Компьютерные вирусы и антивирусные программы

Задача антивирусной программы — обнаруживать, бороться и удалять компьютерные вирусы. В настоящее время чаще всего входит в состав пакета программ, защищающих компьютер и от многих других угроз. Как выглядела «борьба» с компьютерными вирусами, вы узнаете из следующей статьи.

1971 Первый известный Компьютерный вирус появился в 1971 году и получил название «Крипер» (1). Он заразил мэйнфреймы PDP-10 от Digital Equipment Corporation (DEC) операционной системой TENEX. В конечном итоге он был удален программой, разработанной Рая Томлинсона, известный как «Жнец», который некоторые считают первой антивирусной программой, однако следует отметить, что «Жнец» на самом деле был программой, специально разработанной для Удаление крипера вируса. Так что они были частями одного и того же творения.

1983 Период, термин «Компьютерный вирус«. Его авторство приписывается Фреду Коэну, употребившему эту фразу в одной из первых опубликованных научных статей по этому вопросу. Коэн использовал термин «компьютерный вирус» для описания программы, которая «воздействует на другие компьютерные программы, модифицируя их таким образом, чтобы они содержали ее копию».

1986 Pierwszym компьютерный вирус, совместимый с IBM PC «В дикой природе» и одной из первых по-настоящему широко распространенных инфекций была «Мозговая». С тех пор количество вирусов быстро росло.

1987 Можно говорить об определенном соперничестве за имя творца первая антивирусная программа, хотя можно указать год рождения первого программного обеспечения этого типа. Вероятно, первое публично задокументированное удаление «дикого» компьютерного вируса было проведено Бернда Фикса в 1987 году. В том же году Андреас Люнинг i Кай Фиггекоторые основали G Data Software в 1985 году, выпустили свой первый антивирусный продукт для платформы Atari ST.

В 1987 году также появился Ultimate Virus Killer. В 1987 году в США Джон МакАфи (2) он основал свою собственную компанию, которая была частью Intel Security и выпустила в конце года первая версия VirusScan.

Также в 1987 г. в Чехословакии Петр Пашко, Рудольф Хруби i Мирослав Трнка они создали первую версию антивирусная программа НОД (позже ESET был создан Петером Пашко, Мирославом Трнкой и Рудольфом Хруби в 1992 году). Наконец, в конце 1987 года стали доступны первые два эвристических антивирусных инструмента: Флюшот Плюс Росс Гринберг и Анти4ус Эрвин Лантинг.

Рубеж 80-х и 90-х годов. Количество вирусов продолжало расти. Один из них был Иерусалимский вирускоторые распространились на многие компании, научно-исследовательские институты и государственные учреждения, вызвав первую массовую эпидемию 13 мая 1988 г. («Черная пятница»). Другим широко распространившимся вирусом был Вена — после публикации его исходного кода появилось множество вариантов этой вредоносной программы. Они были созданы тогда Каскад, известный тем, что это первый зашифрованный вирус, он распространился позже, в 90. В этот период вирусы были почти исключительно проблемой. Однако так называемая черви, самые известные из которых, Моррис, был обнаружен в ноябре 1988 года и успел заразить около 6 человек. незащищенные системы (около 10% всех компьютеров, подключенных к Интернету в 1988 г.).

В конце 80-х появились и первые троянцы, маскирующиеся под безобидные программы. Одним из первых троянцев был Информационный диск о СПИДекоторый, зашифровав данные на компьютере, смошенничал с выкупом.

1990 Создана Организация по исследованию антивирусных решений, CARO (3). В 1991 году CARO опубликовала «Схему именования вирусов», первоначально написанную Фридрика Скуласон i Веселина Бончева. Хотя эта схема именования в настоящее время устарела, она остается единственным существующим стандартом, который когда-либо пробовало большинство компаний, занимающихся компьютерной безопасностью.

1991 Это год появления антивирусных продуктов и компаний, которые остаются с нами на долгие годы. В США Symantec выпускает (4). В Финляндии компания F-Secure (основанная в 1988 г. Петри Аллас i Ристо Сииласмаа) выпускает первую версию своего антивирусного продукта. F-Secure утверждает, что является первой антивирусной компанией, которая присутствует во всемирной паутине по всему миру. В том же году в Чехии Ян Грицбах i Томас Хофер основал компанию AVG Technologies (тогда Grisoft).

1991 С появлением Вирус текилы появляется новый вид вирусов «на свободе» — полиморфный. Эта техника о шифрование кода вирусатак что вирус принимает другую форму с каждой инфекцией. Полиморфизм привел к тому, что антивирусные программы они не могут основываться исключительно на подписях. Пришлось разработать другие методы, включая эмуляцию или эксплуатацию вирусного кода. математические алгоритмыкоторые позволяют просматривать код.

1995 Появляется первый макровирус под названием Conceptкоторый был основан не на коде, который выполнялся машиной, а на данных. Пользователь сам создал здесь заражены макровирусами документов и каждый последующий пользователь, получивший зараженный документ, становился жертвой. Поскольку файлы данных обменивались гораздо чаще, чем программы, у создателей макровирусов был гораздо более эффективный канал распространения, чем у более ранних вирусописателей. Распространению все больше благоприятствовал тот факт, что Эл. почта стала основным средством связи и обмена данными.

1996 Появляется первый Linux-вирус «в дикой природе», известный как «Staog».

1999-2000 вид Вирус мелиссы — еще один огромный прорыв в разработке вирусов и методов борьбы с ними. В отличие от предыдущих макровирусов, которые ждали, пока пользователь отправит зараженные данные, Вирус мелиссы Он «захватил» систему электронной почты для распространения. Единственное, что нужно было сделать пользователю, — это дважды щелкнуть зараженное вложение электронной почты (5). Когда он это сделал, вирус перехватывал адреса электронной почты из адресной книги Outlook и отправлять свои копии контактам в списке.

Благодаря этому механизму массовой рассылки вирус Melissa распространяется быстрее и в большем масштабе, чем предыдущие макровирусы. Хуже того, из-за большого количества отправляемых электронных писем Мелисса представляла угрозу для стабильности инфраструктуры электронной почты. Первая волна вируса Melissa уже забила корпоративные почтовые системы электронной почтой. В течение следующих нескольких лет почти все самые опасные вирусы и черви полагались на эту модель массового распространения.

Робак ILOVEYOUкоторый появился примерно через год после того, как Мелисса смогла воспроизвести его самостоятельно. Он также добавлял ключи в системный реестр, удалял файлы из ОС, заменяя их своими копиями, и даже мог скачивать из сети файл с именем WIN-BUGSFIX.EXE, ответственный за кражу паролей.

2000 Райнер Линк и Говард Фус выпускают первый антивирус с открытым исходным кодом под названием Проект OpenAntivirus.

2001 Появление одного из наиболее исторически известных червей, CodeRed, «бесфайлового» червя, который не пытался заразить файлы, расположенные на зараженная машинано использовал уязвимость для атаки на серверы Windows 2000. Код красный смог распространиться в Интернете за несколько часов, намного быстрее, чем любая другая инфекция. Несколько месяцев спустя, в сентябре 2001 года, вирус Nimda воспользовался уязвимостью Браузер Internet Explorer спровоцировать следующую большую глобальную эпидемию. Nimda разработала новую модель атаки, в которой эксплойты используются в сочетании с другими методами атак. Помимо массовой рассылки своих копий, он также прикреплял код эксплойта (в виде зараженного JavaScript) к HTML-файлы.

2004 Вирус Кабир атакует мобильные устройства и является первой крупномасштабной атакой такого рода. Он распространился более чем в 40 странах мира, используя для этой цели Технология Bluetooth.

2007 Выявлено в июне 2007 г., Зевс изначально использовался для кражи информации из Министерства транспорта США. Два года спустя он появился в списках угроз Prevx, которые обнаружили, что 74 XNUMX человек были заражены через Zeus. FTP-серверы таких гигантских организаций, как Bank of America, NASA, ABC, Oracle, Cisco, Amazon или журнала BusinessWeek.

Зевс распространяется через атаки и . Троянец использовался для атак на протяжении многих лет. В последующих версиях вирус подменял страницу входа в онлайн-банкинг фальшивкой, сходной до степени смешения с оригиналом. Существуют также различные варианты программы, такие как ЗитМо (Зевс в Мобиле). Чаще всего Зевс нападает на клиентов финансовых учреждений, прося установка мобильного антивируса. Zeus до сих пор считается крупнейшим ботнетом в сети.

2007-2012 . Уже в 2007 году Эстония подверглась нападению, в частности, со стороны вредоносным ПО, скорее всего, из России. К настоящему началу эпохи компьютерные вирусы использовать в качестве инструментов кибервойны, следует учитывать, однако обнаружение червя Stuxnet (6) три года спустя. Уничтожено XNUMX иранских центрифуг по обогащению урана. Через два года после него в Иране правоохранительные органы обнаружили червя-шпиона Flameкоторая и по сей день считается одной из самых изощренных кибератак в истории. Например, он смог динамически менять свое поведение во время операций, устанавливая различные компоненты в зависимости от конкретной цели атаки. Он проанализировал сетевой трафик, обнаружил ресурсы и слабую защиту, например пароли. Выполнены скриншоты открытых окон и выполнения конкретных процессов. Он использовал микрофоны зараженные устройства для записи звуков поблизости.

Оружием кибервойны можно считать и диверсионный вирус под названием Shamoon, который в октябре 2012 года уничтожил все данные на 30 XNUMX компьютеров саудовской государственной компании Saudi Aramco, заменив их изображением горящего американского флага. Считается, что за атакой стоят иранские хакеры.

2012 Хотя элементы машинного обучения при обнаружении и обезвреживании вирусов уже использовались и тестировались ранее, только решения, разработанные Cylance, следует считать первым комплексным использование ИИ в антивирусном ПО (7).

Компания подчеркивает, что больше внимания уделяет предотвращению, чем обнаружению угроз в системах. Основатель Stuart McClure говорит, что антивирусный продукт Cylance не использует общие функции безопасности, такие как уникальные сигнатуры, эвристика, поведенческий анализ, песочница, виртуализация и черный список. Продукт для выявления и остановки злоумышленников. Макклюр сказал, что функции безопасности Cylance аналогичны тому, как человеческий мозг идентифицирует угрозы, когда он «обучает» компьютеры распознавать сигналы атаки.

2013 «Лаборатория Касперского» обнаруживает вирус, который мы называем «Красный Октябрь», а официально ROCRA (сокращение от «Охота за Красным Октябрем»), который скрывался от обнаружения около 5 лет. В отличие от многих предшественников атаковали не только ПК, но и все виды электронной техники, включая мобильную (Windows Mobile, iPhone, Nokia).

2013 Американцы официально обвиняют Китай в организации кибератак и краже данных, в том числе военных. Благодаря отчету, опубликованному американской компанией по обеспечению сетевой безопасности Mandiant, мы все точнее и точнее знаем о Народно-освободительной армии.

2016 На основе приобретения сети Интернет вещей ботнет Mirai (8) атакует, в частности, GitHub, Twitter, Reddit, Netflix, Airbnb, CNN, Spotify и многие другие сервисы больше не доступны.

2016 Atak Petya/Not Petya является самым дорогостоящим единичным инцидентом кибербезопасности в истории. По оценкам, убытки компаний по всему миру составили целых 10 миллиардов долларов. Вредоносная программа Петя заблокировал зараженные устройства, потребовав за их восстановление 300 долларов в биткойнах. Вирус вызвал сбой компьютерных систем, в т.ч. Совет Министров Украины и местный Нацбанк, Центробанк России и нефтяная компания Роснефть.

2017 Ataki ransomware известный как WannaCry Ораз WannaCrypt сообщил 12 мая 2017 года. Его целью были крупные компании, корпорации и серверы, чья инфраструктура была основана на Windows. Программа заразила устройство жертвы, зашифрованные файлы на диске, блокируя доступ к ним, а затем отображая жертве сообщение о том, что доступ к файлам заблокирован. Чтобы восстановить доступ к данным, пришлось заплатить выкуп. В списке пострадавших оказались многие компании, в том числе: Deutsche Bank, FedEx, German State Railways, Hitachi, Honda, Nissan Motors, Renault SA.

Компоненты антивирусных программ

Антивирусное программное обеспечение состоит из специализированных функциональных блоков, которые тесно взаимодействуют друг с другом. Эти блоки включают в себя:

• Административная система — компонент, отвечающий за работу антивирусной программы. Одной из его основных задач является решение судьбы подозрительных приложений и файлов. Кроме того, система администрирования отвечает за проверку выбранных элементов по требованию, создание отчетов, включение и отключение антивирусного монитора и обновление баз данных сигнатур вирусов.
• Антивирусный сканер — используется для проверки всех файлов, папок и дисков по запросу. Сканеры также могут включаться автоматически, в запланированное нами время и в соответствующей конфигурации. Помимо поиска сигнатур, сканеры могут использовать более сложные методы сканирования на наличие вирусов. К таким методам относятся эвристический анализ, обнаружение полиморфных вирусов, рекурсивное сканирование.
• Антивирусный монитор — работа монитора основана на сканировании объектов при каждом доступе к ним и на контроле за работой системы. В случае обнаружения нежелательного эффекта или зараженного файла монитор действий блокирует доступ к подозрительному объекту и информирует об этом пользователя.
• Сканер электронной почты — модуль, который устанавливается между сервером и почтовым клиентом для поиска вирусов и проверки исходящей и входящей почты.
• Ремонтный модуль — отвечает за удаление вредоносного ПО из файла и его восстановление до состояния, в котором оно было до заражения.
• Модуль карантина — модуль, отвечающий за хранение всех зараженных объектов.
• Модуль обновления — модуль обновления используется для обновления баз сигнатур вирусов.
• Модуль отчетов и статистики.
• брандмауэр — межсетевой экран, проверяющий, откуда приходит данный пакет, какого он типа и куда идет.
• Модуль фильтрации электронной почты — модуль, отвечающий за фильтрацию сообщений электронной почты, помечает сообщения с сомнительным отправителем как спам.
• Модуль фильтрации контента сайта — модуль, который сканирует содержимое данного веб-сайта на наличие строки символов/слов, которые мы считаем вредными и нежелательными.
• Модуль самодиагностики — отвечает за диагностику работы антивирусной программы.