 |
Компьютер в бухгалтерском учете и аудите 2000'4
|
|
|
Компания «ДиалогНаука»
Компьютерные вирусы: итоги
тысячелетия
Опытные ораторы хорошо знают, что
лучше всего запоминается последний тезис,
последний аргумент, последний штрих. Это
правило легко обобщается: прекрасный
отпуск может быть испорчен многочасовым
ожиданием самолета при возвращении домой,
проблемами с багажом, наглым таможенником,
грубым таксистом... Но обобщения могут быть
и более масштабными. Прощаясь с уходящим
тысячелетием, мы, увы, забираем с собой в
новое сотни проблем – больших и маленьких,
серьезных и не очень. И какие бы проблемы ни
волновали десятки поколений наших предков,
мы забираем с собой свои проблемы, те, что
возникли в последние десятилетия и годы.
Одной из таких проблем, с которой
компьютерщики встретят первое января 2001
года, является проблема компьютерных
вирусов. Этой напасти всего-то чуть больше
десяти лет от роду (да и самим компьютерам
немногим больше), но сколько же труда,
нервов, денег было потрачено и тратится
ежесекундно на борьбу с вирусами. И есть ли
у нас шанс когда-нибудь победить в этой
борьбе?
Перед тем, как переходить к
описанию событий последнего года, проведем
краткий экскурс в историю. Обычно историю
компьютерной вирусологии излагают в виде
последовательности ярких, но мало
связанных между собой фактов. Несмотря на
всю занимательность такого изложения, оно
не создает более или менее цельной картины,
которая важна для понимания современного
положения дел. Мы постараемся изложить не
историю событий, а именно историю идей.
Краткая история компьютерной
вирусологии
Итак, вначале были “обычные”
вирусы. Их внешние проявления могли быть
весьма разнообразны и часто далеко не
обычны. “Обычность” таких вирусов
заключалась в том, что в них содержался
программный код в чистом виде, и вирусы не
предпринимали никаких попыток прятаться,
маскироваться, изменяться и пр. По всей
видимости, первым таким вирусом, получившим
некоторое распространение, был загрузочный
вирус для ПЭВМ Apple II, получивший название Elk
Cloner.
Отличительной особенностью “обычных”
вирусов было то, что их авторы не прилагали
никаких усилий для того, чтобы затруднить
обнаружение вируса и/или анализ его кода.
Вместе с тем, такие вирусы могли
использовать весьма изощренные механизмы
заражения объектов. Отметим, что, на наш
взгляд, “обычный” загрузочный вирус от “обычного”
файлового ничем концептуально не
отличается. Неслучайно, авторы первых
вирусов как могли изощрялись, реализуя в
своих творениях различные занимательные
эффекты типа осыпания букв, проигрывания
мелодий и пр. Именно с тех пор вирусы у
многих непременно ассоциируются с
созерцанием на экране черепа под веселую
мелодию “Янки Дудль”.
Пока начинающие вирусописатели
состязались друг с другом в реализации
всяческих эффектов, “серьезные” люди
занимались серьезными вещами. Довольно
быстро стало понятно, что примитивными
вирусами, какие бы мелодии они ни исполняли,
мало кого испугаешь, и уж тем более не
специалистов-вирусологов. Так
вирусописатели пришли к идее шифрованных
вирусов, тело которых было изменено с тем,
чтобы осложнить работу по анализу кода
вируса.
Если часть кода вируса
зашифрована (способы шифрования могут быть
весьма и весьма изощренными), то простой
просмотр дампа и дизассемблирование не
позволяют сразу получить результат – код
вируса. Разработчикам антивирусных
программ при анализе шифрованных вирусов
приходится сначала разбираться в способе
шифрования, затем расшифровывать вирус, и
только затем анализировать его код. Таким
образом, вслед за “обычными” вирусами
появились шифрованные, и это стало важным
этапом в развитии вирусной технологии.
Другая плодотворная идея
заключалась в попытке скрыть от
антивирусных программ сам факт наличия
вируса в зараженных объектах. Например, “подсунуть”
антивирусной программе неверную
информацию об объекте (длину файла, время
создания и пр.) или вовсе временно вылечить
объект перед проверкой, а потом снова
заразить. Вирусы, использующие такие
механизмы, получили название стелс-вирусов.
Разумеется, шифрованные вирусы также могут
использовать стелс-технологию.
Идея шифрованных вирусов
получила дальнейшее продолжение, когда
были созданы полиморфные вирусы. Их
отличительной особенностью является то,
что два экземпляра одного и того же
полиморфного вируса могут, вообще говоря,
не совпадать ни в одном байте (в простом
шифрованном вирусе все же имелась
неизменяемая часть – расшифровщик). Первые
полиморфные вирусы использовали
самомодифицирующийся расшифровщик (в
простейшем случае шифровщик и расшифровщик
случайным образом выбирались из некоторого
набора). Отсюда первое название полиморфных
вирусов – вирусы с самомодифицирующимися
расшифровщиками. В дальнейшем эта идея
получила развитие, и были придуманы другие
алгоритмы для обеспечения полиморфизма.
Таким образом, появление полиморфных
вирусов стало следующим этапом в развитии
вирусной технологии вслед за шифрованными
и стелс-вирусами.
Следующим шагом стало появление
в 1994 году макрокомандных вирусов. Несмотря
на то, что концептуально в этих вирусах нет
ничего нового (всего лишь появился новый
объект атаки), мы считаем необходимым
отметить этот этап как один из наиболее
важных. За относительно короткое время
число макрокомандных вирусов возросло
лавинообразно, и они уверенно заняли
лидирующие позиции по числу случаев
заражений, оставив далеко позади
аборигенов вирусного мира.
Последний год XX века
ознаменовался несколькими крупными
эпидемиями сетевых вирусов (e-mail-червей).
Вирусы этого типа были известны и ранее, но
в 2000 году они в прямом смысле слова потрясли
мир. Эпидемия вируса “LoveLetter” в мае этого
года затронула более 40 000 000
компьютеров по всему миру. Эпидемия другого
сетевого червя — MTX (Matrix) продолжается
и в настоящее время.
В заключение этого обзора кратко
затронем вопрос о количестве известных на
сегодняшний день компьютерных вирусов.
Отметим, что все подобные оценки носят
условный характер. В любом случае, к моменту
выхода этой статьи появится информация о
новых вирусах, кроме того, различные
организации, занимающиеся вопросами
антивирусной безопасности, используют
различные методики подсчета вирусов.
Некоторые каждый вирус считают уникальным,
и таким образом получается, что их
антивирусные программы обнаруживают
огромное число вирусов. Другие используют
на наш взгляд более честный подход, считая
вирусы некоторых классов за один (например,
вирусы, полученные посредством программ
для автоматической генерации вирусов). На
конец ноября вирусная база одного из лучших
в мире сканеров Doctor Web включала около 22 000
записей. Но посредством одной записи
зачастую обрабатываются десятки, сотни, а
то и тысячи вирусов. По очень грубым оценкам
сейчас в мире насчитывается более 60 000
вирусов, и количество их с каждым годом
экспоненциально растет.
Последний год тысячелетия
Последний год стал в
определенной степени знаковым с истории
компьютерной вирусологии (в частности,
российской). Значительное увеличение числа
пользователей Интернет привело к тому, что
сетевые e-mail-черви заняли лидирующие
позиции среди вирусов “In the Wild” (т.е.
вирусов, встречающихся в “диком” виде на
компьютерах пользователей). Ущерб от уже
упомянутой эпидемии вируса LoveLetter, которая
началась 4 мая 2000 года, в настоящее время
исчисляется миллиардами долларов. Одним из
малозаметных, но знаковых событий
уходящего года стало появление вирусов,
досаждающих пользователям мобильных
телефонов и пейджеров. Еще менее года назад
практически все операторы сотовой и
пейджинговой связи предоставляли
возможность отправки сообщений (на
пейджеры и телефоны, способные принимать SMS-сообщения)
через e-mail. Однако им пришлось отказаться от
данной услуги после появления летом этого
года вирусов, использующих возможность
отправки сообщений через электронную почту
для рассылки паразитных сообщений на
пейджеры и мобильные телефоны. Следует
особо обратить внимание на то, что на данный
момент вирусы неспособны рассылать
сообщения, которые заражают мобильные
телефоны, т.е. настоящих вирусов для
мобильных телефонов пока нет. (Хотя
различные издания неоднократно сообщали о
том, что имеется возможность отключить
некоторые мобильные телефоны Nokia
посредством отправки на них специальных SMS-сообщений,
официальных подтверждений этого от Nokia не
поступало. И даже если данные утверждения
правдивы, все равно ни о каком заражении
телефонов речи не идет.)
Еще одним значительным событием
года стало появление крайне опасного e-mail-червя
MTX (Matrix). Эпидемия этого вируса в самом
разгаре, и возможный ущерб от него сейчас
трудно подсчитать даже приблизительно.
Отличительной особенностью сетевых червей
нового поколения является их способность
догружать свои фрагменты по сети, обновлять
свои версии и предоставлять злоумышленнику
практически полную власть над компьютером
пользователя. Поэтому их относят к
отдельному классу вредоносных программ –
утилитам несанкционированного удаленного
администрирования. С помощью одного из
таких вирусов осенью этого года была
взломана корпоративная сеть Microsoft. Данные
об ущербе, который был нанесен гиганту
софтверной индустрии, крайне противоречивы
(независимые источники утверждают, что
злоумышленники получили доступ к исходным
кодам некоторых программ, но официального
подтверждения этому нет... правда и
официальные опровержения весьма невнятны).
Так жить нужно
В настоящее время большинство
пользователей компьютеров уже хорошо знают,
что работа на не защищенном от вирусов
компьютере подобна прыжкам с самолета без
парашюта. Есть, конечно, небольшой шанс
упасть в кусты и отделаться легким испугом
и тяжелыми переломами, но обычно все
кончается много плачевнее. Но, даже зная это,
далеко не все используют антивирусные
программы правильно. Если продолжать ту же
аналогию, то неправильное использование
антивирусных программ подобно зимним
прыжкам с парашютом, сложенным в теплом
помещении (те, кто прыгал, несомненно все
поняли и поежились, а для остальных
поясняем — на сложенном в теплом
помещении парашюте конденсируется влага,
которая намертво схватывает шелк, прыгать с
таким парашютом все равно, что с камнем за
спиной — эффект тот же).
На самом деле, имеется, пожалуй,
всего два основных правила, которыми
необходимо руководствоваться при выборе и
использовании антивирусной программы:
программа должна быть хорошей, ее версии и
вирусные базы должны регулярно обновляться.
Сегодня на мировом рынке
антивирусных программ работает не очень
много производителей. Тем приятнее
отметить, что в России имеются два ведущих
производителя антивирусов, продукты
которых регулярно занимают самые высокие (как
правило, первые) места в различных
международных тестированиях. Причем если
несколько лет назад лидерство “Антивируса
КасперскогоTM” не вызывало сомнений, то за
последний год вперед стремительно вырвался
Doctor Web (ДиалогНаука). В этом году Doctor Web
дважды завоевывал самую престижную награду
международной антивирусной индустрии –
знак VB100% (этот знак присуждается
независимым авторитетным международным
журналом Virus Bulletin за 100%-ые показатели в
обнаружении вирусов "In the Wild”). Кроме того,
дважды в этих тестированиях Doctor Web
показывал абсолютно лучший результат,
оставляя далеко позади всех конкурентов. В
этом же году семейство Doctor Web пополнилось
целым рядом новых продуктов, а вирусные
базы теперь обновляются по несколько раз в
день (а при необходимости — и много
чаще).
Наиболее удобный способ
обеспечения надежной антивирусной защиты
– оформление подписки на антивирусные
программы. В течение срока подписки (обычно
– года) подписчики получают последние
версии программ, дополнения вирусной базы и
приоритетное обслуживание при выявлении
новых вирусов.
Л.О.Сергеев
Copyright © 1994-2016 ООО "К-Пресс"
Home
Поиск
Издания
Контакты
