Вирусы для самых маленьких

[dokzlo13]

Здравствуйте форумчане!
В этой статье я постараюсь показать вам, мои юные хацкеры, как не допустить заражение компьютера, распознать вирус и понять его свойства.
итак, приступим.
Часть первая - для неопытных
Для начала, если ты попал на этот форум, ты уже должен немного догадываться про общие принципы алгоритма вируса, и что это вообще такое.
если ты совсем залетный, и не знаешь вообще ничего, тогда тебе поможет WIKI

вики

Компьютерный вирус — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

итак, что такое вирус мы знаем, но как же можно подцепить эту бяку на компьютер?
а вот как:
1)самый частый тип заражения это запуск зараженного файла. все вирусы имеют свойство к самовоспроизводству (как кролики, да). таким образом, если вы звпустили на первый взгляд невинную програмку, то не удивляйтесь, что вы подхватили вирус.
2)Некоторые вирусы умеют расползаться по локальной сети. они ищут уязвимости и попадая в эту дыру, начинаю обживаться в вашем компьютере
3)autorun.inf - ваш злейший враг, помните это! запускаться с зараженных флешек равно самоубийству!
4)вы наверное знаете, что такое эксплоит. если нет - то в двух словах

Скрытый текст

Эксплойт, эксплоит, сплоит (англ. exploit, эксплуатировать) — это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему.

серфя интернет, можно случайно нарваться на сайт со связкой эксплойтов. этот сайт пробьет нашу броню (файрволл) и подселит к нам на компьютер вирус.


Пути заражения вирусами мы теперь знаем, но как же сохранить свой компьютер?
Здесь есть два пути

Код:

1) накрыть компьтер колпаком
2)Поумнеть

Здесь мы стоим на распутье, мой падаван. Некоторые выбирают первый путь, он намного проще. но сегодня все зависит от тебя.
если ты выбрал первый путь - то прощай, мы больше не свидимся. если второй, то тут-же возникает вопрос: как поумнеть?
на схеме все написано


ну я думаю хватить говорить об абстрактных вещах, и пора уже приступить непосредственно к "ПОЗНАВАТЬ"

начнем с конца.

Как не нарваться на эксплойт?
Здесь как и везде нужно соблюдать простое правило:

Цитата:

Береженого бог бережет

не нужно бездумно бродить по подозрительным порносайтам или просто сайтам, переходить по подозрительным ссылкам и т.д.

Как не заразиться с флешки?
Здесь тоже все просто. отключите автозапуск с флешек, иначе точно подхватите вирусняк, или скачайте хорошую утилиту [Ссылки могут видеть только зарегистрированные пользователи.]. Она вам поможет, отключив авторан. И не запускайте ничего с флешки до проверки, но это ниже.

Как не заразиться по локальной сети?
Всегда патчить свою систему. Обычно вирусы, которые могут распостраняться по локалке расчитаны на определенные погрешности в системе, которые постоянно закрывают.

и наконец
Как узнать, не заражена ли программа?
принцип тот-же

Цитата:

Береженого бог бережет

Пока у вас на компьютере нет зараженных файлов, нет вероятности того что вы их запустите.
Вот простой алгоритм, который нужно запомнить\записать\выжечь на лбу

Код:

1)Не скачивайте ничего
2)Если скачиваете, то только из проверенных источников
3)Если скачиваете из непроверенных источников ничего не запускайте
4)если запускаете скачанное из непроверенных источников, проверяйте на вирустотале (что это - позже)
5)если запускаете скачанное из непроверенных источников,и не проверенное на вирустотале, проверьте своим антивирусом
6)если запускаете скачанное из непроверенных источников, не проверенное на вирустотале, и не проверенное своим антивирусом, пеняйте на себя

Думаю с этим все понятно?
А теперь про вирустотал.
[Ссылки могут видеть только зарегистрированные пользователи.]— сервис, который анализирует подозрительные файлы и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами.
Вы спросите, почему нельзя проверить только своим антивирусом? а потому, что чем больше, тем лучше. Чем больше антивирусов просканирует файл, тем больше вероятность тогго, что там что-то обнаружат.

Как же пользоваться вирустотал?

загружаем файл, который хотим проверить


Ждем проверки


Смотрим репорт


Вуаля!

теперь мы знаем, что там находится ВИРУС, и удаляем эту программу с компьютера!
p.s.кроме вирустотала существует еще множество подобных сервисов для проверки на вирусы.

Вот и все, мой уважаемый новичек! Теперь мы переходим к следующему уровню

[dokzlo13]

Часть вторая - для продвинутых

Эту часть статьи читает тот, кто уже что-то смыслит в компьтерах и вирусах.
Здесь мы пойдем дальше, чем просто узнать, есть ли вирус в файле. Мы будем узнавать, что это за вирус.
Итак, сканируем файл на вирустотале

Скажу сразу,для проверки я взял [Ссылки могут видеть только зарегистрированные пользователи.] обыкновенный, немного модифицированный.
На вирустотале нам не дают никакого описания вируса, только его название. а это мог быть и не вирус вовсе, а хакерская тулуза. что же делать?
здесь нам поможет гугл. вводим туда название нашего вируса, и ищем описание. В моем случае я использовал [Ссылки могут видеть только зарегистрированные пользователи.] - это проект от лаборатории касперского, на котором выкладываются описания всех изученных ими вирусов.
вводим в поиск название вируса, которое выдал нам касперский

и получаем его описание. Здесь мы видим, что вирус прописывается в автозагрузку. а по названию "Fullscreen" мы може догадаться что он блокирует экран.

С этим немного разобрались, но что делать если VIRUSTOTAL НЕ ВИДИТ ВИРУСЫ, а вы все-же подозреваете что там есть бяка?
для глубокого анализа методом эмуляции есть хороший сервис под названием [Ссылки могут видеть только зарегистрированные пользователи.]

что такое метод эмуляции?

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет вирусную активность, такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

Загружаем туда файл, и ждем пока он анализируется, а потом смотрим какие действия он выполняет.

здесь мы можем поглядеть развернутую информацию о вирусе, как да что он вытворяет в системе, какие записи реестра создает, куда копируется и на что влияет.

длинный скрин

можете сами посмотреть [Ссылки могут видеть только зарегистрированные пользователи.]

Важно, что если вы полный нубяра, но с завышеным [Ссылки могут видеть только зарегистрированные пользователи.] и решили сразу читать этот раздел, то вы ничего не поймете. Для того чтобы понять, нужно разбираться в записях реестра и запущенных DLL'ках.

здесь закончили

Теперь мы уж точно не попадемся на вирус
p.s. кстати у Comodo существует подобный сервис -[Ссылки могут видеть только зарегистрированные пользователи.]

[dokzlo13]

Часть третья - для истинных Хакеров

Здравству, Хакер! ты знаешь проктически все в компьютерных системах? ты знаешь все пароли твоей общаги? У тебя нет друзей кроме компьютера и кота?
Тогда ты пришел по адресу! Здесь мы будем вскрывать вирус, и изучать его вдоль и поперек.
Итак, сестра! скальпель пожалуйста!
но минутку? какой именно скальпель нам подойдет?
действительно, изучить вирус голыми руками как в предыдущих разделах у нас не получится, посему идем за инструментами

Wireshark

Wireshark ведет анализ сетевого трафика. Позволяет увидеть весь трафик, который проходит через сеть!!!

Manual Wireshark

File -> содержит функции для работы с файлами;
Edit -> Эта функция может применяться к пакетам, например, найти определенный пакет
View -> Настройка развертывания захваченного пакета.
Go -> Здесь Вы можете ...
Capture -> для запуска и остановки захвата пакетов.
Analyze -> так как мы можем манипулировать анализа фильтры, включить или отключить протоколы, пакет потоков и т.д.

Для примера возьмем какую-нибудь прогу типа браузера или менеджера закачек.
Начинаем захват IP-пакетов.

Делаем двойной щелчок на выползает окно со списком доступных локальных интерфейсов.



Три кнопки отображаются для каждого интерфейса:
Пуск ->, чтобы начать
Параметры -> Настройка
Подробная информация -> предоставляет дополнительную информацию о сетевой карте, как его описание, статистика и др.

Затем нажимаем - Старт!!!

Дальше появляется окно



Информация организована следующим образом:

• Первый столбец [N.o] -> показывает какое количество пакетов отправлено или получено.
• Вторая колонка [Time] -> время, которое требуется для передачи пакета данных.
• В третьей колонке [Source] -> IP источника.
• Четвертая колонка [Destination] -> IP назначения.
• Пятая колонна [Protocol] -> протокол, используемый в комментарии
• Шестой столбец [info.] -> показывает информацию о пакетной передаче данных.

В первой части я выделил в синим цветом протокол, который содержит пакет ранее выбранного поля захваченного пакета [выделено серым]. Выбрав одну из этих линий правой кнопкой мыши, у вас есть варианты, которые должны применять по мере необходимости.



В первой части я выделил желтым цветом содержимое пакета в шестнадцатеричном формате.



Wireshark таже может захватывать пакеты, но с фильтрацией. Чтобы сохранить или открыть существующий фильтр нужно выбрать Display Filter в меню Analyze или Capture Filter, которая находится в меню Capture.



Анализ пакета: Рассмотримобычную команду PING
cmd-> ping 192.168.2.21 [любой ip]



На скриншоте мы видим, что пинг у нас есть два различных протоколов: ARP, ICMP.
По пингу проверяют правильность подключения между компьютерами. Заметим, что столбец получает запрос информации и преобразования.

[Ссылки могут видеть только зарегистрированные пользователи.]

PEiD

PEiD (PE iDentifier) — инструмент для исследования PE файлов, позволяющий узнать компилятор, а следовательно, и язык программирования, использованный при написании программы, упаковщика или криптора.
Поддерживает Drag&Drop (перетаскивание данных), мультисканирование (просмотр содержимого сразу целой папки), а также плагины, плюс имеет несколько встроенных утилит, таких как обозреватель процессов.
Определение упаковщика осуществляется при помощи поиска сигнатуры. Текущая версия может определять 672 различных сигнатуры в PE файлах. Также можно добавить пользовательские сигнатуры. Есть возможность дизассемблирования файла. К недостаткам можно отнести то, что можно обойти алгоритм поиска его сигнатур, и он не найдет нужную сигнатуру.

[Ссылки могут видеть только зарегистрированные пользователи.]

Process Explorer

Эта прога знает ВСЁ про запущенные приложения!!!

[Ссылки могут видеть только зарегистрированные пользователи.]

Дизассемблер OllyDbg

[Ссылки могут видеть только зарегистрированные пользователи.]

Resource Hacker

Resource Hacker (ResHacker, или ResHack) — редактор ресурсов, программа, предназначенная для просмотра, извлечения и замены ресурсов в исполняемых Portable Executable файлах, используемых в 32- и 64-битных версиях операционной системы Microsoft Windows, например, .EXE или .DLL.

С помощью этой программы можно производить поиск и замену иконок, изображений и текстовых строк в исполняемых файлах. Среди дополнительных возможностей программа имеет функции работы из командной строки.

19 ноября 2009 года была выпущена бета версия 3.5.2, в которой была добавлена поддержка 64-битных исполняемых файлов и графических ресурсов в формате .PNG. И она оказалась последней.

[Ссылки могут видеть только зарегистрированные пользователи.]

оффтоп

весь этот инструментарий был нагло скопипасчен из этойстатьи(там есть еще много хороших инструментов) большое спасибо POCT'у за весь этот софт

Значит так, теперь у нас есть и скальпели, и шприцы, и даже клизмы, но нужен еще и операционный стол!

использовать можно и свой компьютер, но есть верноятность заляпаться кровью, знаете. Так что, чтобы лишний раз не заражать компьютер, установим себе Виртуальную машину. О том как это сделать подробно описано здесь

на виртуальную машину мы устанавливаем весь вышеперечисленный софт.

теперь у нас есть и операционный стол, и инструменты, так-что можно приступать к вскрытию.

как же это делается?

1) в основном все вирусы упакованы, для придания меньшего размера. Чтобы увидеть код бинарника, нужно его распаковать. это можно проделать как и UPX'ом, так и отладчиком OllyDbg (это труднее)
upx скачиваем [Ссылки могут видеть только зарегистрированные пользователи.]

Код:

upx -d %Virusname%.exe

итак, распаковали. теперь запускаем peid. здесь мы видим,


это значит, что троянец написан в дельфи.
А если, например, написано

Код:

Not a valid PE file

это значит, что софт написан на асме.

Дальше нужно дизассемблировать код. Дизассемблер — транслятор, преобразующий машинный код, объектный файл или библиотечные модули в текст программы на языке ассемблера.

когда мы это проделали, можем вдоволь изучать код. (правда для этого требуется знания ассемблера).
В статье Onthar'a расписано изучение одной программы. статья здесь


В целом, мы теперь знаем какое действие вирус оказывает на систему.

Но есть так-же и второй метод анализа. Можно просто запустить вирус
но не просто так, при этом нужно включить Process Explorer, Wireshark и прочие программы, которые будут отлавливать действия вируса в "прямом эфире"

таким образом мы тоже изучим вирус, но при этом мы, возможно, угробим виртуалку.

Я думаю с этим мы тоже закончили. переходим к заключительной части статьи.

[dokzlo13]

Часть четвертая - для ламеров
Вы думаете, почему предыдущие части шли по нарастающей сложности, а четвертая для ламеров - самая легкая?
а все дело в том что ламеры всегда нарываются на вирусы, и им ничего не остется, кроме как их лечить.
в это части будет говориться, как лечить вирусы
Ну что-же ты, мой юный друг, ослушался моих советов и таки подцепил бяку? ну ничего страшного, ты ж не СПИД все-таки подхватил.

Для начала приведу универсальную инструкцию по лечению вирусов.

1) отключить комп от сети (иногда программно сеть никак не тушится - выдернуть шнурок Ethernet)
2)восстанавливаем систему
3)с помошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска
4)вручную почистить темп (папки временных файлов)
%temp%
C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files
5)чистим реестр
(это все лучше делать через безопасный режим)
6)сканируем систему антивирусом

если помог один из пунктов, на нем и останавливаемся.
шаги 3-5 выполняются, если есть навыки.

если ничего не помогло, тогда скачиваем [Ссылки могут видеть только зарегистрированные пользователи.] и пытаемся лечить ей. я думаю там просто разобраться. как с ней работать, написано, напрример, здесь
так выглядит окно AVZ


если не помогает ничего, тогда можно использовать live-CD или live-USB

что это?

LiveCD (также Live CD и CD Live Distro — англ. живой компакт-диск, произносится «лив си-ди769;» или «лайв си-ди») — операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопитель и т. д.), не требующая для своего функционирования установки на жёсткий диск. Этим же понятием обозначают и носители с такими ОС (иногда различают LiveCD, LiveDVD «лив ди-ви-ди» и LiveUSB «лив ю-эс-би» — в зависимости от носителя).
LiveCD позволяют быстро начать работу с компьютером, избегая длительного процесса установки ОС в постоянную память (винчестер). Запуск LiveCD занимает обычно несколько минут, в то время как первый запуск (установка) традиционных ОС зачастую требует от одного до нескольких часов.

LiveCD дает доступ к системным файлам и реестру компьютера, без запуска основной оси.
я предпочитаю использовать viavre
специальный дистрибутив, с кучей антивирусов и программ восстановления на борту
(читать [Ссылки могут видеть только зарегистрированные пользователи.] и [Ссылки могут видеть только зарегистрированные пользователи.])

все сказанное выше, относится тольк к неопределенным вирусам. Если мы знаем, что мы подцепили, тогда все проще. Идем в гугл, вводим имя вируса, и ищем как его вылечить.

Я постарался дать только кратокое описание вирусолечения, больше вы сможете найти своими руками...


p.s.очень советую так-же почитать [Ссылки могут видеть только зарегистрированные пользователи.] статью

[onthar]

Цитата:

Сообщение от dokzlo13

Дизассемблер OllyDbg

дебаггер (отладчик)

Цитата:

Сообщение от dokzlo13

1) в основном все вирусы упакованы, для придания меньшего размера. Чтобы увидеть код бинарника, нужно его распаковать. это можно проделать как и UPX'ом, так и отладчиком OllyDbg (это труднее)

далеко не вся мальварь упакована upx'ом, иногда мальварь защищается протекторами, снятие которых может доставить шемморой.

Цитата:

Сообщение от dokzlo13

А если, например, написано
Код:
Not a valid PE file
это значит, что софт написан на асме.

или использованы трюки для обмана идентефикатора, или пейд просто не знает такого формата, или же пока еще не добавлены сигнатуры пакера/протектора/компиллятора в базу.

Цитата:

Сообщение от dokzlo13

В статье Onthar'a расписано изучение одной программы. статья здесь

это ни в коем случае не моя статья, я противник присваивания чужих лавров, автор там указан сразу же под заголовком.

Цитата:

Сообщение от dokzlo13

если ничего не помогло, тогда скачиваем AVZ и пытаемся лечить ей. я думаю там просто разобраться.

едва ли неподготовленный пользователь сможет адекватно пользоваться скриптами AVZ.


В прочем, неплохо. Как минимум за старания плюс.

[dokzlo13]

onthar, был бы тебе очень признателен, если бы ты внес свои замечания непосредственно в статью.

[dokzlo13]

Часть Пятая - эпилог
Сегодня я попытался вложить все свои скудные знания про вирусы в эту статью. надеюсь получилось неплохо, и кому-то материал поможет.
Если вы вплотную заинтересовались вирусами, и вам самим хочется что-то написать
можете почитать

[Ссылки могут видеть только зарегистрированные пользователи.]
[Ссылки могут видеть только зарегистрированные пользователи.]
[Ссылки могут видеть только зарегистрированные пользователи.]

напоследок расскажу немного истории вирусописательства

История вирусов

6.История вирусов
6.1. Летопись вирусов
6.1.1. конец 1960 - начало 1970-х
На мейнфреймах этого времени периодически появлялись программы, которые получили название «кролик» (the rabbit). Эти программы клонировали себя, занимали системные ресурсы и таким образом снижали производительность системы. Скорее всего «кролики» не передавались от системы к системе и являлись сугубо местными явлениями - ошибками или шалостями системных программистов, обслуживавших компьютер. Первый же инцидент, который смело можно назвать эпидемией «компьютерного вируса», произошел на системе Univax 1108. Вирус, получивший название «Pervading Animal», дописывал себя к выполняемым файлам - делал практически то же самое, что тысячи современных компьютерных вирусов.
первая половина 1970-х
Под операционную систему Tenex создан вирус «The Creeper», использовавший для своего распространения глобальные компьютерные сети. Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с этим вирусом была создана программа «The Reeper» - первая известная антивирусная программа.
6.1.2. Начало 1980-х
Компьютеры становятся все более и более попуярными. Появляется все больше и больше программ, авторами которых являются не софтверные фирмы, а частные лица, причем эти программы имеют возможность свободного хождения по различным серверам общего доступа - BBS. Результатом этого является появление большого числа разнообразных «троянских коней» - программ, которые при их запуске наносят системе какой-либо вред.
6.1.3. 1981
Эпидемия загрузочного вируса «Elk Cloner» на компьютерах Apple II. Вирус записывался в загрузочные сектора дискет, к которым шло обращение. Проявлял он себя весьма многосторонне - переворачивал экран, заставлял мигать текст на экране и выводил разнообразные сообщения.
6.1.4. 1986
Пандемия первого IBM-PC вируса «Brain». Вирус, заражающий 360Kб дискеты, практически мгновенно разошелся по всему миру. Причиной такого «успеха» являлась скорее всего неготовность компьютерного общества к встрече с таким явлением, как компьютерный вирус.
Вирус был написан в Пакистане братьями Basit и Amjad Farooq Alvi, оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Как утверждали авторы вируса, они являлись владельцами компании по продаже программных продуктов и решили выяснить уровень пиратского копирования в их стране. К сожалению, их эсперимент вышел за границы Пакистана.
Интересно, что вирус «Brain» являлся также и первым стелс-вирусом - при попытке чтения зараженного сектора он «подставлял» его незараженный оригинал.
В том же 1986 году программист по имени Ральф Бюргер (Ralf Burger) обнаружил, что программа может делать собственные копии путем добавления своего кода к выполняемым DOS-файлам. Его первый вирус, названный «VirDem», демонстрировал эту возможность. Этот вырус был проаннонсирован в декабре 1986 на форуме компьютерного «андеграунда» - хакеров, специализировавшихся в то время на взломе VAX/VMS-систем (Chaos Computer Club in Hamburg).
6.1.5. 1987
Появление вируса «Vienna». Копия этого вируса попадает в руки все того же Ральфа Бюргера, который дизассемблирует вирус и помещает результат в свою книгу «Computer Viruses: A High Tech Desease» (русский аналог - «Пишем вирус и антивирус» г. Хижняка). Книга Бюргера популяризовала идею написания вирусов, объясняла как это происходит и служила таким образом толчком к написению сотен или даже тысяч компьютерных вирусов, частично использовавших идеи из этой книги.
В том же году независимо друг от друга появляется еще несколько вирусов для IBM-PC. Это знаменитые в прошлом «Lehigh», заражающий только COMMAND.COM, «Suriv-1» (другое название - «April1st»), заражающий COM-файлы, «Suriv-2», заражающий (впервые) EXE-файлы, и «Suriv-3», заражающий как COM-, так и EXE-файлы. Появляются также несколько загрузочных вирусов («Yale» в США, «Stoned» в Новой Зеландии и «PingPong» в Италии) и первый самошифрующийся файловый вирус «Cascade».
Не остались в стороне и не-IBM-компьютеры: было обнаружено несколько вирусов для Apple Macintosh, Commodore Amiga и Atari ST.
В декабре 1987 произошла первая известная повальная эпидемия сетевого вируса «Cristmas Tree», написанного на языке REXX и распрастранявшего себя в сперационной среде VM/CMS. 9-го декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем - в сеть IBM VNet. Через четыре дня (13 декабря) вирус парализовал сеть - она была забита его копиями (см. пример про клерка несколькими страницами выше). При запуске вирус выводил на экран изображение новогодей (вернее, рождественской) елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG.
6.1.6. 1988
В пятницу 13-го мая 1988-го года сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом «Jerusalem» - в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии - сообщения о зараженных компьютерах поступали из Европы, Америки и Ближнего Востока. Название, кстати, вирус получил по месту одного из инцидентов - университета в Иерусалиме.
Вместе с несколькими другими вирусами («Cascade», «Stoned», «<="" p="">
Начали появляться заведомо ложные сообщения о компьютерных вирусах, никакой реальной информации не содержащие, но вносившие панику в стройные ряды компьютерных пользователей. Одна из первых таких «злых шуток» (современный термин - «virus hoax») принадлежит некому Mike RoChenle (псевдоним похож на «Microchannel»), который разослал на станции BBS большое количество сообщений о якобы существующем вирусе, который передается от модема к модему и использует для этого скорость 2400 бод. Как это ни смешно, многие пользоватеили отказались от стандарта тех дней 2400 и снизили скорость своих модемов до 1200 бод. Подобные «hoax»-ы появляются и сейчас. Наиболее известны на сегодняшний день - GoodTimes и Aol4Free.
Ноябрь 1988: повальная эпидемия сетевого вируса Морриса (другое название - Internet Worm). Вирус заразил более 6000 компьютерных систем в США (включая NASA Research Institute) и практически парализовал их работу. По причине ошибки в коде вируса он, как и вирус-червь «Cristmas Tree», неограниченно рассылал свои копии по другим компьютьерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов.
Вирус использовал для своего размножения ошибки в операционной системе Unix для VAX и Sun Microsystems. Помимо ошибок в Unix вирус использовал несколько других оригинальных идей, например, подбор паролей пользователей. Подробнее об этом вирусе и связанным с ним инцидентом можно прочитать в достаточно подробной и интересной статье Игоря Моисеева в журнале КомпьютерПресс, 1991, N8,9.
Декабрь 1988: сезон вирусов-червей продолжается, на этот раз в сети DECNet. Вирус-червь HI.COM выводил на экран изображение елочки и извещал пользователей, что им следует «stop computing and have a good time at home!!!»
Появляются новые антивирусные программы, например, Dr.Solomon's Anti-Virus Toolkit, являющийся на сегодняшний день одним из самых мощных антивирусов.
6.1.7. 1989
Появляются новые вирусы - «>Datacrime», «FuManchu» и целые семейства - «Vacsina» и «Yankee». Первый имел крайне опасное проявление - с 13 октября по 31 декабря он форматировал винчестер. Этот вирус вырвался «на свободу» и вызвал повальную истерию в средствах массовой информации в Голландии и Великобритании.
Сентябрь 1989: на рынок выходит еще одна антивирусная программа - IBM Anti-Virus.
Октябрь 1989: в сети DECNet зафиксирована еще одна эпидемия вируса-червя - «WANK Worm».
Декабрь 1989: инцидент с «троянским конем» «Aids». Было разослано 20.000 его копий на дискетах, помеченных как «AIDS Information Diskette Version 2.0». После 90 загрузок системы «троянец» шифровал имена всех файлов на диске, делал их невидимыми (атрибут «hidden») и оставлял на диске только один читаемый файл - счет на 189 долларов, который следовало послать по адресу PO Box 7, Panama. Автор «троянца» был пойман и приговорен к тюремному заключению.
Следует отметить тот факт, что 1989 год являлся началом повальной эпидемии компьютерных вирусов в России - все те же вирусы «Cascade», «Jerusalem» и «Vienna» заполонили компьютеры российских пользователей. К счастью, российские программисты довольно быстро разобрались с принципами их работы и практически сразу появилось несколько отечественных противоядий-антивирусов.
Мое первое знакомство с вирусом (это был вирус «Cascade») произошло в октябре 1989 года - вирус оказался обнаруженным на моем рабочем компьютере. Именно это и послужило толчком для моей профессиональной переориентации на создание программ-антивирусов. Кстати, тот первый вирус я вылечил популярной в те времена антивирусной программой ANTI-KOT Олега Котика. Месяцем позже второй инцидент (вирус «Vacsina») был закрыт при помощи первой версии моего антивируса -V (который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro). К концу 1989 года на просторах России паслось уже около десятка вирусов (перечислены в порядке их появления): две версии «Cascade», несколько вирусов «Vacsina» и «Yankee», «Jerusalem», «Vienna», «Eddie», «PingPong».
6.1.8. 1990
Этот год принес несколько довольно заметных событий. Первым из них является появление первых полиморфик-вирусов «>Chameleon» (другое название - «V2P1», «V2P2» и «V2P6»). До этого момента антивирусные программы для поиска вирусов пользовались так называемыми «масками» - кусками вирусного кода. После появления вирусов «Chameleon» разработчики антивирусных программ были вынуждены искать другие методы их обнаружения.
Вторым событием являлось появление болгарского «завода по производству вирусов»: огромное количество новых вирусов имели болгарское происхождение. Это были целые семейства вирусов «Murphy», «Nomenclatura», «Beast» (или «512», «Number-of-Beast»), новые модификации вируса «Eddie» и др. Особенную активность проявлял некто Dark Avenger, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и скрытия себя в системе. В Болгарии же впервые появлась и первая BBS, ориентированная на обмен вирусами и информацией для вирусописателей.
В июле 1990 произошел инцидент с компьютерным журналом PC Today (Великобретания). Он содержал флоппи-диск, зараженный вирусом «DiskKiller». Было продано более 50.000 копий журнала.
Во второй половине 1990-го появились два стелс-монстра - «Frodo» и «Whale». Оба вируса использовали крайне сложные стелс-алгоритмы, а девятикилобайтный «Whale» к тому же применял несколько уровней шифровки и анти-отладочных приемов.
Появились и первые известные мне отечественные вирусы: «Peterburg», «Voronezh» и ростовский «LoveChild».
6.1.9. 1991
Популяция компьютерных вирусов непрерывно растет, достигая уже нескольких сотен. Растет и антивирусная активность: сразу два софтверных монстра (Symantec и Central Point) выпускают собственные антивирусные программы - Norton Anti-Virus и Central Point Anti-Virus. Следом появляются менее известные антивирусы от Xtree и Fifth Generation.
В апреле разразилась настоящая эпидемия файлово-загрузочного полиморфик-вируса «Tequila», а в сентябре подобная же «история» произошла с вирусом «Amoeba». Россию эти события практически не затронули.
Лето 1991: эпидемия вируса «Dir_II», использовавшего принципиально новые способы заражения файлов (link-вирус).
В целом, год 1991 был достаточно спокойным - этакое затишье перед бурей, разразившейся в 1992-м.
6.1.10. 1992
Вирусы для не-IBM-PC и не-MS-DOS практически забыты: «дыры» в глобальных сетях закрыти, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения. Все большую и большую значимость начинают приобретать файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MS-DOS) на самом популярном компьютере (IBM-PC). Количество вирусов растет в геометрической прогрессии, различные инциденты с вирусами происходят чуть ли не ежедневно. Развиваются различные антивирусные программы, выходят десятки кних и несколько регулярных журналов, посвященных вирусам. На этом фоне выделяются несколько основных моментов:
Начало 1992: первый полиморфик-генератор MtE, на базе которого через некоторое время появляется сразу несколько полиморфик-вирусов. MtE явился также прообразом нескольких последующих полиморфик-генераторов.
Март 1992: эпидемия вируса «Michelangelo» («March6») и связанная с этим истерия. Наверное, это первый известный случай, когда антивирусные компании раздували шумиху вокруг вируса не для того, чтобы защитить пользователей от какой-либо опасности, а для того, чтобы привлечь внимание к своему продукту, т.е. в целях извлечения коммерческой выгоды. Так одна американская антивирусная компания заявила, что 6-го марта будет разрушена информация более чем на пяти миллионах компьютеров. В результате поднявшейся после этого шумихи прибыли различных антивирусных фирм поднялись в несколько раз, а от вируса в дейтсвительности пострадали всего около 10.000 машин.
Июль 1992: появление первых конструкторов вирусов VCL и PS-MPC, которые увеличили и без того немаленький поток новых вирусов и, как и MtE в своей области, подтолкнули вирусописателей к созданию других, более мощных конструкторов.
Конец 1992: первый вирус для Windows, заражающий выполняемые файлы этой операционной системы, открыл новую страницу в вирусописательстве.
6.1.11. 1993
Вирусописатели серьезно взялись за работу: помимо сотен рядовых вирусов, принципиально не отличающихся от своих собратьев, помимо целого ряда новых полиморфик-генераторов и конструкторов, помимо новых электронных изданий врусописателей появляется все больше и больше вирусов, использующих крайне необычные способы заражения файлов, проникновения в систему и т.д. Основными примерами являются:
«PMBS», работающий в защищенном режиме процессора Intel 80386.
«Strange» (или «Hmm») - сольное выступление на тему «стелс-вирус», однако выполненное на уровне аппаратных прерываний INT 0Dh и INT 76h.
«Shadowgard» и «Carbuncle», значительно расширившие диапазон алгоритмов компаньон-вирусов;
«Emmie», «Metallica», «Bomber», «Uruguay» и «Cruncher» - использование принципиально новых приемов «спрятывания» своего кода в зараженных файлах.
Весной 1993 Microsoft выпустил свой собственный антивирус MSAV, основой которого послужил CPAV от Central Point.
6.1.12. 1994
Все большее значение приобретает проблема вирусов на компакт-дисках. Быстро став популярными, эти диски оказались одним из основных путей распространения вирусов. Зафиксировано сразу несколько инцидентов, когда вирус попадал на мастер-диск при подготовке партии компакт-дисков. В результате на компьютерный рынок были выпущены довольно большие тиражи (десятки тысяч) зараженных дисков. Естественно, что об их лечении говорить не приходится - их придется просто уничтожить.
В начале года в Великобритании появились два крайне сложных полиморфик-вируса - «SMEG.Pathogen» и «SMEG.Queeg» (до сих пор не все антивирусные программы в состоянии достичь 100%-го результата при их детектировании). Автор вирусов помещал зараженные файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации.
Еще одну волну паники вызвало сообщение о якобы существующем вирусе «GoodTimes», распространяющем себя по сети Интернет и заражающем компьютер при получении электронной почты. Накакого такого вируса на самом деле не существовало, однако через некоторое время появился обычный DOS-вирус с текстом «Good Times», вирус этот получил название «GT-Spoof».
Активизируются правоохранительные органы: летом 1994 автор SMEG был «вычислен» и арестован. Примерно в то же самое время в той же Великобритании арестована целая группа вирусописателей, называвшая себя ARCV (Assotiation for Really Cruel Viruses). Некоторое время спустя еще один автор вирусов был арестован в Норвегии.
Появляются несколько новых достаточно необычных вирусов:
Январь 1994: «Shifter» - первый вирус, заражающий объектные модули (OBJ-файлы). «Phantom1» - эпидемия первого полиморфик-вируса в Москве.
Апрель 1994: «SrcVir» - семейство вирусов, заражающих исходные тексты программ (C и Pascal).
Июнь 1994: «OneHalf» - начало повальной эпидемии вируса, до сих пор являющегося самым популярным вирусом в России.
Сентябрь 1994: «3APA3A» - эпидемия файлово-загрузочного вируса, использующего крайне необычный способ внедрения в MS-DOS. Ни один антивирус не оказался готовым к встрече с подобного типа монстром.
В 1994 году (весна) перестал существовать один из антивирусных лидеров того времени - Central Point. Он был приобретен фирмой Симантек, которая до того уже успела «проглотить» несколько небольших фирм, занимавшихся антивирусными разработками - Peter Norton Computing, Certus International и Fifth Generation Systems.
6.1.13. 1995
Ничего действительно заметного в области DOS-вирусами не произошло, хотя появляется несколько достаточно сложных вирусов-монстров типа «NightFall», «Nostradamus», «Nutcracker» и таких забавных вирусов, как «двуполый» вирус «RMNS» и BAT-вирус «Winstart». Широкое распространение получили вирусы «ByWay» и «DieHard2» - сообщения о зараженных компьютерах были получены практически со всего мира.
Февраль 1995: произошел инцидент с Microsoft: на диске, содержащем демонстрационную версию Windows95, обнаружен вирус «Form». Копии этого диска Microsoft разослал бета-тестерам, один из которых не поленился проверить диск на вирусы.
Весна 1995: аннонсирован альянс двух антивирусных компаний - ESaSS (ThunderBYTE anti-virus) и Norman Data Defence (Norman Virus Control). Эти компании, выпускающие достаточно сильные антивирусы, объединили усилия и приступили к разработке единой антивирусной системы.
Август 1995: один из поворотных моментов в истории вирусов и антивирусов: в «живом виде» обнаружен первый вирус для Microsoft Word («Concept»). Буквально за месяц вирус «облетел» весь земной шар, заполонил компьютеры пользователей MS-Word и прочно занял первое место в статистических исследованиях, проводимых различными компьютерными изданиями.
6.1.14. 1996
Январь 1996: два достаточно заметных события - появился первый вирус для Windows95 («Win95.Boza») и эпидемия крайне сложного полиморфик-вируса «Zhengxi» в Санкт-Петербурге.
Март 1996: первая эпидемия вируса для Windows 3.x. Его имя - «Win.Tentacle». Этот вирус заразил компьютерную сеть в госпитале и нескольких других учреждениях во Франции. Интересность этого события состояла в том, что это был ПЕРВЫЙ Windows-вирус, вырвавшийся на свободу. До той поры (насколько мне известно) все Windows-вирусы жили только в коллекциях и электронных журналах вирусописателей, а в «живом виде» встречались только загрузочные, DOS- и Macro-вирусы.
Июнь 1996: «OS2.AEP» - первый вирус для OS/2, корректно заражающий EXE-файлы этой операционной системы. До этого в OS/2 встречались только вирусы, которые записывались вместо файла, уничтожая его или действуя методом «компаньон».
Июль 1996: «Laroux» - первый вирус для Microsoft Excel, к тому же пойманный в «живом виде» (практически одновременно в двух нефтедобывающих компаниях на Аляске и в ЮАР). Как и у MS-Word-вирусов, принцип действия «Laroux» основывается на наличии в файлах так называемых макросов - программ на языке Basic. Такие программы могут быть включены в электронные таблицы Excel так же, как и в документы MS-Word. Как оказалось, встроенный в Excel язык Basic также позволяет создавать вирусы. Этот же вирус в апреле 1997 стал причиной эпидемии в компьютерных фирмах Москвы.
Декабрь 1996: «Win95.Punch» - первый «резидентный» вирус для Win95. Загружается в систему как VxD-драйвер, перехватывает обращения к файлам и заражает их.
В целом год 1996 можно считать началом широкомасштабного наступления компьютерного андеграунда на операционную систему Windows32 (Windows95 и Windows NT) и на приложения Microsoft Office. За этот и следующий год появилось несколько десятков вирусов для Windows95/NT и несколько сотен макро-вирусов. Во многих их них вирусописатели применяли совершенно новые приемы и методы заражения, добавляли стелс- и полиморфик-механизмы и т.п. Таким образом компьютерные вирусы вышли на новый виток своего развития - на уровень 32-битных операционных систем. За два года вирусы для Windows32 повторили примерно все те же стадии, что ровно 10 лет до того прошли DOS-вирусы, однако на совершенно новом технологическом уровне.
6.1.15. 1997
Февраль 1997: «Linux.Bliss» - первый вирус для Linux (разновидность юникса). Так вирусы заняли еще одну «биологическую» нишу.
Февраль-апрель 1997: Макро-вирусы перебрались и в Office97. Первые из них оказались всего лишь «отконвертированными» в новый формат макро-вирусами для Word 6/7, однако практически сразу появились вирусы, ориентированные только на документы Office97.
Март 1997: «ShareFun» - макро-вирус, поражающий MS Word 6/7. Для своего размножения использует не только стандартные возможности MS Word, но также рассылает свои копии по электронной почте MS-Mail.
Апрель 1997: «Homer» - первый сетевой вирус-червь, использующий для своего размножения File Transfer Protocol (ftp).
Июнь 1997: Появление первого самошифрующегося вируса для Windows95. Вирус, имеющий российское происхождение, был разослан на несколько BBS в Москве, что стало причиной эпидемии.
Ноябрь 1997: Вирус «Esperanto». Попытка создания (к счастью, неудачная) многоплатформенного вируса, который работает не только под DOS и Windows, но в состоянии заражать и файлы Mac OS (Макинтош).
Декабрь 1997: появилась новая форма вируса - черви mIRC. Оказалось, что наиболее популярная утилита Windows IRC (Internet Relay Chat), известная как mIRC, содержала «дыру», позволяющую вирусным скриптам передавать себя по IRC-каналам. В очередной версии IRC дыра была закрыта, и mIRC-черви канули в лету.
Основным антивирусным событием в 1997 году стало, конечно же, отделение антивирусного подразделения фирмы КАМИ в независимую компанию «Лаборатория Касперского», зарекомендовавшую себя на сегодняшний день как признанный технический лидер антивирусной индустрии. Начиная с 1994 года основной продукт компании - антивирусный сканер AntiViral Toolkit Pro (AVP) - стабильно показывает высокие результаты в многочисленных тестах, проводимых различными тестовыми лабораториями всего мира. Отделение в независимую компанию позволило по началу небольшой группе разработчиков стать первой по значимости антивирусной компанией на отечетсвенном рынке и достаточно заметной фигурой на ринке мировом. За короткие сроки были разработаны и выпущены версии для практически всех популярных платформ, предложены новые антивирусные решения, создана сеть международной дистрибуции и технической поддрежки.
В октябре 1997 года было подписано соглашение о лицензировании технологий AVP финской компанией DataFellows для использования в своей новой разработке FSAV (F-Secure Anti-Virus). До этого компания DataFellows была известна как производитель антивируса F-PROT.
Год 1997 также заметен по нескольким скандалам, разразившимся между основными производителями антивирусов в США и Европе. В начале года фирма McAfee объявила о том, что ее специалисты обнаружили «закладку» в программах одного из своих основных конкурентов - в антивирусе фирмы Dr.Solomon. Заявление от McAfee гласило, что если антивирус Dr.Solomon при сканировании обнаруживает несколько вирусов различных типов, то дальнейшая его работа происходит в усиленном режима. То есть если в обычных условиях на незараженных компьютерах антивирус от Dr.Solomon работает в обычном режиме, то при тестировании коллекций вирусов переключается в усиленный режим (по терминологии McAfee «cheat mode» - «режим обмана»), позволяющий детектировать вирусы, невидимые для Dr.Solomon при сканировании в обычном режиме. В результате при тестировании на незараженных дисках антивирус от Dr.Solomon показывает хорошие скоростные результаты, а при тестировании вирусных коллекций показывает неплохие результаты детектирования.
Через некоторое время Dr.Solomon нанес ответный удар, пришедшийся на некорректно построенную рекламную кампанию McAfee. Конкретно претензии предъявлялись тексту «The Number One Choice Worldwide. No Wonder The Doctor's Left Town». Одновременно с этим компания McAfee вела юридические тяжбы с другой антивирусной компанией Trend Micro по поводу нарушения патента на технологию сканирования данных, передаваемых по Интернет и электронной почте. В этот же конфликт c Trend Micro оказалась втянута фирма Symantec. Затем Symantec предъявил иск McAfee по обвинению в использовании кодов Symantec в продуктах McAfee. Ну и т.д.
Закончился год еще одним заметным событием, связанным с именем McAfee: фирмы McAfee Associates и Network General объявили об объединении в единую компанию Network Assotiates и о позиционировании усилий не только в области антивирусных защит, но и в разработке универсальных систем компьютерной безопасности, шифрования и сетевого администрирования. Начиная с этого момента вирусной и антивирусной истории McAfee следует читать как NAI.
6.1.16. 1998
Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает. Появляются вирусы, использующие все более сложные приемы заражения компьютеров и новые методы проникновения через компьютерные сети. Помимо вирусов на арену выходят также многочисленные троянские программы, ворующие пароли доступа в Интернет, и несколько утилит скрытого администрирования. Зафиксированы инциденты с зараженными CD-дисками: несколько компьютерных журналов распространяли на своей обложке диски с программами, зараженными Windows-вирусами «CIH» и «Marburg».
Начало года: Эпидемия целого семейства вирусов «Win32.HLLP.DeTroie», не только заражающих выполняемые файлы Windows32, но и способные передать своему «хозяину» информацию о зараженном компьютере. По причине использования специфических библиотек, присутствующих только во французской версии Windows, эпидемия затронула только франко-говорящие страны.
Февраль 1998: обнаружен еще один тип вируса, заражающий таблицы Excel - «Excel4.Paix» (или «Formula.Paix»). Данный тип макро-вируса для своего внедрения в таблицы Excel использует не обычную для вирусов область макросов, а формулы, которые, как оказалось, также могут содержать саморазмножающийся код.
Февраль-март 1998: «Win95.HPS» и «Win95.Marburg» - первые полиморфные Windows32-вирусы, обнаруженные к тому же «в живом виде». Разработчикам антивирусных программ пришлось спешно адаптировать к новым условиям методики детектирования полиморфных вирусов, рассчитанных до того только на DOS-вирусы.
Март 1998: «AccessiV» - первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами «Word.Concept» и «Excel.Laroux», он не стал, поскольку все уже привыкли к тому, что приложения MS Office падают одно за другим.
Март 1998: Макро-вирус «Cross» - первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-проложения в другое.
Май 1998: вирус «RedTeam». Заражает EXE-файлы Windows, рассылает зараженные файлы при помощи электронной почты Eudora.
Июнь: эпидемия вируса «Win95.CIH», ставшая сначала массовой, затем глобальной, а затем повальной - сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные Интернет-конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных Web-серверов - они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов «популярности» вирус «подвинул» таких вирусных суперзвезд, как «Word.CAP» и «Excel.Laroux». Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы.
Август 1998: появление нашумевшего «BackOrifice» («Backdoor.BO») - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за «BackOrifice» появились несколько других аналогичных программ: «NetBus», «Phase» и прочие.
Также в августе появился первый вирус, заражающий выполняемые модули Java - «Java.StangeBrew». Данный вирус не представлял какой-либо опасности для пользователей Интернет, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре Web-серверов.
Ноябрь 1998: «VBScript.Rabbit» - интернет-экспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса («HTML.Internal»). Становится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, Web-сервера и/или активно распростряняющегося по электронной почте.
Произошли также заметные перестановки в антивирусном мире. В мае 1998 компании Symantec и IBM объявили об объединении своих усилий на антивирусном фронте: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus (IBMAV) прекращает свое существование. На это моментально отреагировали основные конкуренты: Dr.Solomon и NAI (ранее - McAfee) тут же выпустили пресс-релизы с предложениями о льготном опдейте бывших пользователей IBMAV своими собственными антивирусами.
Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon. Он был куплен компанией NAI (McAfee) за 640 миллионов долларов путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспеечения.

6.2. Перспективы: что будет завтра и послезавтра

А что же будет дальше? И как долго вирусы будут нас беспокоить? - вопросы, который в той или иной мере беспокоит практически всех пользователей.
6.2.1. Что будет завтра?
Чего ожидать от компьютерного андеграунда в последующие годы? Скорее всего основными проблемами останутся: 1) полиморфик-DOS-вирусы, к которым добавятся проблемы полиморфизма в макро-вирусах и вирусах для Windows и OS/2; 2) макро-вирусы, которые будут находить все новые и новые приемы заражения и скрытия своего кода в системе; 3) сетевые вирусы, использующие для своего распространения протоколы и команды компьютерных сетей.
Пункт 3) находится пока только на самой ранней стадии - вирусы делают первые робкие попытки самостоятельно распространять свой код по MS Mail и пользуясь ftp, однако все еще впереди.
Не исключено, что появятся и другие проблемы, которые принесут немало неприятностей пользователям и достаточное количество неурочной работы разработчикам антивирусных программ. Однако я смотрю на будущее с оптимизмом: все проблемы, когда-либо встававшие в истории развития вирусов, были довольно успешно решены. Скорее всего так же успешно будут решаться и будущие проблемы, пока еще только витающие идеями в воспаленном разуме вирусописателей.
6.2.2. Что будет послезавтра?
Что будет послезавтра и как долго вообще будут существовать вирусы? Для того, чтобы ответить на этот вопрос следует определить, где и при каких условиях водятся вирусы.
Основная питательная среда для массового распространения вируса в ЭВМ, на мой взгляд, обязана содержать следующие необходимые компоненты:
• незащищенность операционной системы (ОС);
• наличие разнообразной и довольно полной документации по OC и «железу»;
• широкое распространение этой ОС и этого «железа».
Слудует отметить, что понятие операционной системы достаточно растяжимое. Например, для макро-вирусов операционной системой являются редакторы Word и Excel, поскольку именно редакторы, а не Windows предоставляют макро-вирусам (т.е. программам на бейсике) необходимые ресурсы и функции.
Если в операционной системе присутствуют элементы защиты информации, как это сделано практически во всех ОС, вирусу будет крайне трудно поразить объекты своего нападения, так как для этого потребуется (как минимум) взломать систему паролей и привилегий. В результате работа, необходимая для написания вируса, окажется по силам только профессионалам высокого уровня (вирус Морриса для VAX - пример этому). А у профессионалов, на мой взгляд, уровень порядочности все-таки намного выше, чем в среде потребителей их продукции, и, следовательно, число созданных и запущенных в большую жизнь вирусов еще более сократится.
Для массового производства вирусов также необходимо и достаточное количество информации о среде их обитания. Какой процент от числа системных программистов, работающих на мини-ЭВМ в операционках UNIX, VMS и т.д. знает систему управления процессами в оперативной памяти, полные форматы выполняемых файлов и загрузочных записей на диске? (т.е. информацию, необходимую для создания вируса). И следовательно, какой процент от их числа в состоянии вырастить настоящего полноценного зверя? Другой пример - операционная система Novell NetWare, достаточно популярная, но крайне слабо документированная. В результате мне пока не известно ни одного вируса, поразившего выполняемые файлы Novell NetWare, несмотря на многочисленные обещания вирусописателей выпустить такой вирус в ближайшее время.
Ну а по поводу широкого распространения ОС как необходимого условия для вирусного нашествия и говорить надоело: на 1000 программистов только 100 способны написать вирус, на эту сотню приходится один, который эту идею доведет до завершения. Теперь полученную пропорцию умножаем на число тысяч программистов - и получаем результат: с одной стороны 15.000 или даже 20.000 полностью IBM-совместимых вирусов, с другой - несколько сот вирусов для Apple-Macintosh. Такое же несоответствие пропорций наблюдается и в сравнении общего количества вирусов для Windows (несколько десяктов) и для OS/2 (несколько штук).
Приведенным выше трем условиям «расцвета» компьютерных вирусов удовлетворяют сразу несколько OS (включая редакторы), производимых фирмой Microsoft (DOS, Windows, Win95/NT и Word, Excel, Office97), что дает благодатную почву для существования самых разнообразных файловых и макро-вирусов. Удовлетворяют приведенным условиям также и стандарты разбиения жестких дисков. Результат - разнообразные варианты загрузочных вирусов, поражающих систему в момент ее загрузки.
Для того, чтобы прикинуть продолжительность нашествия компьютерных вирусов в какой-либо OC, надо оценить время сосуществования приведенных выше необходимых условий.
Довольно очевидно, что в обозримом будущем фирмы IBM и Apple не собираются уступать массовый рынок своим конкурентам (на радость Apple- и IBM-программистам), даже если для этого этим фирмам придется объединить усилия. Не представляется возможным и усечение потока информации по наиболее распространенным системам, так как это ударит по числу приложений для них, а следовательно, и по их «продаваемости». Остается только одно - защита ОС. Однако, защищенность ОС требует исполнения некоторых правил (паролей и т.п.), что приводит к ряду неудобcтв. Поэтому мне кажется маловероятным, что такие ОС станут популярными в среде обычных пользователей - секретарш, бухгалтеров, на домашних компьютерах, и т.д., и т.п., либо функции защиты будут отлючаться пользователем еще при установке ОС.
Исходя из вышесказанного можно сделать единственный вывод: вирусы успешно внедрились в повседневную компьютерную жизнь и покидать ее в обозримом будущем не собираются.

спасибо за внимание, при копипасте, ставьте мой ник - dokzlo13 и форум-первоисточник - fuckav.ru

[skagen]

спасибо за статью. особо ничего нового не подчерпнул, но некоторые аспекты очень важны
новичкам будет полезно почитать

[SK1lL]

нечего нового для меня,но тут очень хорошо расписанно всё,молодец

Осилил да всё разложено по полкам, может теперь "маленькие хакеры" не будут задавать тупые вопросы

[zippers]

+ за старание и за оформление!!но где статья для опытных хакеров!!Хакеры это другое,скорей всего для опытных крякеров...Если можешь распиши как рассматривать логи avz и писать скрипты для лечения..

[dokzlo13]

Цитата:

Сообщение от zippers

Если можешь распиши как рассматривать логи avz и писать скрипты для лечения..

я этим как раз занимаюсь. ждите новую статью...

[martin]

dokzlo13, расписано все просто оху...но хорошо! Зы я как новичок в вирусах узнал много полезного и интересного!

[Pernat1y]

Цитата:

Сообщение от zippers

но где статья для опытных хакеров!!

"Опытным хакерам" не нужны такие мануалы

[flymount]

спасибо, статейка интересная

[ESupport]

универсальный способ от всех бед - поставить хостовую ось линукс, а винды под виртуалкой, тогдла не страшны ни связки, ни ехе и тому подобное

[truman]

live-CD или live-USB - не знал про них) спасибо)



Добавлено через 2 минуты


Стоит добавить, что сложность распознавания вируса дизассемблером заключается в том, насколько новый криптограф использовали для него, поэтому не всегда и не каждый дизассемблер сможет выдать код вируса

[KpuMuHaJl]

Отличная статья 9/10. открыл новое для себя буду использовать полученые знания.

[Wariks]

Не чего нового не прочел.
Автор в целом не плохо, но во ты бы еще добавил бы как авторан отрубать.
Через Пуск/Выполнить запустите gpedit.msc.
В появившемся окне выберите ветку дерева слева Конфигурация компьютера - Административные шаблоны - Система.
В рабочей области найдите пункт “Отключить автозапуск”. Выбрав “включен”, выберите также на “всех дисководах”.
Через данный интерфейс можно отключить автозапуск либо только для CD (что в действительности включает в себя: неизвестные, CD, сетевые и съемные диски), либо для всех дисков. Обратите внимание, отключение для CD-дисководов отключает также и съемные (флеш) диски, что вобщем-то решает нашу проблему, но оставляет, например, автозапуск для жестких дисков. Поэтому я рекомендую использовать отключение для всех дисков.