Берегитесь

Автор вируса

Чэнь Инхао родился 25 августа, 1975 года, Тайвань.

Чэнь написал CIH во время учёбы в университете Датун (Tatung) в Тайбэе. Когда Чэнь создал вирус, он получил серьёзный выговор от университета.

Узнав, что вирус стал широко распространённым, он занервничал. Некоторые его одноклассники настоятельно советовали ему не признаваться в создании вируса, однако он сам был уверен, что при наличии достаточного запаса по времени эксперты по безопасности смогут его вычислить. Поэтому еще до окончания университета он написал официальное извинение в Интернете, в котором он публично попросил прощения у жителей Китая, компьютеры которых пострадали. Из-за воинской повинности Чэнь пошёл служить. Согласно тайваньским законам тех времён он не нарушил никаких законов и он никогда не привлекался к уголовной ответственности за создание этого вируса. В настоящее время Чэнь работает в Gigabyte.

Психологические сигналы симптомов коронавирусной инфекции

По Синельникову психологической причиной кашля является зажатый внутренний крик, невозможность ответить, высказаться.


Кашель может играть фунцию социального дистанцирования, сохраняя при этом отношения. Недовольство другими поглощается кашлем и вербально высказывается только одобрение.

У Луизы Хей кашель котируется выше. Кашель вызывается желанием повелевать миром.

Аффирмация Луизы на кашель:

Лиз Бурбо – следует рассматривать психологические причины тех болезней, которым сопутствует кашель (грипп, астма и т.д.). Собственно частый кашель без причин – признак того, что человек легко раздражается.

Луиза Хей: лихорадка происходит от злости и вспышек гнева. Аффирмация Луизы на этот случай:

Лиз Бурбо: Лихорадка – признак накопившего гнева. Если температура сопровождается ознобом – значит внутренний конфликт еще не разрешен. Появление ощущения тепла или жара – признак того, что гнев вышел наружу.

Кроме гнева температуру может вызвать страсть человека к своему делу. То есть, если он с ЖАРОМ делает что-то, то ЖАР одолевает его и изнутри – эта непосредственная аналогия целиком на совести Лиз Бурбо.

были рассмотрены в психосоматике пневмонии.

В целом, избегайте стресса!

И конечно же, сохраняя здравый смысл, соблюдаем все рекомендуемые меры по профилактике инфекции 2019n-CoV. Ведь психосоматика коронавируса это не способ 100% застраховаться от него при контакте с уханьским вирусом. Это способ уменьшить риск заболеть.

Description

Brain affects the IBM PC by replacing the boot sector of a floppy disk with a copy of the virus. The real boot sector is moved to another sector and marked as bad. Infected disks usually have five kilobytes of bad sectors. The disk label is usually changed to Brain, and the following text can be seen in infected boot sectors:

Welcome to the Dungeon (c) 1986 Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today - Thanks GOODNESS!!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages....$#@%$@!!

There are many minor and major variations to that version of the text. The virus slows down the floppy disk drive and makes seven kilobytes of memory unavailable to DOS. Brain was written by Amjad Farooq Alvi and Basit Farooq Alvi, who at the time lived in Chah Miran, near Lahore Railway Station, in Lahore, Pakistan. The brothers told TIME magazine they had written it to protect their medical software from piracy, and it was supposed to target copyright infringement only. The cryptic message «Welcome to the Dungeon», a safeguard and reference to an early programming forum on Dungeon BBS, appeared after a year because the brothers licensed a beta version of the code. The brothers could not be contacted to receive the final release of this version of the program.

Brain lacks code for dealing with hard disk partitioning, and avoids infecting hard disks by checking the most significant bit of the BIOS drive number being accessed. Brain does not infect the disk if the bit is clear, unlike other viruses at the time, which paid no attention to disk partitioning and consequently destroyed data stored on hard disks by treating them in the same way as floppy disks. Brain often went undetected, partially due to this deliberate non-destructiveness, especially when the user paid little to no attention to the low speed of floppy disk access.

The virus came complete with the brothers’ address and three phone numbers, and a message that told the user that their machine was infected and to call them for inoculation:

Welcome to the Dungeon 1986 Basit & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM
BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS…. Contact us for vaccination…

This program was originally used to track a heart monitoring program for the IBM PC, and pirates were distributing illicit copies of the disks. This tracking program was supposed to stop and track illegal copies of the disk, however the program also sometimes used the last five kilobytes on an Apple floppy, making additional saves to the disk by other programs impossible.

Brain, 1986

Первым получившим заметное распространение вирусом для компьютеров на платформе IBM PC стал Brain, появившийся в 1986 году и представший собой рекламу пакистанской компьютерной мастерской, которая изъявляла готовность «излечить» от этого вируса. На экран выводилось соответствующее сообщение:

«(С) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES LAHORE-PAKISTAN Beware of this VIRUS…. Contact us for vaccination».

Трудно сказать, насколько прибавилось клиентуры у создателей Brain, но в западной прессе началась настоящая паника. У некоторых даже сложилось впечатление, что компьютеры способны заражать вирусами человека.


При этом сами вирусы становились всё менее безобидными: некоторые из них стали стирать начальные дорожки и первые сектора на жёстких дисках, разрушая загрузочные данные и важную информацию о файлах. «Лечение» было возможным, но чрезвычайно сложным процессом, поэтому в большинстве случаев пострадавшим приходилось заново форматировать диск, теряя все сохранившиеся данные.

Классификация и способы распространения

Основной признак различия между сетевыми червями — это способ, посредством которого они распространяются по удаленным компьютерам. Выделяют две группы таких механизмов.

К первой группе относятся способы, использующие ошибки администрирования и уязвимости в ПО. Вредоносные агенты в автоматическом режиме выбирают целевые машины и атакуют их.

  • Репликация через сеть. Червь находит удаленные ПК и воспроизводит себя в разных каталогах, где можно осуществлять запись. Поиск каталогов выполняется с помощью функций операционной системы. Возможны попытки открыть общий сетевой доступ к дискам зараженного компьютера.
  • Репликация через уязвимости операционной системы, программ и приложений. Черви ищут машины с уязвимым ПО и отправляют запрос либо сетевой пакет для эксплуатации изъянов, обеспечивая попадание произвольного кода в машину жертвы.
  • Репликация через ресурсы общего пользования. Червь попадает на сервер, изменяет файлы и ожидает, пока пользователь их загрузит и запустит уже на своем компьютере.
  • Паразитирование на других вредоносных программах. Например, червь находит ПК, который уже заражен бекдором, и использует этот хакерский инструмент для собственного распространения.

Вторую группу механизмов распространения составляет социальная инженерия. В результате психологического манипулирования пользователь сам запускает вредоносный объект. Представителями этой группы являются:

  • Почтовые черви (Email-Worm) — рассылаются по сети в виде приложений к сообщениям электронной почты. Это может быть копия самого червя или ссылка на файл, размещенный на вредоносном веб-ресурсе. Для активации полученного кода нужно открыть полученный файл или нажать на ссылку для перехода; впрочем, в истории киберпреступности известны и случаи, когда достаточно было просто открыть полученное письмо. Адреса, куда будут отправлены копии червя, берутся из адресной книги почтового клиента, из базы WAB и прочих файлов, имеющихся на диске. 
  • IM-черви (IM-Worm) — вредоносные объекты, которые пользуются службами мгновенного обмена сообщениями. Они во многом похожи на почтовых червей, отличаясь главным образом тем, что рассылают файлы или ссылки по списку контактов в мессенджере, а не по базе почтовых адресов.
  • IRC-черви (IRC-Worm) — разновидность червей, распространяющаяся по чат-каналам.
  • Черви для файлообменных сетей (Р2Р-Worm) — вредоносные программы, которые распространяются через торрент-трекеры и другие подобные сервисы. Копия червя внедряется в каталог обмена файлами, находящийся на локальном устройстве, под видом популярного контента.
  • Сетевые черви (Network Worm или Net-Worm) — общее название для объектов, проникающих в систему через локальную сеть.

Макровирус Concept, 1995

С началом девяностых жёсткие диски значительно подешевели, а их ёмкость заметно увеличилась, поэтому дискеты использовались уже не так широко — и вирусописателям потребовались новые способы распространения. Одним из таких переносчиков стали файлы Microsoft Office как одного из самых популярных программных пакетов. Поскольку Office включал в себя встроенное средство автоматизации для создания макросов — язык Microsoft Visual Basic for Applications (VBA), — именно он и стал использоваться для написания нового типа зловредов — «макровирусов».

Фокус заключался в том, чтобы внедрить код в шаблон документа, который загружается всякий раз при запуске, например, редактора Word. Оказавшись в памяти, зловредный код записывает себя в любой документ, открываемый или создаваемый в программе. И если затем этот документ открыть на другом компьютере, то он тоже немедленно заразится. На тот момент у VBA был доступ ко всей файловой системе диска, поэтому вирусы могли с лёгкостью изменять или даже удалять любые пользовательские файлы, что нередко и происходило.

Первым макровирусом считается появившийся в 1995 году Concept, а поскольку антивирусные программы были не готовы к такой угрозе, он быстро получил широчайшее распространение. Сам вирус не причинял никакого вреда, но выводил простое замечание, призванное показать огромный потенциал подобного ПО:

«Sub MAIN REM That’s enough to prove my point End Sub».

Несмотря, однако, на благие намерения автора оригинального Concept, очень скоро появились его неприятные модификации; некоторые из них, например, запароливали доступ к случайным документам. К концу девяностых годов макровирусы стали самым популярным типом компьютерных вирусов. Но потом появился общедоступный массовый интернет, и история приобрела иное направление.

Author response

When the brothers began to receive a large number of phone calls from people in the United Kingdom, the United States, and elsewhere, demanding that they disinfect their machines, they were stunned and tried to explain to the outraged callers that their motivation had not been malicious. Their phone lines were overloaded. The brothers, with another brother, Shahid Farooq Alvi, are still in business in Pakistan, as Brain NET Internet service providers with a company called Brain Telecommunication Limited.

In 2011, 25 years after Brain was released, Mikko Hyppönen of F-Secure traveled to Pakistan to interview Amjad for a documentary. Being inspired by this documentary and its wide spread, a group of Pakistani bloggers interviewed Amjad, under the banner of Bloggerine.

ILOVEYOU, 2000

Известный вирус, «признававшийся в любви», был написан в 2000 году филиппинцами Рамонесом и Гузманом и нанёс мировой экономике ущерб в размере около $10–15 млрд, за что и попал в Книгу рекордов Гиннесса как самый разрушительный вирус на тот момент. При этом его создатели, которые впоследствии предстали перед судом, не понесли никакого наказания, поскольку тогдашнее законодательство Филиппин вообще не предусматривало ответственности за написание вредоносного программного обеспечения.

ILOVEYOU использовал ту же схему почтового распространения, что и Melissa, а сообщение гласило: «Пожалуйста, посмотри приложенное ПИСЬМО ЛЮБВИ от меня». Однако во вложении находился уже не документ Word, а замаскированный под текстовый файл скрипт с двойным расширением LOVE-LETTER-FOR-YOU.TXT.vbs. И если пользователь видел расширение TXT, то VBS по умолчанию скрывалось, как расширение скрытых системных файлов. В свою очередь, сценарии VBS исполнялись с помощью компонента Windows Scripting Host, который имел практически полный доступ к системе и был включён по умолчанию.

В отличие от предшественников, ILOVEYOU не только рассылался по всем контактам Outlook, но и вёл себя как настоящий троянец, пытаясь похитить все найденные пароли и отослать их на некий почтовый ящик. Кроме того, он удалял случайные файлы изображений и MP3, заменяя их фальшивыми файлами с копией вирусного кода, подменял системные файлы, прописывался в реестре и размножался с каждой перезагрузкой Windows.

Вирус Anna Kournikova, появившийся годом позже, использовал ту же технику маскировки расширения вложения: вместо фотографии известной теннисистки жертва получала очередной зловредный сценарий.

Профилактика и лечение


В настоящий момент существует множество антивирусных программ, используемых для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут справиться с новейшими разработками

Поэтому следует придерживаться некоторых мер предосторожности, в частности:

Не работать под привилегированными учётными записями без крайней необходимости (учётная запись администратора в Windows). Не запускать незнакомые программы из сомнительных источников. Стараться блокировать возможность несанкционированного изменения системных файлов. Отключать потенциально опасную функциональность системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.). Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя. Пользоваться только доверенными дистрибутивами. Постоянно делать резервные копии важных данных, желательно на носители, которые не стираются (например, BD-R) и иметь образ системы со всеми настройками для быстрого развёртывания. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

Рекомендации ВОЗ по снижению риска заражения вирусом 2019-nCoV:

  • мыть руки с мылом или спиртосодержащим дезинфицирующим средством,
  • избегать тесного контакта с людьми, у которых кашель или высокая температура тела,
  • если есть следующие симптомы: лихорадка, кашель, трудности с дыханием обратиться к врачу и поставить его в известность, где вы до этого были,
  • прикрывать при кашле или чихании нос и рот согнутым локтём или одноразовой салфеткой с последующим обязательным мытьём рук,
  • избегать употребления в пищу сырых или термически не обработанных должным образом продуктов животного происхождения.

стараться не касаться руками слизистых оболочек глаз, носа и рта;

проводить влажную уборку с дезинфицирующими средствами.

Elk Cloner

В конце концов, друзья Скренты перестали давать ему свои дискеты и одалживать какие-либо у него. Но вундеркинда это не остановило. В то время Apple была совсем другой компанией, находясь гораздо ближе к Raspberry Pi, чем к Macbook Pro. Скрента штудировал инструкции, ища дыры в системе Apple II. В конце концов он разработал способ, с помощью которого код попадал в игры даже в обход диска.

Вирус провоцировал мелкие незаметные ошибки, но после 50-й загрузки, вместо запуска программы, выводил на экран стишок:

“Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes, it’s Cloner! It will stick to you like glue It will modify RAM too Send in the Cloner!”

Результат оказался не самым приятным: Elk Cloner проник в систему своего учителя по математике. Преподаватель был очень расстроен, и, подозревая Скренту, обвинил ученика в проникновении в его кабинет.

Вирус подцепили кузены Скренты в Балтиморе (сам Ричард жил в Питтсбурге), а через несколько лет Elk Cloner заразил компьютер какого-то моряка из военно-морского флота США. Несколькими годами позже, когда на смену Elk Cloner пришли более зловредные вирусы, о нем вспоминали как об относительно безобидном.

Payload

When an infected disk is booted, the Brain virus will run with it. The virus will hook the INT 13h interrupt, used for writing and reading to the disks. The virus installs itself into the memory and takes up memory in the range of 3-7 kilobytes. It does not infect the hard disk, but will infect any other floppy disk accessed while it is in memory. The disks can be infected by being accessed in any way. The virus then stores the original boot sector and six extension sectors containing the main body of the virus in the disk’s available sectors, which are then flagged as bad (to not be suspicious). Infected disks will have 3 kilobytes or more of bad sectors, as most usually have none or as many as 5 kilobytes of genuinely bad sectors. It renames the disk’s volume label with «(c)brain».

The virus has stealth capabilities, because any time infected sectors are accessed, the accessing program will be redirected to the stored original boot sector. This is a result of the INT 13h hooking. An early disk utility such as PC Tools, Norton Utilities or PC Medic would be unable to see the virus.

Brain carries a message that is never displayed, but can be seen with a binary editor in every infected disk:

This virus can be deleted by another virus, Denzuko, another boot malware.


Use MDisk, F-Prot, NAV, or DOS SYS command.

The virus does no intentional damage, although it may slow down disk access and cause timeouts, which can make some disks unusable. The first problems with the virus were not reported until about a year later. In 1987, computer users at the University of Delaware reported seeing the (c)Brain label on their disks. 100 machines were infected at the Providence Journal-Bulletin in 1988. One reporter, Froma Joselow, claimed to have lost several months of work contained on a floppy disk (hard to imagine today, but quite possible, given the size of files in 1988).

Первые вирусы

Появление первых компьютерных вирусов зачастую ошибочно относят к 1970-м и даже 1960-м годам. Обычно упоминаются как «вирусы» такие программы, как ANIMAL, Creeper, Cookie Monster и Xerox worm.

ELK CLONER

Основная статья: Elk Cloner

В 1981 году Ричард Скрента написал один из первых загрузочных вирусов для ПЭВМ Apple II — ELK CLONER. Он обнаруживал своё присутствие сообщением, содержащим небольшое стихотворение:

  ELK CLONER:
  THE PROGRAM WITH A PERSONALITY
  IT WILL GET ON ALL YOUR DISKS
  IT WILL INFILTRATE YOUR CHIPS
  YES, IT'S CLONER
  IT WILL STICK TO YOU LIKE GLUE
  IT WILL MODIFY RAM, TOO
  SEND IN THE CLONER!

Джо Деллинджер

Другие вирусы для Apple II были созданы студентом Техасского университета A&M Джо Деллинджером в 1981 году. Они были рассчитаны на операционную систему Apple DOS 3.3 для этой ПЭВМ. Вторая версия этого вируса «ускользнула» от автора и начала распространяться по университету. Ошибка в вирусе вызывала подавление графики популярной игры под названием CONGO, и в течение нескольких недель все («пиратские») копии этой игры перестали работать. Для исправления ситуации автор запустил новый, исправленный вирус, предназначенный для «замещения» предыдущей версии. Обнаружить вирус можно было по наличию в памяти счётчика заражений: «(GEN 0000000 TAMU)», по смещению $B6E8, или в конце нулевого сектора заражённого диска.

Статья Фреда Коэна

В сентябре 1984 года была опубликована статья Ф. Коэна, в которой автор исследовал разновидность файлового вируса. Это первое академическое исследование проблемы вирусов. Термин «вирус» был предложен научным руководителем Коэна Леном Эдлманом, однако именно Коэна принято считать автором термина «компьютерный вирус».

Грязная дюжина

В 1985 году Том Нефф (англ. Tom Neff) начал распространять по различным BBS список «Грязная дюжина — список опасных загружаемых программ» (англ. The Dirty Dozen — An Unloaded Program Alert List), в котором были перечислены известные на тот момент программы-вандалы. В дальнейшем этот список, включающий большинство выявленных троянских программ и «взломанные» или переименованные копии коммерческого программного обеспечения для MS-DOS, стал широко известен под кратким названием «грязная дюжина» (англ. dirty dozen).

Первые антивирусы

Первые антивирусные утилиты появились зимой 1984 года. Энди Хопкинс (англ. Andy Hopkins) написал программы CHK4BOMB и BOMBSQAD. CHK4BOMB позволяла проанализировать текст загрузочного модуля и выявляла все текстовые сообщения и «подозрительные» участки кода (команды прямой записи на диск и др.). Благодаря своей простоте (фактически использовался только контекстный поиск) и эффективности CHK4BOMB получила значительную популярность. Программа BOMBSQAD.COM перехватывает операции записи и форматирования, выполняемые через BIOS. При выявлении запрещённой операции можно разрешить её выполнение.

Первый резидентный антивирус

В начале 1985 года Ги Вонг (англ. Gee Wong) написал программу DPROTECT — резидентную программу, перехватывающую попытки записи на дискеты и винчестер. Она блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.

Объект воздействия

Объектом воздействия сетевых червей являются ПК, ноутбуки, планшеты любых пользователей. Так как основной целью такого вредоносного агента является создание копий самого себя с их последующим распространением на другие устройства по сети, последствия работы червя могут быть следующими:

  • замедленная работа компьютера,
  • уменьшение места на жестком диске и объема свободной оперативной памяти,
  • возникновение посторонних файлов,
  • проблемы с работой какой-либо программы или приложения,
  • появление ошибок, внезапное выключение машины, самопроизвольная перезагрузка,
  • потеря данных.

В 2003 году червь SQL Slammer, рассылая множество сетевых пакетов, остановил работу десятков тысяч серверов в разных странах мира. В 2017 году этот вредоносный объект заработал снова. О том, какая опасность подстерегает пользователей, можно узнать из статьи «Check Point: Сетевой червь SQL Slammer возобновил свою активность».

Описание

Заражение компьютера происходило путём записи копии вируса в загрузочный сектор дискеты. Старая информация переносилась в другой сектор и помечалась как «». Метка тома изменялась на «Brain», а в загрузочном секторе отображался следующий текст:

Welcome to the Dungeon (c) 1986 Basit & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today — Thanks GOODNESS!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages….$#@%$@!!

Вирус замедлял работу дискеты и делал 7 килобайт памяти недоступными для DOS. Brain был написан пакистанцами Базитом и Амжадом Фарук Альви, жившими в то время в Лахоре. В интервью журналу TIME они сказали, что вирус был написан для защиты их медицинского программного обеспечения от компьютерного пиратства и предназначался только для защиты их авторского права.

Brain «не умел» работать с разделами жёстких дисков, поэтому в него была встроена проверка, не позволявшая ему заражать жёсткий диск

Это отличает его от многих вирусов того времени, которые не обращали внимание на разделы, что приводило к уничтожению данных. Благодаря относительной «миролюбивости» вирус часто оставался незамеченным, особенно, когда пользователь не обращал внимание на замедление работы дискет.

Вирус также содержал сообщение с адресом, контактными телефонами создателей и предупреждением о заражении:

Welcome to the Dungeon 1986 Basit & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS…. Contact us for vaccination…

Виды червей

В зависимости от путей проникновения в операционную систему черви делятся на:

  • Почтовые черви (Mail-Worm) — черви, распространяющиеся в формате сообщений электронной почты. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.
  • IM черви (IM-Worm) — черви, использующие интернет-пейджеры. Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.
  • P2P черви (P2P-Worm) — черви, распространяющееся при помощи пиринговых (peer-to-peer) файлообменных сетей. Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера. Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.
  • Черви в IRC-каналах (IRC-Worm). У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).
  • Сетевые черви (Net-Worm) — прочие сетевые черви, среди которых имеет смысл дополнительно выделить интернет-черви и LAN-черви
    • Интернет черви — черви, использующие для распространения протоколы Интернет. Преимущественно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов TCP/IP
    • LAN-черви — черви, распространяющиеся по протоколам локальных сетей

Формальное определение

Нет общепринятого определения вируса. В академической среде термин был употреблён Фредом Коэном в его работе «Эксперименты с компьютерными вирусами», где он сам приписывает авторство термина Леонарду Адлеману.

Формально вирус определён Фредом Коэном со ссылкой на машину Тьюринга следующим образом:

M : (SM, IM, OM : SM x IM > IM, NM : SM x IM > SM, DM : SM x IM > d)

с заданным множеством состояний SM, множеством входных символов IM и отображений (OM, NM, DM), которая на основе своего текущего состояния s ∈ SM и входного символа i ∈ IM, считанного с полубесконечной ленты, определяет: выходной символ o ∈ IM для записи на ленту, следующее состояние машины s’ ∈ SM и движения по ленте d ∈ {-1,0,1}.

Для данной машины M последовательность символов v : vi ∈ IM может быть сочтена вирусом тогда и только тогда, когда обработка последовательности v в момент времени t влечёт за собой то, что в один из следующих моментов времени t последовательность v′ (не пересекающаяся с v) существует на ленте, и эта последовательность v′ была записана M в точке t′, лежащей между t и t″:

∀ CM ∀ t ∀ j:
SM(t) = SM ∧
PM(t) = j ∧
{ CM(t, j) … CM(t, j + |v| - 1)} = v ⇒
∃ v' ∃ j' ∃ t' ∃ t":
t < t" < t' ∧
{j' … j' +|v'|} ∩ {j … j + |v|} = ∅ ∧
{ CM(t', j') … CM(t', j' + |v'| - 1)} = v' ∧
PM(t") ∈ { j' … j' + |v'| - 1 }

где:

  • t ∈ N число базовых операций «перемещения», осуществлённых машиной
  • PMN номер позиции на ленте машины в момент времени t
  • SM начальное состояние машины
  • CM(t, c) содержимое ячейки c в момент времени t

Данное определение было дано в контексте вирусного множества VS = (M, V) — пары, состоящей из машины Тьюринга M и множества последовательностей символов V: v, v’ ∈ V. Из данного определения следует, что понятие вируса неразрывно связано с его интерпретацией в заданном контексте, или окружении.

Фредом Коэном было показано, что «любая самовоспроизводящаяся последовательность символов: одноэлементный VS, согласно которой существует бесконечное количество VS, и не-VS, для которых существуют машины, по отношению к которым все последовательности символов является вирусом, и машин, для которых ни одна из последовательностей символов не является вирусом, даёт возможность понять, когда любая конечная последовательность символов является вирусом для какой-либо машины». Он также приводит доказательство того, что в общем виде вопрос о том, является ли данная пара (M, X) : Xi ∈ IM вирусом, неразрешим (то есть не существует алгоритма, который мог бы достоверно определить все вирусы) теми же средствами, которыми доказывается неразрешимость проблемы остановки.

Другие исследователи доказали, что существуют такие типы вирусов (вирусы, содержащие копию программы, улавливающей вирусы), которые не могут быть безошибочно определены ни одним алгоритмом.

Что дальше?

Несмотря на то что периодически появляются сообщения о тех или иных компьютерных вирусах, вот уже несколько лет нет никаких громких эпидемий с катастрофическими последствиями. Сегодня главная угроза для домашних пользователей — это прежде всего «трояны», превращающие компьютер в «боевую единицу» бот-сетей и похищающие разного рода личные данные. Для веб-серверов — это всё те же DDoS-атаки, но организованные уже на принципиально ином уровне, с помощью управляемых сетей ботов.

Почему почти сошли на нет «обычные» вирусы? Во-первых, в Microsoft всерьёз озаботились безопасностью на уровне как серверного, так пользовательского ПО, так что даже Windows XP с Service Pack 3 можно считать довольно безопасной по сегодняшним меркам операционной системой.

Во-вторых, как ни странно, за последние годы выросла «сознательность пользователей», которые понимают, что для работы в интернете обязательно нужно установить антивирусный софт. Забавно, что этим начали пользоваться и сами вирусописатели, пытающиеся распространять своё творчество под видом антивирусов.

Наконец, есть и чисто техническая разница: если до самого начала двухтысячных большинство пользователей выходило в интернет напрямую через модемы, то сегодня практически все домашние и корпоративные машины подключаются к Сети через маршрутизаторы и коммутаторы, которые выступают в качестве брандмауэров и предотвращают в том числе и случайное заражение.

Тем не менее пользователи Windows, как и раньше, остаются самой атакуемой группой — просто потому, что эта операционная система занимает львиную долю рынка. Между тем участились атаки и на машины под управлением OS X, хотя их доля выросла несущественно. И ещё один объект пристального внимания вирусописателей — это мобильные ОС, которых просто не существовало десять лет назад. Речь прежде всего об Android и iOS, которые по числу активных пользователей уже легко поспорят с традиционными «настольными» операционками. И если пока число вирусов для Android не слишком велико, то в обозримом будущем их может оказаться намного больше, чем для той же Windows.


С этим читают