыми подверглись атаке, также непонятно. Все происходит со стремительной скоростью.

А вот Financial Times уже имеет некоторые представления о природе вируса. Газета пишет, что WannaCry представляет собой модифицированную вредоносную программу Агентства национальной безопасности США Eternal Blue. Программа распространяет вирус через протоколы обмена файлами, которые установлены на компьютерах многих организаций по всему миру. Пишут, что вирус распространяется с какой-то удивительно высокой скоростью.