1 Не много о вирусах Пт 19 Сен - 18:15
Fan Factory
Сержант
Первый компьютерный вирус появился более двадцати лет назад. С тех пор информационные угрозы постоянно менялись, становясь все сложнее. Сегодня большая часть вредоносного кода, в том числе разнообразные троянские программы, эксплойты, руткиты, спам и шпионское ПО, классические вирусы и черви, а также методы фишинговых атак разрабатываются специально для «захвата» компьютеров пользователей в целях получения денег незаконным путем. Возможности Интернета позволяют осуществлять атаки очень быстро, широкомасштабно или избирательно – в зависимости от желания авторов вредоносных программ или представителей криминального андеграунда, финансирующих их деятельность. Вредоносный код может быть вложен в почтовые сообщения, внедрен в пиратское программное обеспечение, размещен на веб-страницах, откуда он загружается троянскими программами, предварительно установленными на зараженных машинах. Масштаб проблемы неуклонно растет: сейчас антивирусные базы «Лаборатории Касперского» насчитывают более 570 500 записей1, и каждую неделю эта цифра увеличивается на 3 500 записей.
В любой сфере человеческой деятельности каждое новое поколение «стоит на плечах» своих предшественников –использует их наиболее успешные решения и старается проложить собственные пути. То же можно сказать и о вредоносных программах: с каждой следующей волной вредоносного кода общая картина угроз меняется до неузнаваемости.
Очевидно, что вместе с информационными угрозами также должны меняться и решения, направленные на борьбу с ними. В результате в наше время и «болезнь», и лекарства от нее сильно отличаются от тех, что существовали, когда вирусы только появились. Какие же факторы повлияли на развитие вредоносных программ? И как должны были совершенствоваться средства защиты, чтобы справляться с возникающими угрозами?
Первый компьютерный вирус Brain появился в 1986 году. Это был загрузочный вирус (подобные
вредоносные программы также называют бут-вирусами), т.е. вирус, изменяющий содержимое первого сектора гибкого диска. «Жизненный цикл» бут-вируса состоит из следующих этапов: код вируса выполняется и загружается в оперативную память при попытке загрузить компьютер с зараженной дискеты. При этом дискета не обязательно должна быть системной – подойдет любая. В большинстве случаев пользователи вообще не собираются загружаться с дискеты. Как правило, они просто забывают вынуть ее из дисковода, выключая компьютер, а затем не вспоминают про нее, включая компьютер на следующий день. Если в базовой системе ввода-вывода компьютера (BIOS) прописана загрузка с гибкого диска (как известно, в большинстве современных компьютеров дисковод для гибких дисков вообще не установлен), система распознает наличие дискеты в дисководе А и автоматически загружает код из ее загрузочного сектора, что в случае с инфицированной дискетой означает загрузку вируса. Когда же BIOS выдает сообщение об ошибке загрузочного диска и предлагает заменить его, пользователь понимает, что по ошибке пытался загрузиться с дискеты. Он вынимает зараженную дискету и продолжает работать, не подозревая о том, что только что произошло. Дальнейшее определяется тем, какая операционная система установлена на компьютере. Загрузочные вирусы заражают компьютер на уровне BIOS, до загрузки операционной системы, т.е. теоретически они не зависят от операционной системы1. Однако для того, чтобы остаться в оперативной памяти компьютера резидентно и затем распространиться на другие дискеты, вирусы используют системные вызовы DOS. Если же операционная система не поддерживает команды DOS, у вируса нет возможности загрузиться в оперативную память и заразить другие дискеты. С загрузочными вирусами эффективно справляются любые операционные системы, кроме DOS, Windows 3.x, устанавливаемой поверх DOS, и Windows 9x, которая иногда использует DOS для доступа к гибким дискам. В случае с другими операционными системами код вируса может причинить вред, только если он рассчитан на выполнение деструктивных действий на уровне BIOS, т.е. до начала загрузки операционной системы. Таков, например, вирус Michelangelо, который 6 марта, в день рождения Микеланджело, при включении компьютера изменяет первые секторы его жесткого диска.
Авторам загрузочных вирусов не приходилось применять методы социальной инженерии для распространения своих творений. От пользователя требовалось лишь забыть инфицированную дискету в дисководе. В период активного распространения загрузочных вирусов данные переносились с компьютера на компьютер, как правило, с помощью дискет. Рано или поздно зараженная дискета попадала к друзьям, коллегам или клиентам пользователя, и вирус продолжал распространяться.
В дальнейшем бут-вирусы совершенствовались: если Brain заражал только дискеты, то большинство его «потомков» разрабатывались в расчете на заражение также и жесткого диска. Как правило, это означало запись кода в сектор, содержащий системный загрузчик и таблицу разделов жесткого диска (Master Boot Record, или MBR). Некоторые вирусы – например, Form – заражали только загрузочный сектор жесткого диска, другие – такие, как Purcyst – инфицировали и MBR, и загрузочный сектор.
В любой сфере человеческой деятельности каждое новое поколение «стоит на плечах» своих предшественников –использует их наиболее успешные решения и старается проложить собственные пути. То же можно сказать и о вредоносных программах: с каждой следующей волной вредоносного кода общая картина угроз меняется до неузнаваемости.
Очевидно, что вместе с информационными угрозами также должны меняться и решения, направленные на борьбу с ними. В результате в наше время и «болезнь», и лекарства от нее сильно отличаются от тех, что существовали, когда вирусы только появились. Какие же факторы повлияли на развитие вредоносных программ? И как должны были совершенствоваться средства защиты, чтобы справляться с возникающими угрозами?
Первый компьютерный вирус Brain появился в 1986 году. Это был загрузочный вирус (подобные
вредоносные программы также называют бут-вирусами), т.е. вирус, изменяющий содержимое первого сектора гибкого диска. «Жизненный цикл» бут-вируса состоит из следующих этапов: код вируса выполняется и загружается в оперативную память при попытке загрузить компьютер с зараженной дискеты. При этом дискета не обязательно должна быть системной – подойдет любая. В большинстве случаев пользователи вообще не собираются загружаться с дискеты. Как правило, они просто забывают вынуть ее из дисковода, выключая компьютер, а затем не вспоминают про нее, включая компьютер на следующий день. Если в базовой системе ввода-вывода компьютера (BIOS) прописана загрузка с гибкого диска (как известно, в большинстве современных компьютеров дисковод для гибких дисков вообще не установлен), система распознает наличие дискеты в дисководе А и автоматически загружает код из ее загрузочного сектора, что в случае с инфицированной дискетой означает загрузку вируса. Когда же BIOS выдает сообщение об ошибке загрузочного диска и предлагает заменить его, пользователь понимает, что по ошибке пытался загрузиться с дискеты. Он вынимает зараженную дискету и продолжает работать, не подозревая о том, что только что произошло. Дальнейшее определяется тем, какая операционная система установлена на компьютере. Загрузочные вирусы заражают компьютер на уровне BIOS, до загрузки операционной системы, т.е. теоретически они не зависят от операционной системы1. Однако для того, чтобы остаться в оперативной памяти компьютера резидентно и затем распространиться на другие дискеты, вирусы используют системные вызовы DOS. Если же операционная система не поддерживает команды DOS, у вируса нет возможности загрузиться в оперативную память и заразить другие дискеты. С загрузочными вирусами эффективно справляются любые операционные системы, кроме DOS, Windows 3.x, устанавливаемой поверх DOS, и Windows 9x, которая иногда использует DOS для доступа к гибким дискам. В случае с другими операционными системами код вируса может причинить вред, только если он рассчитан на выполнение деструктивных действий на уровне BIOS, т.е. до начала загрузки операционной системы. Таков, например, вирус Michelangelо, который 6 марта, в день рождения Микеланджело, при включении компьютера изменяет первые секторы его жесткого диска.
Авторам загрузочных вирусов не приходилось применять методы социальной инженерии для распространения своих творений. От пользователя требовалось лишь забыть инфицированную дискету в дисководе. В период активного распространения загрузочных вирусов данные переносились с компьютера на компьютер, как правило, с помощью дискет. Рано или поздно зараженная дискета попадала к друзьям, коллегам или клиентам пользователя, и вирус продолжал распространяться.
В дальнейшем бут-вирусы совершенствовались: если Brain заражал только дискеты, то большинство его «потомков» разрабатывались в расчете на заражение также и жесткого диска. Как правило, это означало запись кода в сектор, содержащий системный загрузчик и таблицу разделов жесткого диска (Master Boot Record, или MBR). Некоторые вирусы – например, Form – заражали только загрузочный сектор жесткого диска, другие – такие, как Purcyst – инфицировали и MBR, и загрузочный сектор.