Библиотека вирусов. Самые знаменитые компьютерные вирусы. Преимущества вирусной базы Dr.Web

В Интернете появилась постоянно пополняющаяся библиотека индикаторов вредоносного программного обеспечения. Её администрация пополняет архивы информацией из отчётов антивирусных компаний.

Поддержкой библиотеки “отпечатков” вредоносных программ занимается компания Deepend Research. Они регулярно обновляют “книжный фонд” индикаторами всевозможных зловредных программ.

Информация для архива берётся из отчётов антивирусных компаний, сообщений в блогах специалистов по безопасности и с хакерских конференций.

Отметим, что создатели библиотеки позиционируют себя как систематизаторов открытой информации. Как известно, информация о зловредных программах в основном находится в открытых источниках. Deepend Research просто собирают её на одном ресурсе и классифицируют.

Отметим, что с мая 2013 года библиотека пополняется также образцами трафика (pcap), доступными для скачивания. Данный архив с образцами трафика и специфическими сигнатурами позволяет “на глаз” определить тип вредоносного программного обеспечения, просто взглянув на несколько перехваченных пакетов.

На заре компьютерной эры действие вредоносных программ было направлено на поражение отдельных ПК, так как лишь небольшая часть компьютеров имела подключение к Сети. Но вычислительные технологии совершенствовались, росла роль Интернета в жизни людей и компьютеров, и создатели вирусов также вышли на новый плацдарм. Они получили возможность производить атаки через Всемирную паутину, причиняя гораздо больше вреда за меньший промежуток времени. Суммы ущерба, причиненного вирусами, росли как на дрожжах. Обычным пользователям компьютерные вирусы могут показаться маленьким недоразумением или даже приключением, доставляющим всего лишь некоторые неудобства. Но если представить более широкую картину, то можно увидеть полностью парализованные после вирусной атаки компьютерные системы государственных учреждений, университетов и школ, предприятий и фирм. Эти вирусы распространяются быстрее, чем вирус гриппа. От этого страдает современный бизнес, ведь он имеет очень высокую зависимость от компьютерных систем и сетей передачи данных в области производства, реализации товаров и предоставления услуг. Вирусная атака может привести к миллионам и даже миллиардам долларов убытков. Хотя не все вредоносные компьютерные программы были разрушительными в глобальном масштабе, но все они так или иначе вызвали значительный ущерб. В нашем списке пятнадцать самых знаменитых разрушительных компьютерных вредоносов всех времен.

1. BRAIN (1986)

Brain («Мозг») был новым вирусом, удар которого был направлен на компьютеры под управлением популярной в то время операционной системы Microsoft MS-DOS. Вирус создали два брата из Пакистана. Басиль Фарук Алви (Basil Farooq Alvi) и Амджад Фарук Алви (Amjad Farooq Alvi), и даже оставили в коде вируса номер телефона своей мастерской по ремонту компьютеров. Вирус Brain инфицировал загрузочный сектор 5-дюймовых дискет объемом 360 Кбайт (уже мало кто помнит такие флоппи). После заражения вирус постепенно заполнял все неиспользуемое пространство дискеты, делая невозможным дальнейшее ее использование. У вируса Brain есть еще одна пальма первенства — он был первым вирусом-невидимкой (stealth), прятал себя от любой возможности обнаружения и маскировал инфицированное пространство на диске. Из-за достаточно слабых деструктивных и разрушительных проявлений Brain часто оставался незамеченным, так как многие пользователи обращали мало внимания на замедление скорости работы флоппи-дисков.

2. MORRIS (1988)

Автор вируса - аспирант Корнелльского университета Роберт Тэппэн Моррис (Robert Tappan Morris). Примерно 6 тыс. компьютеров, подключенных к сети Интернет, были инфицированы данным вредоносом. Кстати, отец Морриса был одним из главных экспертов правительства США по компьютерной безопасности, поэтому первые компьютеры, на которые проник не Моррис-папа, не Моррис-сын, но Morris-червь, были частью прабабушки Интернета, знаменитой сети Arpanet, а во Всемирную сеть вирус рвался через сети международных телефонных линий, кабели и спутниковые каналы связи, установленные Пентагоном еще в 1969 году. Позже Моррис утверждал, что червь был написан не для того, чтобы навредить, а для того, чтобы оценить размер Интернета. Поселившись в компьютере, он проверял наличие копий себя любимого и, если их не было и он оказывался первым, засчитывал очередного «интернет-жителя». В целях более тщательного учета, но во избежание повторного счета в случае удаления непрошеной программы администраторами серверов, которые были не в курсе затеянной электронной переписи, Моррис предусмотрел в своей программе функцию регенерации. Но скорость самовоспроизведения оказалась слишком высока, компьютеры многократно заражались и больше не могли работать. Это случилось непреднамеренно, однако привело к значительному ущербу.

3. CIH, ОН ЖЕ «ЧЕРНОБЫЛЬСКИЙ ВИРУС», ОН ЖЕ SPACEFILLER(1998)

Этот вирус остался одним из наиболее опасных и разрушительных, потому что был способен длительное время оставаться незамеченным в памяти компьютера, заражая все запускаемые программы и приложения. Вирус CIH был выпущен в Сеть и впервые обнаружен в 1998 году (однако пользователи познакомились с его действием в апреле 1999 года, в 13-ю годовщину аварии на Чернобыльской АЭС), инфицировал исполняемые файлы операционных систем Windows 95, 98 и ME. Опасной особенностью этого вируса было то, что его активация привязывалась к конкретной дате, то есть, но сути, являлась миной замедленного действия. После установленной платы вирус перезаписывал все файлы на жестком диске компьютера и полностью уничтожал его содержимое. Вирус также имел возможность модификации BIOS, после которой компьютер вообще переставал загружаться. Автором грозного вируса стал выпускник университета Тайваня Чем Инь Хау (Chen Ing Hau - CIH), которым и дал ему свое имя. Вирус также известен как Spacefiller благодаря своей способности к незаметному заполнению всего свободного файлового пространства на жестких дисках компьютера, чтобы не допустить установки и запуска антивирусного программного обеспечения. Вредоносная программа вызвала значительный ущерб в ряде азиатских (и не только) стран, парализовала тысячи компьютеров.

4. MELISSA (1999)


Червь «Мелисса» впервые появился на сетевых просторах 2 марта 1999 года как очередная вредоносная программа для массовой рассылки спама, которой и по ceй день инфицированы до 20% компьютеров во всем мире. Первыми жертвами стали компьютерные сети таких крупных компаний, как Microsoft, Intel и др., которые использовали программу MS Outlook в качестве почтового клиента. Пришлось на какое-то время приостановить работу почтовых серверов по всему миру в целях предотвращения распространения вируса, ну и для того, чтобы удалить вирус из системы. Распространялся он по электронной почте, в том числе в виде вложения файла в формате Word. Сразу же после открытия файла вирус рассылал себя по электронной почте первым 50 адресатам из списка контактов MS Outlook. Он также переписывал файлы документов в зараженном компьютере, заменяя текст на цитаты из популярного мультсериала «Симпсоны». Создатель вируса Дэвид Л. Смит (David L Smith) дал своему «произведению» имя знакомой стриптизерши из Флориды. Ущерб от последствий действия этого вируса оценивается в 30 млн. долларов. Суд Соединенных Штатов Америки приговорил Дэвид Смита к 20 месяцам лишения свободы.

5. ILOVEYOU, ОН ЖЕ LOVEBUG, ОН ЖЕ LOVELETTER (2000)


Вирус ILOVEYOU многие считают самым разрушительным. Он распространялся но электронной почте в 2000 году в виде вложений в сообщения. Вирус загружал себя в оперативную память и инфицировал все исполняемые файлы. Пользователю было достаточно открыть письмо, содержащее вложение и виде файла LOVE-LETTER-FOR-YOU.txt. vbs, - и компьютер заражался автоматически. Вирус распространялся по всему жесткому диску и заражал исполняемые файлы, графические файлы изображений, а также такие аудиофайлы, как MPS. После этого вирус рассылал себя по электронной почте по всем адресам из списка контактов MS Outlook. Вирус был написан филиппинским программистом, студентом колледжа, и «случайно» выпущен им на свободу. Он распространился по всему миру за один день, заражая компьютеры сотрудников крупных корпораций и правительств, в том числе Пентагона. Эпидемия привела к 8.8 млрд долл. убытков. Основной фактический ущерб был причинен во время удаления инфекции из компьютеров, так как для этого пришлось приостановить работу почтовых серверов и даже компьютерных сетей.

6. CODE RED (2001)

Мир еще не оправился от шока, вызванного эпидемией вируса ILOVEYOU, когда в середине 2001 года пришла новая напасть - Code Red. В отличие от других вирусов, разрушительное действие этого носителя вреда было направлено только против определенных компьютеров, на которых был установлен веб-сервер под управлением Microsoft IIS (Internet Information Server). Вирус использовал неизвестную на то время ошибку в программном обеспечении. Попав в компьютер, он изменял стартовую страницу основного веб-сайта, отображая сообщение: Welcome to http://www.worm.com ! Hacked by Chinese! («Добро пожаловать на Haworm.com! Взломано китайцами!») После чего приступал к поиску других веб-сайтов под управлением этого сервера и делал аналогичные модификации. Примерно через две недели после начала заражения вирус был запрограммирован па запуск DDoS-атак (распределенный отказ в обслуживании) на конкретные веб-сайты, в том числе сервер Белого дома. Ущерб от эпидемии Code Red оценивается в 2.6 млрд долл.

7. NIMDA (2001)

Вирус-червь Nimda — обладатель приза за самое быстрое распространение: всего за 12 часов он успел поразить почти полмиллиона компьютеров. Это случилось 18 сентября 2001 года. Многие средства массовой информации немедленно связали появление нового вируса с недавней атакой террористов на Всемирный торговый центр и ошибочно приписали авторство «Аль-Капле». Вирус поражал пользователей компьютеров под управлением Windows 95, 98, M, NT или 2000 и серверы под Windows NT и 2000. Если прочитать название вируса наоборот, то получится admin. У этого червя был не один и не два, а целых пять способов распространения - через электронную почту (брешь в системе безопасности Internet Explorer, позволяющая автоматически запускать вложенный файл на исполнение), через общедоступные папки и ресурсы локальных сетей, уязвимость веб-серверов под управлением Microsoft IIS (Internet Information Server), через обычный браузер с уже инфицированных сайтов. После заражения вредонос наделял пользователя «Гость» всеми привилегиями администратора системы и открывал все локальные диски компьютера. Считается, что создателем червя Nimda был студент университета в Сакраменто.

8. KLEZ (2001)

Klez - еще один вариант компьютерного червя, распространявшегося по Сети через электронную почту, впервые появился в конце 2001 года. Существует несколько разновидностей этого вируса. Klez заражал компьютеры под управлением ОС Microsoft Windows, используя брешь в системе безопасности Internet Explorer (движок Trident задействует такие почтовые программы, как Microsoft Outlook и Outlook Express, для отображения гипертекстового содержимого электронных писем). Электронное письмо с вирусом, как правило, имело текстовую часть и не менее одного вложенного в письмо файла. Текстовая часть письма включала небольшой HTML-фрейм, который автоматически открывал и запускал вирус из вложенного файла. Жертве не нужно было даже открывать вложение - вредонос все делал сам. Некоторые письма маскировались под корреспонденцию, якобы отправленную компанией Microsoft, а вложенный файл - под антивирус. Для рассылки вирус использовал адресные книги почтовых и прочих программ MS Outlook, случайным образом вставляя найденные адреса в поля «Кому:» и «От кого:», значительно затрудняя поиск инфицированных компьютеров - определить источник инфекции можно было только по IP-адресу, с которого пришло письмо, содержащее вирус. На инфицированном компьютере Klez старался заразить все исполняемые файлы, включая содержимое архивов, обнаруживал и успешно дезактивировал антивирусное программное обеспечение. Каждое 14-е число четного месяца и каждое 6-е нечетного вирус перезаписывал все файлы на дисках пораженного компьютера случайным содержимым.

9. BLASTER (2003)

Вирус Blaster («Взрыватель») является еще одним видом вредоносных программ, которые распространяются не с помощью электронной почты, а из-за уязвимости компьютеров под управлением операционных систем Windows 2000 и Windows ХР. Код вируса содержал скрытое послание к основателю Microsoft Биллу Гейтсу следующего содержания: Billy Gates, why do you make this possible? Stop making money, and fix your software! («Билли Гейтс, зачем Вы делаете это возможным? Прекратите делать деньги и исправьте Ваше программное обеспечение!»)

10. SOBIG.F (2003)

Пользователи компьютеров еще не оправились от ущерба, причиненного вирусом Blaster в 2003 году, когда появился Sobig.F, еще один массовый электронный почтальон. Ущерб от действия этого компьютерного вируса исчислялся миллиардами долларов. Вирус значительно затруднял или полностью блокировал работу интернет-шлюзов и почтовых серверов. В результате сильное замедление скорости глобального доступа к сети Интернет ощутил на себе практически каждый пользователь. Вирус собирал адреса электронной почты из различных документов, обнаруженных на дисках зараженного компьютера, затем рассылал себя по этим адресам. В течение нескольких часов после начала вспышки эпидемии Sobig.F смог отправить более миллиона копий самого себя. В сентябре 2003 года вирус сам прекратил активность, так как был на это запрограммирован, после чего перестал представлять угрозу.

11. SQL SLAMER, ОН ЖЕ HELKERN (2003)

Ущерб от действия вредоноса SQL Slammer был не самым серьезным в сравнении с его товарищами из группы вредоносных программ, но достаточно заметным - убытки от эпидемии 2003 года оцениваются в 1 млрд долл. Хотя, если учитывать очень компактный код червя (всего 376 байт), то каждый байт обошелся почти в 3 млн. долларов. Червь поражал сетевые маршрутизаторы, блокируя их нормальную работу. Целью его была уязвимость в программном обеспечении веб-серверов под управлением Microsoft SQL Server. Были инфицированы только компьютеры, на которых установлено это серверное программное обеспечение, но их блокировка вызвала замедление доступа в Интернет по всему миру. Всего за десять минут вирус смог заразить тысячи серверов в разных странах.

12. BAGLE (2004)

Bagle был еще одним вариантом классического вредоносного ПО для массовой спам-рассылки, но значительно модернизированным. Впервые был обнаружен в 2004 году, привычно заражал компьютеры пользователей через вложение к электронному письму, также использовал электронную почту для распространения. В отличие от предыдущих спам-вирусов, Bugle не полагался на адресную книгу почтовой программы MS Outlook, чтобы составить список адресатов, по которому можно разослать себя же. Он собирал все адреса электронной почты из различных документов, хранящихся в файлах на зараженном компьютере - от обычных текстовых файлов до электронных таблиц MS Excel. Особая опасность данного вредоноса состояла в том, что на пораженном компьютере он открывал черный ход, через который удаленный пользователь, вероятно, автор или группа хакеров, могли получить доступ и контроль над зараженным компьютером. Эта лазейка помогала загрузить дополнительные компоненты либо программу-шпион для кражи иформации у пользователей. Даже сегодня сотни вариантов и разновидностей этого вируса все еще гуляют по Сети.

13. SASSER (2004)


Написанный 17-летним немецким студентом в 2004 году Sasser был еще одним компьютерным червем, поразившим тысячи компьютеров. Sasser не распространялся через электронную почту и не требовал вмешательства человека, чтобы заразить компьютер. Он использовал ту же дыру, что и Blaster - проникал в компьютеры через уязвимость ОС Windows 2000 и Windows XP, известную как RPC (Remote Procedure Call). Sasser успешно инфицировал и вывел из строя тысячи компьютерных сетей всего за несколько дней. После заражения компьютера он был запрограммирован на подключение к сети Интернет для поиска других уязвимых машин, чтобы заразить и их.

14. MYDOOM (2004)

Скачкообразное возрастание интернет-трафика из-за действия MyDoom сказалось даже на работе поисковика Google, хотя это был просто очередной вредонос для массовой рассылки сообщений. Соответственно, основным способом его распространения стала, как и следовало ожидать, электронная почта. MyDoom также успешно расходился но сети Интернет через инфинироваииое программное обеспечение файлообменника КаZаА. Первое его появление на интернет-сцене состоялось в 2004 году, а результатом продолжительных «оваций» инфицированных компьютеров стало 10%-ное замедление скорости передачи данных. Доступ к некоторым веб-сайтам был ограничен на 50%. После заражения почтовый червь просматривал все адресные книги и списки контактов на компьютере жертвы и рассылал себя по найденным адресам. Было отмечено, что в течение первых дней каждое десятое электронное письмо содержало в себе MyDoom. Остановить распространение удалось только через месяц.

15. CONFICKER, ОН ЖЕ DOWNUP, ОН ЖЕ DOWNADUP, ОН ЖЕ KIDO (2008)


Червь Conficker, атаковавший компьютеры под управлением операционной системы Microsoft Windows, впервые был обнаружен в 2008 году. Это была самая крупномасштабная эпидемия со времен распространения вируса SQL Slammer 2003 года. Для проникновения в компьютер Conficker использовал некоторые уязвимости ОС Windows, а чтобы получить привилегии администратора, подбирал пароль админа по словарю и связывал пораженные компьютеры в единую локальную сеть, готовую выполнять любые команды и задачи, поставленные создателем вируса. Эта сеть насчитывала более 8 млн. компьютеров в 200 странах мира. Противостоять заражению было чрезвычайно трудно, так как вирус использовал целый ряд новейших технологий для распространения и внедрения вредоносного программного обеспечения. Первый вариант червя начал поражение компьютеров в ноябре 2008 года благодаря известной уязвимости сетевой службы на машинах под управлением Windows 2000, Windows ХР, Windows Vista, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 Beta. Даже свежайшая на то время операционка Windows 7 имела аналогичную уязвимость, от массового заражения ее спас запоздалый выход на широкую публику — в январе 2009 года. Хотя Microsoft и выпустила соответствующий набор исправлений еще 23 октября 2008 года, установить патч на все компьютеры просто не успевали. Приблизительно 30% всех персоналок под управлением ОС Windows являлись носителем вируса до января 2009 года. Вторая версия червя появилась в Сети в декабре 2008 года, она уже обладала способностью распространяться внутри локальных сетей через общедоступные сетевые ресурсы, и это стало решающим фактором в скорости распространения вируса. Число инфицированных компьютеров на январь 2009 года оценивается в 9-15 млн. долл. Всего известно пять модификаций вируса, которые получили названия А, В, С, I и Е соответственно. Каждый новый вариант обладал новыми стратегиями проникновения и распространения, автоматически обновляя себя до более «продвинутой» версии, подгружая все новое и новое вредоносное ПО на инфицированный компьютер и отключая ряд системных сервисов, таких, как автоматическое обновление Windows, центр обеспечения безопасности, брандмауэр, систему оповещения об ошибках.

ЧТО ДЕЛАТЬ?

Вредонос прячется под различными типами данных, меняя имена и расширения, поэтому при проверке компьютера антивирусным сканером рекомендуется включать опции «Все типы файлов». Microsoft разработала специальную утилиту для обнаружения и удаления вредоносного ПО - Microsoft Software Removal Tool (MSRT). После переустановки операционной системы настоятельно рекомендуется инсталлировать полный набор свежайших обновлений для повышения безопасности системы. Основная причина значительного ущерба, который причинили эти компьютерные вредоносы во всем мире в том, что большинство людей не знали о существовании таких угроз и не были защищены от них. Сегодня тысячи и тысячи компьютеров в Сети остаются инфицированными или заражаются старыми и новыми вирусами. Чтобы этого избежать, очень важно иметь хорошую антивирусную программу и регулярно обновлять антивирусные базы. Другие меры безопасности включают использование межсетевого экрана (брандмауэра) и обновление программ, которые используются для доступа в Интернет, в том числе почтовые клиенты, серверное программное обеспечение и интернет-браузеры.


Анти-антивирусный вирус (Anti-antivirus Virus, Retrovirus) - компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.

Антивирусный вирус (Antivirus Virus) - компьютерная вирусная программа, объектом нападения которой являются другие

Вариант вируса, штамм, модификация (Variant, modification) - модифицированный вариант одного и того же вируса. Изменения в могут вноситься как автором вируса, так и третьим лицом.

Вирусный код, сигнатура (Signature) - система символов и однозначных правил их интерпретации, используемая для предоставления информации в виде данных. Представляет собой набор символов или последовательность байтов, которые, как предполагается, могут быть свойственны, а, следовательно, и обнаружены в каком-то определенном вирусе, в каждой его копии, и только в нем. Антивирусные сканеры используют сигнатуру для нахождения вирусов. не имеют сигнатуры.

Вирусный мистификатор (Hoax) - почтовые сообщения, написанные в нейтральном тоне, которые не являются вредоносными. В них указывается, например, о якобы распространяющемся новом вирусе. Большинство вирусных мистификаций обладают одной или несколькими характеристиками:

  1. Имя вируса, на которое ссылается автор сообщения, составляется не по правилам, используемым большинством антивирусных компаний.
  2. Акцент делается на том, что «вирус» пока не обнаруживается антивирусными программами. Пользователю предлагается найти некий файл и удалить его с диска.
  3. В письме содержится призыв, в случае обнаружения указанного файла, сообщить об этом всем своим знакомым и все тем, чьи адреса есть в адресной книге пользователя.

Несмотря на всю безобидность подобного розыгрыша, вред его очевиден - массовая рассылка копий бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.

Вирусы-спутники, вирусы-компаньоны (Virus-companion) - формально являются. Не внедряются в исполняемые программы.
Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами.
Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой.
Большинство таких вирусов создают.COM файл, который обладает более высоким приоритетом, нежели.EXE файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением.СОМ.

Такие вирусы могут быть резидентными и маскировать файлы-двойники.

"Дроппер" (Dropper) - файл-носитель, устанавливающий вирус в систему. Техника иногда используемая вирусописателями для "прикрытия" вирусов от

Другие названия вируса (Other virus names) : антивирусные компании, как правило, дают разные названия одним и тем же вирусам, исходя из собственных правил формирования вирусного имени. В большинстве случаев основное имя вируса (например, Klez, Badtrans, Nimda ) одинаково и присутствует в наименовании этого вируса, независимо от антивирусной компании. Различаются в основном префиксы и суффиксы имени вируса, правила использования которых у каждой компании могут быть свои. В частности, если в классификации вирусов, принятой в компании ООО "Доктор Веб" , версии одного и того же вируса нумеруются числами, начиная с 1, в компании Symantec для этих же целей используются заглавные буквы английского алфавита.

Зоологический вирус (Zoo virus) - вирус, существующий только в антивирусных лабораториях, в коллекция исследователей вирусов и не встречается в "дикой природе".

Компьютерные вирусы (Computer viruses) - это программы или фрагменты программного кода, которые, попав на компьютер, могут вопреки воле пользователя выполнять различные операции на этом компьютере - создавать или удалять объекты, модифицировать файлы данных или программные файлы, осуществлять действия по собственному распространению по локальным вычислительным сетям или по сети Интернет. Модификация программных файлов, файлов данных или загрузочных секторов дисков таким образом, что последние сами становятся носителями вирусного кода и в свою очередь могут осуществлять вышеперечисленные операции, называется заражением (инфицированием ) и является важнейшей функцией компьютерных вирусов. В зависимости от типов заражаемых объектов выделяются различные вирусов.

Полиморфные вирусы (Polymorphic viruses) - или вирусы с самомодифицирующимися расшифровщиками (по Н.Н.Безрукову) - вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых. Расшифровщик не является постоянным - он уникален для каждого экземпляра вируса.

MtE вирусы (MtE viruses) - созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.

Pезидентный (в памяти) вирус (Memory resident virus) - постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си. Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия например при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентны.

Скрипт-вирусы (Script virus) - вирусы, написанные на языках Visual Basic, Java Script, Jscript и других. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком виде интерпретироваться браузером с удаленного сервера или локального диска.

Стелс вирусы (Stealth virus) –- вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.

Так называемая Стелс-технология может включать в себя:

  • затруднение обнаружения вируса в оперативной памяти
  • затруднение трассировки и дизассемблирования вируса
  • маскировку процесса заражения
  • затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

В зависимости от видов заражаемых объектов, классифицируют по следующим типам :

  • - вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Чаще всего, такие файлы имеют расширение .EXE, .COM, .DLL, .SYS . Также могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY.
    Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.
  • Загрузочные (бутовые) вирусы (Boot viruses) - вирусы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также MBR (Master Boot Record) жестких дисков.
  • Макрокомандные вирусы (макровирусы) (Macroviruses) - вирусы, заражающие файлы документов, используемыe приложениями Microsoft Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic).

Благоприятным фактором распространения вируса служит то, что все основные компоненты Microsoft Office могут содержать встроенные программы (макросы) на полнофункциональном языке программирования, а в Microsoft Word эти макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д.
Кроме того, имеется так называемый общий шаблон NORMAL.DOT и макросы, помещенные в общий шаблон автоматически запускаются при открытии любого документа. Учитывая то, что копирование макросов из документа в документ (в частности в общий шаблон) выполняется всего одной командой, среда Microsoft Word идеальна для существования макрокомандных вирусов.

Шифрованные вирусы (Encrypted viruses) - вирусы, которые сами шифруют свой код для затруднения их дизассемблирования и обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать только короткий общий фрагмент - процедуру расшифровки который можно выбрать в качестве. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по-разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.

Вирусы (Viruses) - программы, инфицирующие файловые объекты и способные к самовоспроизведению.

Макрокомандные вирусы (Macroviruses) - вредоносные программы, которые заражают файлы, созданные приложениями Microsoft Office и другими программами, допускающими наличие макрокоманд.

Файловые вирусы (File viruses) - вирусы, заражающие двоичные файлы (в основном исполняемые файлы и динамические библиотеки). Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.

Троянцы (Trojans) - вредоносные программы, осуществляющие несанкционированные пользователем действия на его компьютере. Эти действия необязательно будут разрушительными, но они всегда направлены во вред пользователю.

Название этого типа атак происходит от известной легенды о деревянной статуе коня, использованной греками для проникновения в Трою.

Примеры: Trojan.Botnetlog, Trojan.DownLoad, Trojan.Stuxnet.

Руткиты (Rootkits) - вредоносные программы, предназначенные для перехвата системных функций операционной системы (API) с целью сокрытия своего присутствия в системе.

Руткит также может маскировать процессы других программ, различные ключи реестра, папки и файлы. Руткиты распространяются либо как самостоятельные программы, либо как дополнение к другим вредоносным программам.

Как говорил великий русский полководец А.В. Суворов,
воевать следует не числом, а умением.

Преимущества вирусной базы Dr.Web

  • Рекордно малое число записей.
  • Малый размер обновлений.
  • Всего одна запись позволяет определять десятки, сотни и даже тысячи подобных вирусов.

Принципиальное отличие вирусной базы Dr.Web от вирусных баз ряда других программ состоит в том, что при меньшем числе записей она позволяет детектировать такое же (и даже большее) число вирусов и вредоносных программ.

Что дают пользователю малый размер базы Dr.Web и меньшее число записей в ней?

  • Экономия места на диске
  • Экономия оперативной памяти
  • Экономия трафика при скачивании базы
  • Высокая скорость установки базы и ее обработки при анализе вирусов
  • Возможность определять вирусы, которые еще только будут сделаны в будущем путем модификации уже известных

Антивирус Dr.Web начал разрабатываться в начале девяностых годов ХХ века, когда Интернет только развивался и далеко еще не был «глобальной сетью», когда лишь немногие предприятия могли себе позволить доступ к мировой сети. В условиях, когда за трафик надо было платить дорого, а обновления производить как можно чаще, размер вирусной базы, а значит и время ее скачивания из Интернета, должны были быть минимальными. Такая задача стояла перед разработчиком и она была выполнена - до сегодняшнего дня, размер вирусной базы Dr.Web самый маленький среди всех существующих антивирусных программ. Достигнуто это благодаря разработке собственной технологии создания вирусной базы на основе очень гибкого языка, специально разработанного для описания баз. Малый размер вирусной базы обеспечивает экономию трафика, позволяет занимать гораздо меньше места на диске после установки и в оперативной памяти, чем базы других производителей. Небольшой размер вирусной базы позволяет взаимодействовать компонентам программы Dr.Web в высокоскоростном режиме, не оказывая чрезмерной нагрузки на процессор.

Что самое главное в антивирусе? Обеспечивать защиту от вирусов. Обеспечивается защита, среди прочего, внесением в вирусную базу записей (сигнатур), позволяющих детектировать вирусы. А вот количество записей в вирусной базе абсолютно ничего не говорит о том, сколько реально вирусов ловит та или иная антивирусная программа. Наиболее объективным способом проверки качества защиты служат сравнительные тестирования, проводимые на коллекциях вирусов из «дикой природы» (InTheWild list) - т.е. вирусах, реально существующих на компьютерах пользователей, а не только в вирусных лабораториях и у коллекционеров.

Также следует понимать, что вирусная база каждой антивирусной программы имеет свою структуру. Чтобы объяснить, почему число записей в вирусной базе Dr.Web меньше числа записей в вирусных базах некоторых других производителей, надо знать, что не все вирусы уникальны. Существуют целые семейства родственных (подобных) вирусов, есть вирусы, сконструированные вирусными конструкторами - специальными программами для создания вирусов. Все они очень похожи друг на друга, очень часто - как две капли воды. Разработчиками некоторых других антивирусов каждый такой вирус-близнец наделяется отдельной записью в вирусной базе, что утяжеляет ее.

Другой принцип применен в антивирусной базе Dr.Web , где всего одна вирусная запись позволяет обезвреживать десятки или сотни, а иногда даже тысячи подобных друг другу вирусов! Даже меньшее, по сравнению с некоторыми другими программами число вирусных записей в базе дает возможность с высокой долей вероятности обнаруживать пока еще не известные (не внесенные в базу) вирусы, которые будут созданы на основе уже существующих вирусов.

Где бесплатно?

Обычно мы не ищем вирусы, они сами находят нас. Но есть такие, которым вирусы нужны, и даже те, которые эти вирусы коллекционируют. В сегодняшней статье я расскажу про таких людей и про то, как создать безобидный вирус для проверки инструментов защиты, и о том где скачать вирусы для их последующего изучения.

Кстати, в статье « », вы можете найти огромное количество образцов всевозможных вредоносных программ: вирусов, троянов, ботнетов и т.д..

Зачем качать вирусы и кому это надо?

В первую очередь вирусы нужны людям, которые занимаются информационной безопасностью. Среди них есть такие которым необходимо протестировать работу антивирусного ПО. Еще вирусы могут понадобится тем, кто пытается изучить их поведение во время заражения системы.

Таких людей не много, но они есть. Вот канал одного из них. Автор канала снимает видео и делает обзоры вирусов. Согласитесь, фраза «Обзоры вирусов» звучит довольно необычно.

Знайте! Скачать вирусы для их последующего изучения на своем компьютере вполне законно. А вот использовать их для распространения и заражения других пользователей — НЕТ. За это вам могут влепить приличный срок. Поэтому хорошенько подумайте перед тем, как нарушать закон!

Также, если вы не разбираетесь в теме, то я настоятельно не рекомендую скачивать вирусы. Если вы все же решили качать, то сайт www.сайт не несет никакой ответственности за ваши последующие поступки и за любой вред нанесенный вашему компьютеру.

Тест антивирусов EICAR

Если вам нужен вирус для проверки, но нет желания или возможности скачивать вирусы, то можете буквально за несколько секунд создать безобидный вирус сами.

Eicar тест антивирусов — это маленький кусок текста, который определяется как вирус всеми современными антивирусами. Обычно его используют для проверки работы программ защиты.

Вот сам код:

X5O!P%@AP}

Похожие статьи