Время тихушников

В предыдущих статьях мы поговорили о легальных и не очень механизмах завладения вашей личной информацией в сети и способах защиты от этого. Сегодня я хочу обсудить еще одну опасность – компьютерные вирусы. За последние 30-40 лет они постепенно превратились из поделок энтузиастов, склонных к браваде, в профессиональный инструмент в руках тихих и не оставляющих следов экспертов по извлечению информации.

Я планирую посвятить компьютерным вирусам и защите от них несколько статей, но начнем с краткого описания истории появления и эволюции этих программ.

Джон фон Нейманн

Официальная история компьютерных вирусов началась в 1949 году с разработки выдающегося американского математика венгерского происхождения Джона фон Нейманна, основателя архитектуры современных процессоров. В конце 40х – начале 50х годов 20 века он предложил математическую теорию создания самовоспроизводящихся механизмов и программ – «cellreproducing automata».

теория фон Нейманна

Нейманн мечтал о создании роботов, которые бы сами, в отсутствие человека (например, на других планетах), создавали бы подобных себе роботов и модифицировали бы их программы для выполнения все более сложных задач.

Работая с теорией Нейманна другие трое математиков из Bell Laboratories – Роберт Моррис, Виктор Высоцкий и Мальколм Дуглас Макллрой создали игру «Дарвин», в которой «организмы», разработанные каждым из участников, должны были бороться с другими «организмами» за ресурсы памяти IBM 7090.

ibm 7090

Но время шло, и на смену большим транзисторным компьютерам, которые стояли только в государственных учреждениях и крупных компаниях, пришли первые портативные персональные устройства.

Именно в эту пору, в 1983 году, впервые появляется термин «компьютерный вирус». Его автором стал Фред Коган, студент Университета Южной Калифорнии, предложивший такое словосочетание в своей диссертации на тему самовоспроизводящихся программ.

Fred Cohen

Первое массовое заражение компьютеров произошло уже в 1986 году. Эпидемию вызвал вирус Brain, написанный двумя братьями из Пакистана, державшими магазин компьютерной техники и программ. Согласно официальной истории вирус они написали, чтобы отбить желание у покупателей скачивать пиратские версии их программ. После того, как достаточное количество зараженных дискет разошлось по миру, началась эпидемия. Первая дискета инфицировала персональный компьютер, а он, в свою очередь, все остальные дискеты.

компьютерный вирус Brain

Несмотря на нашумевшую в прессе историю с Brain, большинство людей все еще не воспринимали эту угрозу серьезно. Даже сам Питер Нортон, автор Norton Utilities, заявил в 1988 году в интервью журналу Insight Magazine, что компьютерные вирусы – это обычный городской миф, наподобие историй об аллигаторах, живущих в канализации Нью Йорка.

Однако, в этот же год случились сразу два события изменившие представления о компьютерной безопасности навсегда.  Аспирант Корнельского университета Роберт Морис создал программу, заразившую более 6000 компьютеров в том числе и компьютеры министерства обороны и НАСА.

robert morris

Его вирус вошел в историю, как Morris Worm. Это был первый вирус, распространявшийся через Интернет. За свое изобретение Моррис был осужден на 3 года и оштрафован.

В то же время неизвестный израильский программист создал вирус «Иерусалим», впервые запущенный 13 мая 1987 года. Этот вирус заражал все запускаемые файлы на компьютерах, а затем каждый раз, когда 13 число выпадало на пятницу, уничтожал их.

Впервые от этих вирусов серьезно пострадали крупные финансовые компании. Тогда угроза вирусного заражения стала понятна всем.

Дальнейшее развитие вирусов шло семимильными шагами. К концу 20 века технологии подарили нам вирусы, скрывающие свое тело от антивирусных программ (полиморфные вирусы), появились конструкторы вирусов, а также новые креативные пути заражения (макросы Word, ftp).

В 1999 производители антивирусного ПО фиксировали по одному новому вирусу в час, в 2000 году новый вирус появлялся каждые 3 минуты, а с 2004 года – раз в несколько секунд.

Со временем изменились и цели создания вирусов. Если в конце 80х и начале 90-х годов авторами вирусов были в основном энтузиасты, то к 2010 году производством вирусом стали заниматься профессионалы.

Появились первые программы-вымогатели:

  • Блокировщики окон и загрузки Windows,
  • Вирусы-шифровальщики, требующие плату за расшифровку
  • Вирусы-редиректоры на фишинговые сайты.

Вирусы стали не просто портить жизнь, они стали зарабатывать своим хозяевам деньги. Создание вирусов cтало индустрией со своим капиталом и инвестициями в новые разработки. В результате, современный вирус превратился из простой программы в комплексный технический продукт. Программисты научили вирус модифицироваться и изменять свое ядро, так, чтобы антивирусная программа не могла его распознать.

Вирус научился перехватывать обращения антивируса к зараженным файлам и секторам, и подставлять ему незараженные копии. Он может маскироваться под действие обычных приложений, и даже атаковать антивирус с целью выведения его из строя.

Изменился и путь инфицирования. Теперь заражение происходит не через дискеты, диски, флешки и даже не через почту. Сейчас главным источником инфекции служат зараженные веб-сайты. «Клиническая картина» вирусной инфекции тоже стала другой. Многие пользователи думают, что по каким-то внешним признакам работы компьютера (начнет зависать, тормозить) сумеют понять, что заразились и успеют принять меры. Увы, это в прошлом. Теперь большинство вредоносных программ специально созданы так, чтобы их присутствие не оставляло никаких следов.

Вы, может быть, читали, что в прошлом году компания Symantec (купившая у Нортона его детище) с интересом обнаружила вирус Backdoor.Regin, который уже как 6 лет к ряду собирал по всему миру (но преимущественно в России, Саудовской Аравии и Индии) персональные данные и пароли, а специалисты Symantec были о нем ни сном, ни духом.

Однако, эволюция технологий вирусов – не самое главное. Принципиально то, что изменилась цель. Теперь вирус приходит к вам не для того, чтобы испортить, а для того, чтобы поживиться. Сгодится все: пароли и аккаунты от социальных сетей и почты, данные ваших кредитных карт (защита операции по СМС не поможет, если будет инфицирован и привязанный к карте телефон), и даже личные фото.

Но это не все, что может захотеть вирус. Вам, наверное, доводилось слышать о научных проектах, к которым можно подключить свой персональный компьютер, чтобы он часть своих ресурсов отдавал на какие-нибудь полезные расчеты? Чаще всего это делают в интересах астрономии. Аналогичным образом ресурсы вашего компьютера, уже без вашего согласия, можно подчинить другим нуждам, например, для участия в DDOS атаке на DATA-центр банка или какой-нибудь компании. Как вам такая перспектива?

Зачем мне все это, у меня же антивирус?

Да, антивирус, возможно, даже комплекс Интернет-защиты, возможно, даже платный. Однако, любой, даже самый хороший антивирус имеет полное моральное право не устоять перед вирусом, атаковавшим ваш компьютер в «день 0», то есть в день своего рождения, так сказать. Его сигнатура появится в базе антивируса лишь через 3-4 дня, а до тех пор — «добро пожаловать».

Что же делать?

Главная угроза современного вируса в его скрытности. Прошли те времена, когда авторы вирусов чувствовали себя пиратами информационных морей, а всякий вирус вместо Веселого Роджера победно запускал какой-нибудь черный квадрат с надписью, что вы, дескать, заражены, дорогой товарищ.

пират

Теперь вирус – это виртуозный тихушник. Он может обмануть даже профессиональный антивирус, а вас обманет подавно. Например, вирус может попасть в ядро системы, и тогда уже никакой антивирус его оттуда не удалит, так как он будет думать, что вирус – это и есть часть ядра. Такие вирусы называются руткиты.

В следующих постах я планирую рассказать вам о том, как можно избежать этих проблем. А пока что – первая рекомендация. Скачайте в интернете с официальный страницы программу Dr.Web.CureIt. Она не требует инсталляции, работает параллельно с любыми антивирусами, и, главное, ищет и уничтожает руткиты. Это одноразовая программа, то есть вы ее скачиваете один раз, проверяете компьютер и удаляете.

Лучше всего запустить эту программу не из проверяемой системы, а «снаружи», с использованием live CD или ERD commander, но об этом в другой раз.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

2 комментария

по хронологии
по рейтингу сначала новые по хронологии
1

Михаил,
Прочел с удовольствием.
Вебкурит лежит на СДиске несколько лет... Как часто обновлять его?

Автор2

2-3 дня не критично, но лучше каждый раз как решил, что пришло время проверять систему.