Компьютерный вирус

Общий

Различные формы вирусов являются результатом того факта, что одна из двух цепей ДНК, в которой все формы клеточной жизни сохраняют свою генетическую информацию, является избыточной, и поэтому вирусы могут иметь одноцепочечные или двухцепочечные геномы. Кроме того, геном некоторых вирусов состоит из РНК, а не ДНК. РНК присутствует в клетках как посредник при трансляции генов в белки . Геном РНК-вирусов может кодироваться в двух разных направлениях: либо гены хранятся в направлении 5 ‘→ 3’ (положительная или + полярность), как то, в котором гены кодируются в матричной РНК клеток, либо они хранятся в обратном направлении (отрицательная или — полярность).

Таксономия вирусов похожа на клеточные организмы:

Порядок (суффикс: -virales )

Семья (суффикс: -viridae )

Подсемейство (суффикс: -virinae )

Пол (суффикс: -вирус )

Разновидность

Однако код номенклатуры, управляемый Международным комитетом по таксономии вирусов (ICTV), отличается от других по нескольким аспектам. По большей части названия отрядов и семейств выделены курсивом, а названия видов не соответствуют биномиальной номенклатуре, но часто имеют форму . Порядок определен совсем недавно и был намеренно медленным; На сегодняшний день названы только три, и большинство семей не классифицированы. В 2014 г. описано 7 порядков, 104 семейства, 23 подсемейства, 505 родов и 3186 вирусных видов.

В октябре 2018 года ICTV сделал шаг к филогенетической классификации , одобрив будущее использование 15 таксономических рангов (домен, субдомен, королевство, субдомен, тип), субфилум, класс, подкласс, порядок, субпорядок, семейство, субдомен. -семейство, род, подрод, вид), а также путем проверки одной ветви, двух подсетей и шести классов. Утверждена филиал является то , что , называемых Negarnaviricota и разделить на две подотрасли, Haploviricotina (включая вирус Эбола и вирус бешенства ) и Polyploviricotina ( в том числе вируса Ласса лихорадки) и вирус гриппа А ). ICTV также обновляет свой список таксонов более низкого порядка: 14 порядков, 7 подотрядов, 143 семейства, 64 подсемейства, 846 родов, 59 подродов и 4958 видов. Список признанных таксонов доступен в Интернете.

Способы защиты от вирусов

Одним из основных последствий деятельности вирусов является потеря или порча информации. Поэтому для обеспечения устойчивой и надежной работы необходимо (или, по крайней мере желательно) всегда иметь чистые, не зараженные (эталонные) копии используемой информации и программного обеспечения.

К общим средствам относятся:

• резервное копирование информации (создание копий файлов и системных областей дисков);
• разграничение доступа к информации (предотвращение несанкционированного использования информации).

К программным средствам относятся различные антивирусные программы, которые являются наиболее эффективными в борьбе с компьютерными вирусами. Однако не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса. Невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства — Фред Коэн.

Использование специальных антивирусных средств в большинстве случаев позволяет не только выявить вирусное вторжение, но и оперативно обезвредить обнаруженные вирусы и восстановить испорченную информацию.

Антивирусные программы — это утилиты, позволяющие выявить вирусы, вылечить, или ликвидировать зараженные файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов действия).

Существует очень много классификаций антивирусных программ. Рассмотрим одну из них.

Классификация антивирусных программ

Среди популярных и эффективных антивирусных программных систем можно выделить:

• Антивирус Касперского — AntiViral Toolkit Pro (AVP) (http://www.avp.ru)
• Avast (http://www.avast.ru)
• DoctorWeb (http://www.drweb.ru)
• NOD 32 http://www.esetnod32.ru;
• Norton AntiVirus;
• Symantec AntiVirus и др.

Более надежную защиту дают те антивирусные программы, версии которых постоянно обновляются.

Файловые вирусы

Название этой категории вирусов говорит само за себя. Мы же можем несколько дополнить его. Файловыми, называются вирусы, которые так или иначе используют файловую систему операционной системы. Такие вирусы способны как заражать файлы, так и размножаться. Именно поэтому программисты выделяют несколько типов работы таких вирусов:

1. Вирус просто находит ошибки в коде какого-то файла и вписывает в программу собственный код.
2. Способен создавать полную копию файла, которые в народе назвали двойниками.
3. Вирус размножается (копирует свой код) и размещается в различных каталогах.
4. Используют особенности файловой системы.

Как мы уже сказали ранее, такие вирусы, на сегодняшний день, являются малоэффективными и непопулярными, ибо их способны поймать практически все существующие антивирусы. Статистика показывает, что вирусы подобного типа, на сегодняшний день используются менее, чем в 1% атак.

Субвирусные агенты

Следующие инфекционные агенты меньше вирусов и обладают лишь некоторыми из их свойств. С 2015 года ICTV позволяет классифицировать их так же, как и вирусы.

Вироиды

• Семья Avsunviroidae
  • Род Avsunviroid ; Типовой вид : Вироид авокадо солнечных пятен
  • Род Pelamoviroid ; Типовой вид: Персиковый вироид скрытой мозаики
  • Род Elaviroid ; Типовой вид: Баклажан латентный вироид
• Семья Pospiviroidae
  • Род Pospiviroid ; Типовой вид: Вироид веретеновидных клубней картофеля
  • Род Hostuviroid ; Типовой вид: Вироид хоп-трюка
  • Род Cocadviroid ; Типовой вид: Кокосовый вироид каданг-каданг
    
  • Род Apscaviroid ; Типовой вид: Вироид кожи шрама яблони
  • Род Coleviroid ; Типовой вид: Coleus blumei viroid 1

Спутники

Сателлиты зависят от совместного инфицирования клетки-хозяина вирусом-помощником для продуктивного размножения. Их нуклеиновые кислоты имеют существенно отличные нуклеотидные последовательности либо от своего вируса-помощника, либо от хозяина. Когда сателлитный субвирусный агент кодирует белок оболочки, в который он инкапсулирован, его тогда называют сателлитным вирусом.

Сателлитные нуклеиновые кислоты напоминают сателлитные нуклеиновые кислоты тем, что они реплицируются с помощью вспомогательных вирусов. Однако они отличаются тем, что могут кодировать функции, которые могут способствовать успеху их вспомогательных вирусов; хотя иногда их считают геномными элементами своих вспомогательных вирусов, они не всегда обнаруживаются внутри их вспомогательных вирусов.

• Спутниковые вирусы
  • Одноцепочечные РНК- сателлитные вирусы
    • (неназванная семья)
      • Aumaivirus — спутниковый вирус мозаики белой линии кукурузы
      • Папанивирус — спутниковый вирус мозаики Panicum
      • Виртовирус — вирус-спутник табачной мозаики.
      • Альбетовирус — вирус-спутник некроза табака
    • Семья Sarthroviridae

      Macronovirus — вирус-спутник Macrobrachium 1 ( сверхмалый вирус)

    • (безымянный род) — комменсальный X вирус Nilaparvata lugens
    • (род безымянный) — вирус-спутник хронического пчелиного паралича.
  • Вирусы-спутники с
    двухцепочечной ДНК

    Семья Lavidaviridae — Вирофаги

  • Вирусы-спутники с
    одноцепочечной ДНК

    Род Dependoparvovirus — группа аденоассоциированных вирусов

• Спутниковые нуклеиновые кислоты
  • Одноцепочечные сателлитные ДНК
    • Семейство Alphasatellitidae (кодирует белок инициатора репликации)
    • Семейство Tolecusatellitidae (кодирует детерминанту патогенности βC1)
  • Двухцепочечные сателлитные РНК
  • Одноцепочечные сателлитные РНК
    • Подгруппа 1: большие сателлитные РНК
    • Подгруппа 2: малые линейные спутниковые РНК
    • Подгруппа 3: круговые сателлитные РНК ( вирусоиды )
    • Род Deltavirus
    • РНК, ассоциированные с полеровирусами
  • Спутниковая РНК
  • Спутниковая ДНК

Дефектные мешающие частицы

Дефектные мешающие частицы — это дефектные вирусы, которые утратили способность к репликации, за исключением присутствия вспомогательного вируса, которым обычно является родительский вирус. Они также могут влиять на вирус-помощник.

• Дефектные мешающие частицы (РНК)
• Дефектные мешающие частицы (ДНК)

Некоторые системы классификации вирусов

Попытки классифицировать их предпринимались за долго до получения данных по морфологии, структуре и биохимического состава вирусов.

Одна из первых предложена в 1927 году Д. Джонсоном. При обозначении вирусов указывалось название растения-хозяина, добавляя слово «вирус» и порядковый номер обнаружения вируса на конкретном растении. При такой классификации вирус табачной мозаики, получил название табачный вирус 1. Следующий вирус, обнаруженный на табаке, получил название табачный вирус 2. При таком подходе в одну группу попадали абсолютные разные вирусы.

Одновременно предлагалось классифицировать вирусы по насекомым переносчикам. Но есть вирусы, переносимые многими переносчиками, а так же различные вирусы, переносимые одним и тем же переносчиков. Кроме того, существуют вирусы не имеющие переносчиков.

Классификация вирусов по симптомам болезней так же не явилась определяющей, поскольку существует множество болезней со сходными симптомами.

В 1935 году Стенли получил вирус в кристаллическом виде. Тут же было выдвинута идея систематизировать вирусы по их способности к кристаллизации (Кристаллобиотэ и Плазмобиотэ).

В 1937 К. Смит предложил видоизменить систему Д. Джонсона. Вирус обозначался родовым названием растения с добавлением к нему слова «вирус» и соответствующей цифру, а для штамма еще и буквы. В данной системе вирус табачной мозаики получил наименование Nicotianavirus1.

Ф. Холмс (1939,1948) предложил биноминарную номенклатуру вирусов и обосновал принцип единой классификации всех вирусов. Он объединил вирусы в порядок Virales с тремя подпорядками: Phgineae (бактериофаги), Phytophagineae (вирусы растений), Zoophagineae (вирусы животных). Однако и данная классификация не учитывает все возможные свойства вирусов.

В 1966 году А.Е. Проценко предложил классифицировать фитопатогенные вирусы на основании строения и свойствах вирусных частиц (вирионов). По мере накопления сведений о вирусах, классификация на основании характеристики вирионов стала представляться самой объективной.

В 1971 году Б.Д. Харрисон предложил использовать для классификации вирусов около 50 признаков. На основании их сравнительного анализа фитовирусы были объединены в 26 групп.

В 1966 году на Международном микробиологическом конгрессе в Москве был создан Международный Комитет по номенклатуре вирусов. Это позволило значительно упорядочить классификацию и номенклатуру вирусов. В 1973 году этот комитет получил название Международный Комитет по таксономии вирусов – МКТВ (International CommitteeonTaxonomyof Viruses– ICTV). Данный комитет готовит и публикует доклады по усовершенствованной на данное время таксономии и номенклатуре вирусов.

В 1971 году американский биохимик, вирусолог, молекулярный биолог, лауреат Нобелевской премии Д. Балтимор предложил классифицировать вирусы на основе типа геномной нуклеиновой кислоты и способе ее репликации. Балтимор разделил вирусы на 7 групп:

Антивирусные программы

С появлением вирусов стали появляться программы, позволяющие их находить и обезвреживать. Ежедневно в мире появляются новые вирусы. Компьютерные продукты по их устранению обновляются по несколько раз в день, чтобы оставаться актуальными. Так, не затихая, идет постоянная борьба с компьютерными вирусами.

На сегодняшний день выбор антивирусных программ очень велик. На рынке то и дело появляются новые предложения, причем самые разнообразные: от полноценных программных комплексов до небольших подпрограмм, ориентированных только на один тип вирусов. Можно найти бесплатные или распространяющиеся по платной срочной лицензии решения безопасности.

Антивирусы хранят в своих базах сигнатур выдержки из кода огромного количества опасных для компьютерных систем объектов и во время проверки сравнивают коды документов и исполняемых файлов со своей базой. Если соответствие будет найдено, антивирус сообщит об этом пользователю и предложит один из вариантов обеспечения безопасности.

Компьютерные вирусы и антивирусные программы — неотъемлемые части друг друга. Бытует мнение, что ради коммерческой выгоды антивирусные программы самостоятельно разрабатывают опасные объекты.

Антивирусные программные утилиты делятся на несколько типов:

• Программы-детекторы. Предназначены для поиска объектов, зараженных одним из ныне известных компьютерных вирусов. Обычно детекторы только выискивают зараженные файлы, но в некоторых случаях способны заниматься лечением.
• Программы-ревизоры — эти программы запоминают состояние файловой системы, а спустя некоторое время проверяют и сверяют изменения. Если данные не соответствуют друг другу, программа проверяет, был ли подозрительный файл отредактирован пользователем. При отрицательном результате проверки пользователю выводится сообщение о возможном заражении объекта.
• Программы-лекари — предназначены для лечения программ и целых винчестеров.
• Программы-фильтры — выполняют проверку поступающей на компьютер извне информации и запрещают доступ подозрительным файлам. Как правило, выводят запрос пользователю. Программы-фильтры уже внедряются во все современные браузеры, чтобы своевременно найти компьютерный вирус. Это очень действенное решение, учитывающее сегодняшнюю степень развития Интернета.

Крупнейшие антивирусные комплексы содержат в себе все утилиты, которые объединены в один крупный защитный механизм. Яркими представителями антивирусного программного обеспечения на сегодняшний день являются: антивирус Касперского, Eset NOD32, Dr.Web, Norton Anti-Virus, Avira Antivir и Avast.

Эти программы обладают всеми основными возможностями, чтобы иметь право называться защитными программными комплексами. Некоторые из них имеют крайне ограниченные бесплатные версии, а некоторые предоставляются только за денежное вознаграждение.

Классификация вирусов по особенностям алгоритма работы

Резидентный

При заражении компьютера в оперативной памяти оставляет свою резидентную часть, перехватывающую обращения ОС к объектам заражения для внедрения в них. Данный вид вирусов располагаются в памяти и проявляют активность до перезагрузки операционной системы или выключения компьютера. Нерезидентный вирус не заражает память компьютера, а активность его ограничена временем. Ряд вирусов даже при размещении в памяти небольших резидентных программ не распространяются. Подобные вредоносные утилиты называются нерезидентными. К резидентным вредоносным программам можно отнести макро-вирусы, так как они присутствуют в памяти компьютера постоянно во время работы зараженного редактора. В этом случае роль операционной системы переходит редактору, а активность вируса ограничена временем работы редактора. В многозадачных ОС время активности резидентного ДОС-вируса ограничивается временем работы зараженного ДОС-окна, а в ряде ОС активность ограничена временем инсталляции драйверов.

Вирусы, использующие стелс-алгоритмы

Они полностью или частично скрывают в системе. Самым распространенным стелс-алгоритмом считается перехват запросов операционки на чтение, либо запись зараженных объектов. Стелс-вирусы временно лечат их или же вместо себя «подставляют» незараженные участки данных. Ярким примеров использования этих алгоритмов в случае с макро-вирусами является отсутствие возможности вызова меню просмотра макросов. Одними из первых загрузочных стелс-вирусов является вирус Brain, а файловых стелс-вирусов – Frodo.

Вирусы с самошифрованием и полиморфичностью

Практически все типы вредоносных утилит используют данные алгоритмы работы для максимального усложнения процедуры детектирования вируса. Полиморфик-вирусы очень сложно обнаружить из-за отсутствия сигнатур, то есть отсутствия хотя бы одного постоянного участка кода. Чаще всего 2 образца такого вредоносного ПО не будут иметь ни одного схожего фрагмента кода. Данная ситуация достигается за счет шифрования основного тела вируса, а также модификации программы-расшифровщика.

Вирусы, использующие нестандартные приемы

Применение нестандартных приемов обусловлено необходимостью спрятать тело вируса как можно глубже в ядре операционной системе, защиты от обнаружения резидентсткой копии, затруднения лечения от вируса.

Классификация вредоносных программ

Компьютерные вирусы классифицируются по различным признакам. В зависимости от поведения их условно разделили на 6 категорий: по среде обитания, по особенностям строения кода, по способу заражения компьютера, по целостности, по возможностям, и дополнительно есть категория неклассифицируемых вирусов.

По среде обитания бывают следующие виды компьютерных вирусов:

• Сетевые — эти вирусы распространяются по локальным или глобальным сетям, заражая огромное количество компьютеров по всему миру.
• Файловые — внедряются в файл, заражая его. Опасность начинается в момент исполнения зараженного файла.
• Загрузочные — внедряются в загрузочный сектор жесткого диска и приступают к исполнению в момент загрузки системы.

По особенностям строения кода вирусы делят на:

• Паразиты — вирусы, которые, внедряясь в файлы, изменяют их содержимое по заданному алгоритму.
• Стелс, или невидимки, — вирусы, поражающие сектора жесткого диска, затем перехватывающие запросы операционной системы к этим секторам и перенаправляющие запрос на незараженные участки винчестера. Такие вирусы сложно обнаружить, отсюда и название.
• Полиморфные, или мутанты — это виды компьютерных вирусов, которые занимаются самокопированием, и при этом постоянно создают файлы с одним предназначением, но совершенно разным кодом.

По способу заражения кода вирусы делят на две группы:

• Резидентные — вредоносные программы, которые заражают оперативную память.
• Нерезидентные — вирусы, не заражающие оперативную память.

По целостности они делятся на:

• Распределенные — программы, разделенные на несколько файлов, но имеющие сценарий последовательности их исполнения.
• Целостные — единый блок программ, который выполняется прямым алгоритмом.

По возможностям предусмотрено деление вирусов на четыре следующие категории:

• Безвредные — виды компьютерных вирусов, способные замедлить работу компьютера путем своего размножения и поглощения свободного пространства на жестком диске.
• Неопасные — вирусы, которые замедляют работу компьютера, занимают значительный объем оперативной памяти и создают звуковые и графические эффекты.
• Опасные — вирусы, которые могут привести к серьезным системным сбоям, от зависания компьютера до разрушения операционной системы.
• Очень опасные — вирусы, способные стереть системную информацию, а также привести к физическому разрушению компьютера посредством нарушения распределения питания основных компонентов.

Разные вирусы, не попавшие под общую классификацию:

• Сетевые черви — вирусы, которые вычисляют адреса доступных компьютеров в сети и размножающиеся. Как правило, относятся к неопасным вирусам.
• Троянские программы, или трояны. Эти типы компьютерных вирусов получили свое название в честь знаменитого троянского коня. Эти вирусы маскируются под полезные программы. Предназначены в основном для хищения конфиденциальной информации, но есть и разновидности более опасных представителей вредоносного ПО.

Классификация вирусов

Классификация вирусов основана на симметрии вирусов, наличии или отсутствии внешней оболочки.

Проявляют жизнедеятельность вирусы только в клетках живых организмов. Их нуклеиновая кислота способна вызвать синтез вирусных частиц клетки хозяина. Вне клетки вирусы не проявляют признаков жизни и называются вирионами.

Жизненный цикл вируса состоит из двух фаз: внеклеточной (вирион), в которой он не проявляет признаков жизнедеятельности, и внутриклеточной. Вирусные частицы вне организма хозяина некоторое время не теряют способности к заражению. Например, вирус полиомиелита может сохранять инфекционную активность на протяжении нескольких суток, оспы – месяцев. Вирус гепатита В сохраняет ее даже при кратковременном кипячении.

Активные процессы одних вирусов протекают в ядре, других – в цитоплазме, у некоторых – и в ядре, и в цитоплазме.

Классификация вирусов по способу маскировки

При создании копий для маскировки могут применяться следующие технологии:

Шифрование — вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.

Метаморфизм — создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода «мусорных» команд, которые практически ничего не делают.

Шифрованный вирус

Это вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.

Вирус-шифровальщик

В большинстве случаев вирус-шифровальщик приходит по электронной почте в виде вложения от незнакомого пользователю человека, а возможно, и от имени известного банка или действующей крупной организации. Письма приходят с заголовком вида: «Акт сверки…», «Ваша задолженность перед банком…», «Проверка регистрационных данных», «Резюме», «Блокировка расчетного счета» и прочее. В письме содержится вложение с документами, якобы подтверждающими факт, указанный в заголовке или теле письма. При открытии этого вложения происходит моментальный запуск вируса-шифровальщика, который незаметно и мгновенно зашифрует все документы. Пользователь обнаружит заражение, увидев, что все файлы, имевшие до этого знакомые значки, станут отображаться иконками неизвестного типа. За расшифровку преступником будут затребованы деньги. Но, зачастую, даже заплатив злоумышленнику, шансы восстановить данные ничтожно малы.

Вложения вредоносных писем чаще всего бывают в архивах .zip, .rar, .7z. И если в настройках системы компьютера отключена функция отображения расширения файлов, то пользователь (получатель письма) увидит лишь файлы вида «Документ.doc», «Акт.xls» и тому подобные. Другими словами, файлы будут казаться совершенно безобидными. Но если включить отображение расширения файлов, то сразу станет видно, что это не документы, а исполняемые программы или скрипты, имена файлов приобретут иной вид, например, «Документ.doc.exe» или «Акт.xls.js». При открытии таких файлов происходит не открытие документа, а запуск вируса-шифровальщика. Вот лишь краткий список самых популярных «опасных» расширений файлов: .exe, .com, .js, .wbs, .hta, .bat, .cmd. Поэтому, если пользователю не известно, что ему прислали во вложении, или отправитель не знаком, то, вероятнее всего, в письме – вирус-шифровальщик.

На практике встречаются случаи получения по электронной почте обычного `вордовского` (с расширением .doc) файла, внутри которого, помимо текста, есть изображение, гиперссылка (на неизвестный сайт в Интернете) или встроенный OLE-объект. При нажатии на такой объект происходит незамедлительное заражение.

Вирусы-шифровальщики стали набирать большую популярность начиная с 2013 года. В июне 2013 известная компания McAfee обнародовала данные, показывающие что они собрали 250 000 уникальных примеров вирусов шифровальщиков в первом квартале 2013 года, что более чем вдвое превосходит количество обнаруженных вирусов в первом квартале 2012 года .

В 2016 году данные вирусы вышли на новый уровень, изменив принцип работы. В апреле 2016 г. в сети появилась информация о новом виде вируса-шифровальщика Петя (Petya), который вместо шифрования отдельных файлов, шифрует таблицу MFT файловой системы, что приводит к тому что операционная система не может обнаружить файлы на диске и весь диск по факту оказывается зашифрован.

Полиморфный вирус

Вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.