Эволюция болезней: история борьбы с вирусами

Распространение

Через Интернет, локальные сети и съёмные носители.

Механизм

Вирусы распространяются, копируя своё тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск через реестр и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды, — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплойтом, использующим уязвимость.

После того как вирус успешно внедрился в коды программы, файла или документа, он будет находиться в состоянии сна, пока обстоятельства не заставят компьютер или устройство выполнить его код. Чтобы вирус заразил ваш компьютер, необходимо запустить заражённую программу, которая, в свою очередь, приведёт к выполнению кода вируса. Это означает, что вирус может оставаться бездействующим на компьютере без каких-либо симптомов поражения. Однако, как только вирус начинает действовать, он может заражать другие файлы и компьютеры, находящиеся в одной сети. В зависимости от целей программиста-вирусописателя, вирусы либо причиняют незначительный вред, либо имеют разрушительный эффект, например удаление данных или кража конфиденциальной информации.

Каналы

  • Дискеты. Самый распространённый канал заражения в 1980—1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
  • Флеш-накопители («флешки»). В настоящее время USB-накопители заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играют мобильные телефоны, особенно смартфоны (появились мобильные вирусы). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.
  • Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
  • Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.
  • Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.
  • Интернет и локальные сети (черви). Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удалённо загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Чем занимается вирион?

Ничем. Именно из-за того, что вирионы не затрачивают энергии, не потребляют ее, ничем не питаются и никак не движутся, им отказывают в праве называться живыми в полном смысле этого слова. Жизни в них не больше, чем в градинах или каплях дождя, — сплошное повиновение законам химии и физики без малейшей инициативы. При этом и ученый, смотрящий на кипучую деятельность вирусов в электронный микроскоп, и фермер, мрачно наблюдающий за веселым танцем градин в его любимой кукурузе, с трудом отделываются от ощущения, что все это безобразие еще какое живое и энергичное!

Одни вирусы могут существовать только внутри живых организмов, другие — прекрасно путешествуют по миру в слюне, соке, пыльце, слезах, фекалиях и прочих временных ковчегах, которые эти организмы оставляют после себя. Есть и вирусы, способные почти бесконечно долго существовать посреди пустынь и полярных айсбергов. Огромное количество вирусов обитает в воде, прежде всего морской; в одной чайной ложке морской воды, взятой с поверхности, будет плескаться не менее миллиона вирионов. (Это не повод отныне заходить в море только в скафандре: тамошние вирусы специализируются в основном по бактериям, водорослям и вообще по планктону, а твои клетки им до лампочки.) Как и было сказано, вирус вне клеток хозяина ничего не делает, просто ждет своего часа. Этот час наступает, когда вирус оказывается рядом с подходящей ему клеткой. Обычно он покрыт разнообразными шипами, крючками и наростиками из разных типов белков, которые умеют определять близость правильной клетки и цепляться к ней. Дальше вирусы действуют по-разному: либо они пробираются внутрь клетки, либо прирастают к ней, либо просто впрыскивают свой генетический материал в клетку. Отныне эта клетка будет продуцировать копии вируса по предоставленным схемам, используя для этого свою энергию и свой строительный материал. Продуцировать — и выпускать в мир. Иногда клеткам и организму эта деятельность никак не мешает. Иногда ему даже полезна. А иногда она его убивает.

Вне клеток вирусы размножаться не умеют. Тем не менее вирусы существуют, и вполне успешно: это самая распространенная форма жизни-нежизни на Земле. Человек пока не очень хорошо изучил эту форму, мы умеем более или менее точно определять лишь около 6000 видов вирусов. Но считается, что их гораздо больше совокупного количества видов всех живых существ на Земле: и бактерий, и других животных, и растений. И нет ни одного живого существа, в котором бы эти вирусы не были расквартированы буквально повсюду. Есть даже такие, которые паразитируют на других вирусах, их называют вирусами-сателлитами и вирофагами.

Примечания

  1. А.Савицкий. . Лаборатория Касперского (10 февраля 2014).
  2. Alan M. Turing. On computable numbers, with an application to the Entscheidungs Problem. Proceedings of the London Mathematical Society, vol. 2, № 42, pp. 230—265, 1936, Corrections in 2(43): pp. 544—546
  3. Виталий Камлюк.  . Вирусная энциклопедия. Лаборатория Касперского (13 мая 2008). Дата обращения 13 декабря 2008.
  4. Роман Боровко. . Рынок информационной безопасности 2003. CNews-Аналитика. Дата обращения 13 декабря 2008.
  5. . officiel-online.com. Дата обращения 15 июня 2020.
  6. . ArtsLooker (26 апреля 2020). Дата обращения 15 июня 2020.

Противодействие обнаружению

Во времена MS-DOS были распространены стелс-вирусы, перехватывающие прерывания для обращения к операционной системе. Вирус таким образом мог скрывать свои файлы из дерева каталогов или подставлять вместо заражённого файла исходную копию.

С широким распространением антивирусных сканеров, проверяющих перед запуском любой код на наличие сигнатур или выполнение подозрительных действий, этой технологии стало недостаточно

Скрытие вируса из списка процессов или дерева каталогов для того, чтобы не привлекать лишнее внимание пользователя, является базовым приёмом, однако для борьбы с антивирусами требуются более изощрённые методы. Для противодействия сканированию на наличие сигнатур применяется шифрование кода и полиморфизм

Эти техники часто применяются вместе, поскольку для расшифрования зашифрованной части вируса необходимо оставлять расшифровщик незашифрованным, что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяют полиморфизм — модификацию последовательности команд, не изменяющую выполняемых действий. Это возможно благодаря весьма разнообразной и гибкой системе команд процессоров Intel, в которой одно и то же элементарное действие, например сложение двух чисел, может быть выполнено несколькими последовательностями команд.

Также применяется перемешивание кода, когда отдельные команды случайным образом разупорядочиваются и соединяются безусловными переходами. Передовым фронтом вирусных технологий считается метаморфизм, который часто путают с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция — расшифровать основное тело вируса после внедрения, то есть после того, как его код будет проверен антивирусом и запущен. Он не содержит самого полиморфного движка, который находится в зашифрованной части вируса и генерирует расшифровщик. В отличие от этого, метаморфный вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код.

Что такое вирус

Так вот! Что же такое вирус сам по себе? Существует много определений, среди которых основным можно назвать следующее:

Кроме вирусов, которые поражают сложные живые организмы, существуют такие вирусы, которые поражают бактерии. Их принято называть бактериофагами. В некоторых случаях их даже можно использовать в медицинских целях. Такие работы тоже ведутся.

Примерно так работает бактериофаг.

Обнаружены также вирусы, способные реплицироваться только в присутствии других вирусов (вирусы-сателлиты). В этом случае, являясь их носителем, человек может даже не подозревать об этом.

Открывает вирусы и занимается их изучением наука, получившая название вирусология, которая является разделом микробиологии. Первые открытия в этой сфере были сделаны еще в 1892 году.

За это время было открыто более шести тысяч видов вирусов. Правда, считается, что их существует более ста тысяч видов. Новые, а точнее хорошо забытые старые, вирусы находят даже в вечной мерзлоте, во время забора проб льда на большой глубине.

Вирусы обнаружены почти в каждой экосистеме. При этом, есть вероятность, что в остальных просто плохо искали. Сама по себе иммунная система человека и животных довольно активно борется со многими видами вирусов. При этом вырабатываются антитела, позволяющие победить вирус при повторном попадании в организм. Правда, это не всегда работает с мутировавшими формами одного и того же вируса. Некоторые вирусы изначально могут обходить иммунную систему. Например, некоторые типы герпеса и ВИЧ.

Относительно эффективно с вирусами могут бороться специальные противовирусные препараты. При этом стоит помнить, что во время вирусного заболевания применение антибиотиков сделает только хуже.

Борьба с полиовирусом

Всю первую половину ХХ века вирусы были причиной опасных недугов, одним из которых был полиомиелит — детский спинномозговой паралич, который приводит к патологиям центральной нервной системы. Несмотря на то, что первые упоминания о полиомиелите встречаются в истории Древней Греции и Древнего Египта, с первой крупной эпидемией мир столкнулся только в 1905 году в Швеции, после чего вирус начал свое путешествие по планете. К 1916 году от полиомиелита в одном только Нью-Йорке скончалось 2 тысячи детей. А в 1921 году болезнь сразила будущего президента США Франклина Рузвельта. В целом эпидемия полиомиелита в ХХ веке стала самым настоящим национальным бедствием во многих странах.

После того, как Франклин Рузвельт заболел полиомиелитом, в 1938 году он основал Национальную организацию по борьбе с полиомиелитом (англ. National Foundation for Infantile Paralysis). Фонд занимался сбором пожертвований, которые использовались для поиска вакцины и производства механических кроватей для больных. Тем временем вирус уверенно шагал по планете. Так, за 1952 год в США от полиомиелита погибло 3145 человек, а парализованными остались больше 20 тысяч. Советский Союз понес сравнимые потери шесть лет спустя. Все это время наиболее эффективным способом “борьбы” с полиомиелитом были так называемые “железные легкие” — камеры, в которых работу парализованных дыхательных мышц совершала перемена давления воздуха. Пациенты, пораженные этим недугом, до конца жизни оставались в ящиках, откуда торчала голова и ноги.

Наверняка все помнят эти красные капли — прививка против полиомиелита

Изобретение вакцины стало возможным лишь в середине 1950-х годов, но уже к 1961 году полиомиелит был практически истреблен. Первую вакцину изобрел врач Джонас Солк. К тому моменту, как он устроился на работу в фонд Рузвельта, ученые уже научились разводить вирусы на клетках почек обезьян и при помощи антибиотиков очищать их от микробов. Солк, в свою очередь, решил использовать формалин и проверить иммуногенность на обезьянах. В 1952 году полученную вакцину ученый ввел себе, жене и трем сыновьям. Вакцина оказалась безопасной и не вызывала аллергических реакций. В 1954 году Солк получил разрешение поставить прививки 5 тысячам американских школьников в Питтсбурге. Последующий анализ показал наличие антител в крови школьников, а вакцина ученого стала первой эффективной вакциной от полиомиелита.

Новость об изобретении вакцины мгновенно разлетелась по миру и в США отправились ученые со всего света. Большой вклад в изобретение окончательной вакцины внесли советские ученые Михаил Чумаков и Анатолий Смородинцев. Совместная работа советских и американских ученых состоялась несмотря на разгар холодной войны. В 1958 году Алберт Сэбин, врач детской городской больницы Цинцинатти пришел к выводу, что когда вирусы культивируют при пониженной температуре, победителем в этом искусственно созданном естественном отборе становятся непатогенные штаммы. Если такой вирус попадет в желудок, то начнет размножаться. Это непатогенная “живая вакцина”, а наши антитела воспринимают ее как обычный полиовирус.

Однако использование вакцины Сэбина в США посчитали излишним, так как вакцина Солка работала. Тогда Сэбин передал образцы Чумакову, чтобы проверить ее эффективность на территории СССР. В январе 1959 года началась массовая иммунизация, в ходе которой вакцину получили 15 миллионов детей в разных республиках. Вскоре заболеваемость полиомиелитом пошла на убыль. Но как же вакцина Солка? Оказалось, что многие люди, прошедшие вакцинацию, из-за нее заболевали полиомиелитом. В итоге наибольшую эффективность показала доработанная вакцина Сэбина, которая к 1960 году была доступна в более чем 100 странах мира.

Так выглядит CoVID-2019 под микроскопом

Таким образом, первая половина ХХ века, включая пандемию испанского гриппа и борьбу с опаснейшим вирусом в истории — оспой, также прошла под эгидой войны с полиомиелитом. На сегодняшний день человечество одержало практически полную победу над большим количеством опасных вирусных инфекций. Но это не значит, что нам больше ничто не угрожает. Так, узнать о борьбе с эпидемией нового коронавируса CoVID-2019 читайте в нашем специальном материале.

Классификация файловых вирусов по способу заражения Править

Перезаписывающие вирусы
Вирусы данного типа записывают своё тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестаёт запускаться. При запуске программы выполняется код вируса, а не сама программа.
Вирусы-компаньоны
Компаньон-вирусы, как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передаётся оригинальной программе.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном каталоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows, в первую очередь, будет искать именно в нём. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Файловые черви
Файловые черви создают собственные копии с привлекательными для пользователя названиями (например, Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит.
Вирусы-звенья
Как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы, на собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой пользователем программе.
Паразитические вирусы
Паразитические вирусы— это файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу.
Вирусы, поражающие исходный код программ

Elk Cloner, 1982

На заре персональных компьютеров в начале восьмидесятых для многих уже не составляло труда представить программный аналог человеческих вирусов, которые могут поражать электронный организм и выводить его из строя. Сама концепция вируса как небольшой программы, распространяемой через дискеты, была описана в мартовском номере журнала Scientific American за 1985 год. Там же некий подросток Ричард Скрента-младший рассказывал, какой он видит программу, которая скрывалась бы среди системных файлов и вызывала необъяснимые сбои в работе компьютера. Однако Скрента почему-то не упомянул, что это не просто гипотетические рассуждения: за несколько лет до этого, в 1982-м, он собственноручно написал первый в мире широко известный компьютерный вирус-червь Elk Cloner. Зараза поражала машины Apple II и распространялась через дискеты.

Строго говоря, это был не вирус, а именно червь, поскольку Elk Cloner представлял собой независимую программу, не внедрявшуюся в какие-то другие файлы. Червь не причинял машине особого вреда, за исключением того, что при 50-й загрузке после заражения выводил на экран глупый стишок «Эрик Клонер — программа с личностью». Проблема была лишь в том, что поскольку тогда не существовало антивирусных пакетов, то Elk Cloner приходилось вручную удалять из загрузочного сектора винчестера. Сегодня Ричард Скрента известен как создатель поисковой системы Blekko.

Глобализация проблемы вирусов

Начиная с 1990 года проблема вирусов начинает принимать глобальный размах.

В начале года выходит первый полиморфный вирус — Chameleon. Данная технология была быстро взята на вооружение и в сочетании со стелс-технологией (Stealth) и бронированием (Armored) позволила новым вирусам успешно противостоять существующим антивирусным пакетам. Во второй половине 1990 года появились два стелс-вируса — Frodo и Whale. Оба вируса использовали крайне сложные стелс-алгоритмы, а 9-килобайтный Whale к тому же применял несколько уровней шифровки и антиотладочных приёмов.

В Болгарии открывается первая в мире специализированная BBS, с которой каждый желающий может скачать свежий вирус. Начинают открываться конференции Usenet по вопросам написания вирусов. В этом же году выходит «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига.

На проблему противостояния вирусам были вынуждены обратить внимание крупные компании — выходит Symantec Norton Antivirus.

Начало 1991 года отмечено массовой эпидемией полиморфного загрузочного вируса Tequila. Летом 1991 появился первый link-вирус, который сразу же вызвал эпидемию.

1992 год известен как год появления первых конструкторов вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а также готовых полиморфных модулей (MtE, DAME и TPE) и модулей шифрования. Начиная с этого момента, каждый программист мог легко добавить функции шифрования к своему вирусу. Кроме того, в конце 1992 появился первый вирус для Windows 3.1 — WinVer.

В 1993 году появляется всё больше вирусов, использующих необычные способы заражения файлов, проникновения в систему и т. д. Основными примерами являются: PMBS, работающий в защищённом режиме процессора Intel 80386. Shadowgard и Carbuncle, значительно расширившие диапазон алгоритмов компаньон-вирусов. Cruncher — использование принципиально новых приёмов сокрытия своего кода в заражённых файлах.

Выходят новые версии вирусных генераторов, а также появляются новые (PC-MPC и G2). Счёт известных вирусов уже идёт на тысячи. Антивирусные компании разрабатывают ряд эффективных алгоритмов для борьбы с полиморфными вирусами, однако сталкиваются с проблемой ложных срабатываний.

В начале 1994 года в Великобритании появились два крайне сложных полиморфик-вируса — SMEG.Pathogen и SMEG.Queeg. Автор вирусов помещал заражённые файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации. Автор вируса был арестован. В январе 1994 года появился Shifter — первый вирус, заражающий объектные модули (OBJ-файлы). Весной 1994 был обнаружено SrcVir, семейство вирусов, заражающих исходные тексты программ (C и Pascal). В июне 1994 года началась эпидемия OneHalf.

В 1995 году появляется несколько достаточно сложных вирусов (NightFall, Nostradamus, Nutcracker). Появляются первый «двуполый» вирус RMNS и BAT-вирус Winstart. Широкое распространение получили вирусы ByWay и DieHard2 — сообщения о заражённых компьютерах были получены практически со всего мира. В феврале 1995 года случился инцидент с beta-версией Windows 95, все диски которой оказались заражены DOS-вирусом Form.

Первые вирусные эпидемии

Очередным этапом развития вирусов считается 1987 год. К этому моменту получили широкое распространение сравнительно дешёвые компьютеры IBM PC, что привело к резкому увеличению масштаба заражения компьютерными вирусами. Именно в 1987 вспыхнули сразу три крупные эпидемии компьютерных вирусов.

Brain и Jerusalem

Первая эпидемия 1987 года была вызвана вирусом Brain (от англ.»мозг»), который был разработан братьями Амджатом и Базитом Алви в 1986 и был обнаружен летом 1987. По данным McAfee, вирус заразил только в США более 18 тысяч компьютеров. Программа должна была наказать местных пиратов, ворующих программное обеспечение у их фирмы. В программке значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил тысячи компьютеров по всему миру. Вирус Brain являлся также и первым стелс-вирусом — при попытке чтения заражённого сектора он «подставлял» его незаражённый оригинал.

В пятницу 13 мая 1988 сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом Jerusalem — в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии — сообщения о заражённых компьютерах поступали из Европы, Америки и Ближнего Востока.

Червь Морриса

Основная статья: Червь Морриса

В 1988 году Робертом Моррисом-младшим был создан первый массовый сетевой червь. 60 000-байтная программа разрабатывалась с расчётом на поражение операционных систем UNIX Berkeley 4.3. Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью ARPANET, и остаться там необнаруженным. Вирусная программа включала компоненты, позволяющие раскрывать пароли, имеющиеся в инфицированной системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса.

По самым скромным оценкам инцидент с червём Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов (в эту сумму, также, не совсем обосновано, включены затраты по доработке операционной системы). Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.

Червь Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя.

4 мая 1990 года суд присяжных признал Морриса виновным. Он был приговорён к условному заключению сроком на три года, 400 часам общественных работ и штрафу размером 10 тыс. долларов.

DATACRIME и AIDS

В 1989 году широкое распространение получили вирусы DATACRIME, которые начиная с 12 октября разрушали файловую систему, а до этой даты просто размножались. Эта серия компьютерных вирусов начала распространяться в Нидерландах, США и Японии в начале 1989 года и к сентябрю поразила около 100 тысяч ПЭВМ только в Нидерландах (что составило около 10 % от их общего количества в стране). Даже фирма IBM отреагировала на эту угрозу, выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе. Набор сигнатур мог дополняться и изменяться пользователем.

В 1989 году появился первый «троянский конь» AIDS. Вирус делал недоступной всю информацию на жёстком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой-то адрес». Автор программы был арестован в момент обналичивания чека и осуждён за вымогательство.

Также был создан первый вирус, противодействующий антивирусному программному обеспечению — The Dark Avenger. Он заражал новые файлы, пока антивирусная программа проверяла жёсткий диск компьютера.

Противодействие обнаружению

Во времена MS-DOS были распространены стелс-вирусы, перехватывающие прерывания для обращения к операционной системе. Вирус таким образом мог скрывать свои файлы из дерева каталогов или подставлять вместо заражённого файла исходную копию.

С широким распространением антивирусных сканеров, проверяющих перед запуском любой код на наличие сигнатур или выполнение подозрительных действий, этой технологии стало недостаточно

Скрытие вируса из списка процессов или дерева каталогов для того, чтобы не привлекать лишнее внимание пользователя, является базовым приёмом, однако для борьбы с антивирусами требуются более изощрённые методы. Для противодействия сканированию на наличие сигнатур применяется шифрование кода и полиморфизм

Эти техники часто применяются вместе, поскольку для расшифрования зашифрованной части вируса необходимо оставлять расшифровщик незашифрованным, что позволяет обнаруживать его по сигнатуре. Поэтому для изменения расшифровщика применяют полиморфизм — модификацию последовательности команд, не изменяющую выполняемых действий. Это возможно благодаря весьма разнообразной и гибкой системе команд процессоров Intel, в которой одно и то же элементарное действие, например сложение двух чисел, может быть выполнено несколькими последовательностями команд.

Также применяется перемешивание кода, когда отдельные команды случайным образом разупорядочиваются и соединяются безусловными переходами. Передовым фронтом вирусных технологий считается метаморфизм, который часто путают с полиморфизмом. Расшифровщик полиморфного вируса относительно прост, его функция — расшифровать основное тело вируса после внедрения, то есть после того, как его код будет проверен антивирусом и запущен. Он не содержит самого полиморфного движка, который находится в зашифрованной части вируса и генерирует расшифровщик. В отличие от этого, метаморфный вирус может вообще не применять шифрование, поскольку сам при каждой репликации переписывает весь свой код.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector