Computer virus

En computervirus  er en type malware , der kan infiltrere koden for andre programmer, systemhukommelsesområder, bootsektorer og distribuere dens kopier over forskellige kommunikationskanaler.

Hovedformålet med en virus er at sprede den. Derudover er dens samtidige funktion ofte at forstyrre driften af ​​software- og hardwaresystemer - slette filer, slette operativsystemet, gøre datahostingstrukturer ubrugelige, forstyrre netværksstrukturer, stjæle personlige data, afpresning, blokere brugerarbejde osv. Selv hvis forfatteren af ​​virussen programmerede ikke ondsindede effekter, virus kan forårsage computernedbrud på grund af fejl, uagtet for subtiliteter af interaktion med operativsystemet og andre programmer. Derudover har vira en tendens til at optage lagerplads og forbruge systemressourcer.

I hverdagen kaldes "vira" al malware [1] , selvom dette faktisk kun er en af ​​dens typer.

Historie

Grundlaget for teorien om selvreproducerende mekanismer blev lagt af John von Neumann , en amerikaner af ungarsk oprindelse , som i 1951 foreslog en metode til at skabe sådanne mekanismer. Arbejdseksempler på sådanne programmer har været kendt siden 1961 [2] .

De første kendte vira er Virus 1,2,3 og Elk Cloner til Apple II PC'en , som dukkede op i 1981 . I vinteren 1984 dukkede de første antivirusprogrammer op - CHK4BOMB og BOMBSQAD af Andy Hopkins ( engelsk  Andy Hopkins ). I begyndelsen af ​​1985 skrev Gee Wong programmet DPROTECT  , det første residente antivirus.

De første virusepidemier går tilbage til 1986 - 1989 : Hjerne (spredning i opstartssektorerne på disketter, forårsagede den største epidemi), Jerusalem (dukkede op fredag ​​den 13. maj 1988 og ødelagde programmer, da de blev lanceret [3] ), Morris orm (over 6200 computere, de fleste netværk var ude af drift i op til fem dage), DATACRIME (ca. 100.000 inficerede pc'er alene i Holland).

Samtidig tog hovedklasserne af binære vira form: netværksorme ( Morris worm , 1987), " trojanske heste " (AIDS, 1989 [4] ), polymorfe vira (Chameleon, 1990), stealth-virus (Frodo, Whale ) , 2. halvår 1990).

Parallelt hermed er organiserede bevægelser af både pro- og antivirus-orientering ved at tage form: i 1990 dukkede en specialiseret BBS Virus Exchange, Mark Ludwigs "Lille sorte bog over computervirus", den første kommercielle anti-virus Symantec Norton AntiVirus op .

I 1992 dukkede den første viruskonstruktør til pc'en, VCL , op (konstruktører fandtes til Amiga før), samt færdige polymorfe moduler (MtE, DAME og TPE) og krypteringsmoduler til indlejring i nye vira.

I de næste par år blev stealth og polymorfe teknologier endelig perfektioneret (SMEG.Pathogen, SMEG.Queeg, OneHalf , 1994; NightFall, Nostradamus, Nutcracker, 1995), og de mest usædvanlige måder at trænge ind i systemet og inficere filer på blev prøvet ( Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993). Derudover er der dukket virus op, som inficerer objektfiler (Shifter, 1994) og programkildekode (SrcVir, 1994). Med spredningen af ​​Microsoft Office-pakken har makrovirus spredt sig (Concept, 1995).

I 1996 dukkede den første virus til Windows 95  op - Win95.Boza, og i december samme år - den første bosiddende virus til den - Win95.Punch.

Med udbredelsen af ​​netværk og internettet er filvirus i stigende grad fokuseret på dem som den vigtigste arbejdskanal (ShareFun, 1997 - MS Word makrovirus, der bruger MS-Mail til distribution; Win32.HLLP.DeTroie, 1998 - en familie af spionvirus ; Melissa , 1999 - en makrovirus og en netværksorm, der slog alle rekorder med hensyn til udbredelseshastighed). "Trojanske hestes" storhedstid blev åbnet af det skjulte fjernadministrationsværktøj Back Orifice (1998) og dets modstykker, såsom NetBus .

Win95 virus. CIH har nået et klimaks i brugen af ​​usædvanlige metoder og overskriver FlashBIOS af inficerede maskiner (epidemien i juni 1998 betragtes som den mest ødelæggende i de foregående år).

I slutningen af ​​1990'erne - begyndelsen af ​​2000'erne, med den stigende kompleksitet af software og systemmiljøet, den massive overgang til relativt sikre Windows NT-familier , konsolideringen af ​​netværk som den vigtigste dataudvekslingskanal og succesen med antivirusteknologier med at opdage virus bygget på komplekse algoritmer begyndte den seneste i stigende grad at erstatte indsprøjtning i filer med indsprøjtning i operativsystemet (usædvanlig autorun , rootkits ) og erstatte polymorfi med et stort antal arter (antallet af kendte vira vokser eksponentielt ).

Samtidig åbnede opdagelsen af ​​adskillige sårbarheder i Windows og anden almindelig software vejen for udnyttelsesorme . I 2004 forårsagede hidtil usete epidemier MsBlast (ifølge Microsoft , mere end 16 millioner systemer [5] ), Sasser og Mydoom (estimerede skader på henholdsvis $500 millioner og $4 milliarder [6] ).

Derudover viger monolitiske vira stort set plads til rolleseparerede malware-pakker og hjælpeprogrammer (trojanske heste, downloadere/droppere, phishing-websteder, spambots og edderkopper). Sociale teknologier  såsom spam og phishing blomstrer også  som et middel til infektion, der omgår softwarebeskyttelsesmekanismer.

Til at begynde med, baseret på trojanske heste og med udviklingen af ​​p2p-netværksteknologier - og uafhængigt - er den mest moderne type virus - ormebotnet  - ved at tage fart (Rustock, 2006, omkring 150 tusinde bots; Conficker , 2008-2009, mere end 7 millioner bots; Kraken, 2009, omkring 500 tusinde bots). Virus, blandt andet ondsindet software, er endelig formaliseret som et middel til cyberkriminalitet .

Etymologi af navnet

En computervirus blev opkaldt efter biologiske vira for en lignende udbredelsesmekanisme. Tilsyneladende blev den første brug af ordet "virus" i forhold til programmet brugt af Gregory Benford (Gregory Benford) i fantasyhistorien " The Scarred Man " [7] offentliggjort i magasinet Venture i maj 1970 .

Udtrykket "computervirus" blev efterfølgende "opdaget" og genopdaget mere end én gang. Variablen i PERVADE-underrutinen ( 1975 ), hvis værdi afgjorde, om ANIMAL -programmet ville blive distribueret på disk, blev således kaldt VIRUS. Joe Dellinger kaldte også sine programmer for en virus , og det var sandsynligvis det, der først korrekt blev betegnet som en virus.

Formel definition

Der er ingen almindeligt accepteret definition af en virus. I det akademiske miljø blev begrebet brugt af Fred Cohen i sit værk "Eksperimenter med computervirus" [8] [9] , hvor han selv tilskriver forfatterskabet af begrebet Leonard Adleman [10] [11] .

Formelt defineres virussen af ​​Fred Cohen med henvisning til Turing-maskinen som følger [12] :

M : (S M , I M , O M  : S M x I M > I M , N M  : S M x I M > S M , D M  : S M x I M > d)

med et givet sæt tilstande SM , et sæt af inputsymboler I M og afbildninger ( OM , N M , D M ) , som, baseret på dets aktuelle tilstand s ∈ S M og inputsymbol i ∈ I M , læser fra det semi-uendelige bånd, bestemmer: outputsymbolet o ∈ I M , der skal skrives til båndet, den næste tilstand af maskinen s' ∈ S M og bevægelsen langs båndet d ∈ {-1,0,1} .

For en given maskine M kan en sekvens af tegn v : v i ∈ I M betragtes som en virus, hvis og kun hvis behandlingen af ​​sekvensen v på tidspunktet t medfører, at sekvensen v′ på et af de næste tidspunkter t medfører fra v ) findes på båndet, og denne sekvens v′ blev skrevet af M i punktet t′ mellem t og t″ :

∀ C M ∀ t ∀ j: SM ( t ) = SM0∧ PM ( t) = j ∧ { C M (t, j) … C M (t, j + |v| - 1)} = v ⇒ ∃ v' ∃ j' ∃ t' ∃ t": t < t" < t' ∧ {j' … j' +|v'|} ∩ {j … j + |v|} = ∅ ∧ { C M (t', j') … C M (t', j' + |v'| - 1)} = v' ∧ PM (t") ∈ { j' … j' + |v'| - 1 }

hvor:

Denne definition blev givet i sammenhæng med et viralt sæt VS = (M, V)  - et par bestående af en Turing-maskine M og et sæt tegnsekvenser V: v, v' ∈ V . Af denne definition følger det, at begrebet virus er uløseligt forbundet med dets fortolkning i en given kontekst eller et givet miljø.

Det blev vist af Fred Cohen [12] at "enhver selvreproducerende sekvens af karakterer: en singleton VS, ifølge hvilken der er et uendeligt antal VS , og ikke - VS , for hvilke der er maskiner, for hvilke alle tegnsekvenser er en virus og maskiner, for hvilke ingen af ​​tegnsekvenserne er en virus, gør det muligt at forstå, hvornår en hvilken som helst finit karaktersekvens er en virus for enhver maskine. Han beviser også, at spørgsmålet om, hvorvidt et givet par (M, X) : X i ∈ I M er en virus, generelt ikke kan afgøres (det vil sige, at der ikke er nogen algoritme, der pålideligt kunne bestemme alle vira) på samme måde , som beviser uløseligheden af ​​standsningsproblemet [13] .

Andre forskere har bevist, at der er typer af vira (vira, der indeholder en kopi af et virusfangende program), som ikke kan detekteres nøjagtigt af nogen algoritme.

Klassifikation

Nu er der mange varianter af vira, der adskiller sig i hovedmetoden til distribution og funktionalitet. Hvis virus oprindeligt spredte sig på disketter og andre medier , dominerer nu vira, der spredes gennem lokale og globale ( internet ) netværk. Funktionaliteten af ​​vira, som de adopterer fra andre typer programmer, vokser også.

I øjeblikket er der ikke et enkelt system til at klassificere og navngive vira (selvom et forsøg på at skabe en standard blev gjort på CARO-mødet i 1991). Det er sædvanligt at adskille vira:

Fordeling

Via internettet, lokale netværk og flytbare medier .

Mekanisme

Virus spredes ved at kopiere deres krop og sikre dens efterfølgende eksekvering: ved at indskrive sig selv i andre programmers eksekverbare kode, erstatte andre programmer, registrere sig selv i autorun gennem registreringsdatabasen og mere. En virus eller dens bærer kan ikke kun være programmer, der indeholder maskinkode , men også enhver information, der indeholder automatisk eksekverbare kommandoer - for eksempel batchfiler og Microsoft Word- og Excel -dokumenter, der indeholder makroer . For at trænge ind i en computer kan en virus desuden bruge sårbarheder i populær software (f.eks. Adobe Flash , Internet Explorer , Outlook ), for hvilke distributører indlejrer det i almindelige data (billeder, tekster osv.) sammen med en udnyttelse , der bruger sårbarhed.

Når en virus med succes har infiltreret koden til et program, en fil eller et dokument, vil den forblive i dvale, indtil omstændighederne tvinger computeren eller enheden til at udføre sin kode. For at en virus kan inficere din computer, skal du køre det inficerede program, hvilket igen vil føre til udførelse af viruskoden. Det betyder, at virussen kan forblive i dvale på computeren uden symptomer på infektion. Men når virussen træder i kraft, kan den inficere andre filer og computere på det samme netværk. Afhængigt af virusprogrammørens mål forårsager vira enten mindre skade eller har en destruktiv effekt, såsom sletning af data eller stjæle fortrolig information.

Kanaler

Moddetektion

I tiden med MS-DOS var stealth-virus almindelige , som opsnappede afbrydelser for at få adgang til operativsystemet . Virussen kunne således skjule sine filer fra mappetræet eller erstatte den originale kopi i stedet for den inficerede fil.

Med den udbredte brug af antivirusscannere , som kontrollerer enhver kode for signaturer eller udfører mistænkelige handlinger, før de kører , er denne teknologi blevet utilstrækkelig. At skjule en virus fra proceslisten eller mappetræet for ikke at tiltrække unødvendig brugeropmærksomhed er en grundlæggende teknik, men mere sofistikerede metoder er nødvendige for at håndtere antivirus. Kodekryptering og polymorfi bruges til at modvirke signaturscanning . Disse teknikker bruges ofte sammen, fordi for at dekryptere den krypterede del af virussen er det nødvendigt at lade dekrypteringsværktøjet være ukrypteret, hvilket gør det muligt at detektere den ved sin signatur. Derfor, for at ændre dekryptering, bruges polymorfi - en ændring af rækkefølgen af ​​kommandoer, der ikke ændrer de udførte handlinger. Dette er muligt takket være et meget forskelligartet og fleksibelt system af kommandoer til Intel-processorer , hvor den samme elementære handling, for eksempel tilføjelse af to tal, kan udføres af flere sekvenser af kommandoer.

Kode shuffling bruges også , hvor individuelle instruktioner er tilfældigt ordnet og forbundet med ubetingede hop . Forkant med viral teknologi er metamorfi, som ofte forveksles med polymorfi. Dekrypteringen af ​​en polymorf virus er relativt enkel, dens funktion er at dekryptere virusets hoveddel efter injektion, det vil sige efter dens kode er blevet kontrolleret af et antivirus og lanceret. Den indeholder ikke selve den polymorfe motor , som er placeret i den krypterede del af virussen og genererer dekryptering. I modsætning hertil bruger en metamorf virus muligvis slet ikke kryptering, da den omskriver hele sin kode, hver gang den replikeres [14] .

Forebyggelse og behandling

I øjeblikket er der mange antivirusprogrammer, der bruges til at forhindre virus i at trænge ind i pc'en. Der er dog ingen garanti for, at de vil være i stand til at klare den seneste udvikling. Derfor bør der tages nogle forholdsregler, især:

  1. Arbejd ikke under privilegerede konti, medmindre det er absolut nødvendigt (administratorkonto i Windows).
  2. Kør ikke ukendte programmer fra tvivlsomme kilder.
  3. Prøv at blokere muligheden for uautoriseret ændring af systemfiler.
  4. Deaktiver potentielt farlig systemfunktionalitet (f.eks. autorun-medier i MS Windows, skjul filer, deres udvidelser osv.).
  5. Gå ikke til mistænkelige websteder, vær opmærksom på adressen i browserens adresselinje.
  6. Brug kun pålidelige distributioner.
  7. Lav konstant sikkerhedskopier af vigtige data, helst på medier, der ikke er slettet (f.eks. BD-R), og hav et systembillede med alle indstillinger for hurtig implementering.
  8. Udfør regelmæssige opdateringer af ofte brugte programmer, især dem, der giver systemsikkerhed.

Økonomi

Nogle antivirusleverandører hævder, at virusskabelse nu har udviklet sig fra en ensom hooliganaktivitet til en seriøs forretning med tætte bånd til spamforretningen og andre ulovlige aktiviteter [15] .

Kaldes også millioner og endda milliarder af skader fra vira og ormes handlinger [16] . Sådanne udsagn og vurderinger bør behandles med forsigtighed: størrelsen af ​​skader ifølge skøn fra forskellige analytikere varierer (nogle gange med tre eller fire størrelsesordener), og beregningsmetoder er ikke angivet.

Kriminalisering

Skaberen af ​​Scores -virussen , som forårsagede skade på Macintosh -brugere i 1988 , blev ikke anklaget, fordi hans handlinger ikke faldt ind under Computer Fraud and Abuse Act eller andre love i USA på det tidspunkt. Denne sag førte til udviklingen af ​​en af ​​de første love relateret til computervirus: Computer Virus Eradication Act (1988) [17] . På samme måde slap skaberen af ​​den mest destruktive virus , ILOVEYOU , fra straf i 2000 på grund af fraværet af relevante love i Filippinerne [18] .

Oprettelse og distribution af malware (herunder vira) retsforfølges i nogle lande som en særskilt form for lovovertrædelse: i Rusland i henhold til Den Russiske Føderations straffelov ( kapitel 28, artikel 273 ), i USA i henhold til Computer Fraud og Abuse Act , i Japan [19] . I mange lande er skabelsen af ​​vira imidlertid ikke i sig selv en forbrydelse, og den skade, de forårsager, falder ind under mere generelle love om computerkriminalitet [20] .

Computervirus i kunsten

I 2007 visualiserede den ukrainske mediekunstner Stepan Ryabchenko den virtuelle essens af computervirus og gav dem en form og et billede [21] [22] .

Se også

Noter

  1. A. Savitsky. Afstemning: Den mest obskure cybertrussel . Kaspersky Lab (10. februar 2014). Dato for adgang: 5. juli 2015. Arkiveret fra originalen 6. juli 2015.
  2. McIlroy et al. Darwin, et spil om overlevelse af de stærkeste blandt programmer arkiveret fra originalen den 9. august 2005.
  3. RCE-1813 virus (Jerusalem - Jerusalem) . Hentet 21. juni 2020. Arkiveret fra originalen 3. juni 2021.
  4. George Smith. The Original Anti-Piracy Hack Arkiveret 10. juni 2011 på Wayback Machine SecurityFocus, 12. august 2002
  5. AlgoNet - [[blaster (computerorm)|MSBlast]] epidemien er meget større end forventet . Hentet 7. juni 2010. Arkiveret fra originalen 2. april 2015.
  6. Prisen på Sasser er $500 mio. og tæller Arkiveret den 17. august 2010 på Wayback Machine Silicon.com
  7. The Scarred Man Arkiveret 27. september 2011 på Wayback Machine 
  8. Fred Cohen. Arkiveret fra originalen den 21. marts 2011, Computer Viruss - Theory and Experiments  .
  9. Cohen F. Computer Viruses - Theory and Experiments Archiveed September 30, 2007 at the Wayback Machine  (russisk)
  10. Leonard Adleman. Arkiveret fra originalen An Abstract Theory of Computer Viruses den 29.  oktober 2005.
  11. Citeret i: Diomidis Spinellis. Arkiveret 2005-10-29 Pålidelig identifikation af virus med begrænset længde er NP-komplet IEEE Transactions on Information Theory, 49(1), pp. 280-284, januar 2003
  12. 12 Fred Cohen . Arkiveret fra originalen den 21. februar 2006. Computere og sikkerhed, vol. 8, nr. 4, s. 325-344, juni 1989
  13. Alan M. Turing. På beregnelige tal, med en applikation til Entscheidungs-problemet. Proceedings of the London Mathematical Society, vol. 2, nr. 42, s. 230-265, 1936, Rettelser i 2(43): s. 544-546
  14. Billy Belcebu. Metamorphism Arkiveret 5. juli 2011 på Wayback Machine Xine#4, trans. fra engelsk. v0id
  15. Vitaly Kamlyuk. Botnets (utilgængelig link- historie ) . Virus Encyclopedia . Kaspersky Lab (13. maj 2008). Hentet: 13. december 2008. 
  16. Roman Borovko. Økonomisk skade fra virus . Informationssikkerhedsmarkedet 2003 . CNews - Analytics. Hentet 13. december 2008. Arkiveret fra originalen 19. januar 2012.
  17. Charles Ritstein. Viruslovgivning // Executive Guide to Computer Viruses . - NCSA, 1992.
  18. Jody R. Westby. Love om kriminalitet mod computersystemer // International guide til bekæmpelse af cyberkriminalitet . — ABA Publishing, 2003.
  19. Lovgivning, der kriminaliserer oprettelse af computervirus vedtaget . Hentet 11. november 2015. Arkiveret fra originalen 24. februar 2016.
  20. Forfattere: Thomas J Holt, Adam M Bossler, Kathryn C Seigfried-Spellar. Juridiske udfordringer i forbindelse med håndtering af malware // Cyberkriminalitet og Digital Forensics: An Introduction . - New York: Routledge, 2015. - S. 103.
  21. Se: Serie af værker "Computervirus" af Stepan Ryabchenko . officiel-online.com . Hentet 15. juni 2020. Arkiveret fra originalen 13. juni 2020.
  22. Tjernobyls farve i den ukrainske kunstner Stepan Ryabchenkos værk . ArtsLooker (26. april 2020). Hentet 15. juni 2020. Arkiveret fra originalen 1. august 2020.

Links

  Gå til Wikidata-elementet  Ordbøger og encyklopædier
 Ondsindet software
Infektiøs malware
Gemme metoder
Malware
for profit
Af operativsystemer
Beskyttelse
Modforanstaltninger
  • Anti Spyware Coalition
  • computer overvågning
  • honningkrukke
  • Betjening: Bot Roast