Это история о первом вирусе-черве, который проник в компьютерную сеть и наделал очень много шума. И о первом человеке, который его сделал. Зовут его Роберт Моррис.
Вирус Морриса - высоколожная 60000-байтная программа, разработанная с расчётом на поражение операционных систем UNIX Berkeley 4.3, SUN.
Вирус изначально разрабатывался как безвредный и имел лишь целью скрытно проникнуть в вычислительные системы, связанные сетью Arpanet, и остаться там необнаруженным. Вирус Морриса является представителем вирусного семейства сетевых червей.
Черви - вирусы, которые распространяются в среде сети с использованием соответствующих сетевых средств и обеспечивают свою работу полностью сами.
Программа была написана с выдающимся мастерством. Вирусная программа включала компоненты, позволяющие раскрывать пароли, существующие в инфицируемой системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса.
Вирус Морриса стал началом появления такого явления, как компьютерные вирусы. Компьютерные вирусы становятся всё изощрённее, и защититься от них - как и бороться с ними - становиться всё сложнее. С другой стороны, появляется всё более мощные средства защиты от компьютерных вирусов.
Инцидент с вирусом Морриса затронул столь многие проблемы, что на примере этого дела стоит долго и внимательно учиться, чтобы избежать повторения выявленных инцидентом недостатках в родных пределах.
По самым скромным оценкам инцидент с вирусом Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов. Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.
Вирус Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя.
После дезассемблирования вируса сотни программистов по всей стране занялись разработкой "ловушек" для вируса и созданием "заплат" на месте обнаруженных вирусом "дыр" в подсистеме безопасности своих систем. Эти затраты оцениваются в десятки тысяч часов рабочего времени. Стивен Росс, старший администратор фирмы бухгалтерских услуг и консультаций Delloitte, Haskins & Sells, сказал: "Эпоха вирусов-шутих, не имеющих каких-либо определённых задач или целей, кончается, перед нами-эпоха ориентированных вирусов".
Классификация компьютерных вирусов
Как и в обычной зоологии, компьютерных тварей можно классифицировать по характерным признакам и распределить их по группам.
Стандартные COM-EXE-TSR - вирусы.
Наиболее многочисленная группа вирусов - это стандартные COM-EXE-TSR - вирусы. Для проникновения в компьютер они пользуются либо стандартными средствами операционной системы, либо средствами BIOS, либо и теми и другими одновременно. Проникая в различные выполняемые файлы, сектора дисков и в оперативную память, вирусы обживают новую среду обитания: плодятся и размножаются. Создаются новые копии вируса и поражаются новые объекты. Обычно эти вирусы довольно примитивны. Обнаружить их можно практически сразу по некорректной работе компьютерной системы, уменьшению количества доступных системных ресурсов(например, дисковой и оперативной памяти) либо по изменению длины выполняемых файлов.
"Стелс"-вирусы.
Полный стелс! - Компьютерный жаргон, означающий, что вирус захватил большинство системных функций операционной системы.
Более "достойным" объектом изучения являются так называемые "стелс"(Stealth)-вирусы. Представители этого класса используют различные средства для маскировки своего присутствия в системе. Обычно это достигается путём перехвата ряда системных функций, ответственных за работу с файлами. "Стелс"- технологии делают невозможным обнаружение вируса без специального инструментария. Вирус маскирует и приращение длины поражённого объекта (файла), и своё тело в нём, "подставляя" вместо себя "здоровую" часть файла.
Хотя большинство качественных антивирусных средств в состоянии обнаружить и блокировать действие активной резидентной части известного "стелс"- вируса, они оказываются практически беззащитными перед новыми вирусами.
Полиморфные вирусы.
Многие из вас наверняка слышали такой термин, как полиморфные (polymorphic) вирусы. Эти вирусы используют специальные механизмы, которые затрудняют их обнаружение. Обычно такие вирусы содержат код генерации шифровщика и расшифровщика собственного тела. Создаваемые генератором шифровщики (и соответствующие расшифровщики) обычно изменяются во времени. В полиморфных вирусах расшифровщик не является постоянным - для каждого инфицированного файла он свой. По этой причине зачастую нельзя установить инфицированный файл по характерной для данного вируса строке (сигнатуре). Вследствие этого некоторые антивирусные средства в принципе не ловят полиморфные вирусы (наглядный пример такого рода - весьма популярный антивирус Aidstest).
Macro-вирусы.
В последнее время появились и практически молниеносно распространились так называемые macro-вирусы. Они используют возможности макроязыков, встроенных в различные системы обработки информации (текстовые редакторы, электронные таблицы и т.п.). Сегодня подобные вирусы широко распространены в системах MS Word и Exel. В этих пакетах вирусы захватывают управление при открытии или закрытии заражённого файла, перехватывают некоторые файловые функции и затем заражают файлы, к которым происходит обращение. В какой-то степени подобные вирусы можно назвать "резидентными", так как они активны только в своей среде - соответствующем приложении. Особенностью таких вирусов является то, что они способны "жить" не только на отдельных компьютерах, а быстро распространяться по сети на все машины, где возможна работа соответствующих приложений.
Трояны.
Как и вирусы, трояны - это программы. Сами по себе они не заводятся, а, как правило, попадают на ваш компьютер вместе с какими-то другими программами. Изначально троянами назывались программы, которые, помимо своей основной работы, выполняли еще что-то, - как правило, давали возможность после ввода некоего специального кода попасть в систему (так называемые "back doors"). Теперь трояны способны, например, перехватывать введенные пользователем пароли и записывать их в файл или пересылать автору. В этом и заключается основное, на мой взгляд, отличие троянов от вирусов: вирусы самодостаточны, а трояны должны "связываться" со своим автором. То есть если бороться с вирусами можно только одним способом - вылавливать и уничтожать, - то для защиты от троянов можно перекрыть им возможность связи с автором. Разумеется, это никак не исключает необходимости вылавливать их и удалять, - просто еще одна мера защиты.
Еще одно - непринципиальное - различие между вирусами и троянами заключается в том, что вирусы встраиваются в нормальные программы ("заражают" их), после чего при запуске зараженной программы сначала выполняется код вируса, а потом вирус выполняет настоящую программу. Трояны же в последнее время создаются в виде отдельного файла, который работает сам по себе. Для выполнения своей функции (дать доступ в компьютер или переслать ваши пароли) троян должен запуститься. Таким образом, если контролировать, какие именно программы запускаются на компьютере, то можно защититься от довольно большого числа вредителей.
Подобная защита - запрещение запуска файлов - успешно работает против абсолютного большинства ныне действующих троянов, но я подозреваю, что не за горами то время, когда "в свободное распространение" поступят трояны, встраивающиеся в различные системные библиотеки. С ними бороться будет намного сложнее - библиотек этих огромное количество и поди разберись, какая из них что делает... Когда это произойдет, единственной защитой пользователей станут те "бойцы невидимого фронта", которые сейчас пишут антивирусные программы.
Следующий этап защиты - блокирование связи трояна с автором. Большинство современных троянов рассчитано на Интернет, поэтому здесь вам понадобится firewall. Firewall - это такая специальная программа, которая пропускает "разрешенные" данные и не пропускает "не разрешенные". Установка и настройка профессионального firewall'а - дело достаточно сложное и требующее изрядных знаний о том, как что работает, но существуют и более простые версии для начинающих пользователей. Например, ZoneAlarm. Когда вы его установите, при каждой попытке какой-либо программы связаться с Интернетом он будет спрашивать, санкционировано соединение или нет.
Напоследок...
Итак, следует принять за правило: любой файл, полученный из сети, если вы заранее не договаривались о его отправке вам, может оказаться трояном или вирусом. Даже самый безобидный, скажем, картинка - она может оказаться замаскированной программой. Каждый такой файл надо либо сразу удалить, если он вам не нужен, либо сохранить на диске и проверить антивирусом, а заодно и посмотреть, что он собой представляет, например, щелкнуть по нему правой кнопкой мыши и выбрать пункт "свойства". Любую новую программу стоит запускать со включенным антивирусом и firewall'ом, а если она пытается связаться с Интернетом, то проводить более детальную проверку. И главное не забывать производить переодическую проверку системы антивирусом, не забывать производить обновление антивирусеых баз, иначе ваш антивирус станет значительно менее эффективным.
(с)
Вирус Морриса - высоколожная 60000-байтная программа, разработанная с расчётом на поражение операционных систем UNIX Berkeley 4.3, SUN.
Вирус изначально разрабатывался как безвредный и имел лишь целью скрытно проникнуть в вычислительные системы, связанные сетью Arpanet, и остаться там необнаруженным. Вирус Морриса является представителем вирусного семейства сетевых червей.
Черви - вирусы, которые распространяются в среде сети с использованием соответствующих сетевых средств и обеспечивают свою работу полностью сами.
Программа была написана с выдающимся мастерством. Вирусная программа включала компоненты, позволяющие раскрывать пароли, существующие в инфицируемой системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса.
Вирус Морриса стал началом появления такого явления, как компьютерные вирусы. Компьютерные вирусы становятся всё изощрённее, и защититься от них - как и бороться с ними - становиться всё сложнее. С другой стороны, появляется всё более мощные средства защиты от компьютерных вирусов.
Инцидент с вирусом Морриса затронул столь многие проблемы, что на примере этого дела стоит долго и внимательно учиться, чтобы избежать повторения выявленных инцидентом недостатках в родных пределах.
По самым скромным оценкам инцидент с вирусом Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов. Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.
Вирус Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя.
После дезассемблирования вируса сотни программистов по всей стране занялись разработкой "ловушек" для вируса и созданием "заплат" на месте обнаруженных вирусом "дыр" в подсистеме безопасности своих систем. Эти затраты оцениваются в десятки тысяч часов рабочего времени. Стивен Росс, старший администратор фирмы бухгалтерских услуг и консультаций Delloitte, Haskins & Sells, сказал: "Эпоха вирусов-шутих, не имеющих каких-либо определённых задач или целей, кончается, перед нами-эпоха ориентированных вирусов".
Классификация компьютерных вирусов
Как и в обычной зоологии, компьютерных тварей можно классифицировать по характерным признакам и распределить их по группам.
Стандартные COM-EXE-TSR - вирусы.
Наиболее многочисленная группа вирусов - это стандартные COM-EXE-TSR - вирусы. Для проникновения в компьютер они пользуются либо стандартными средствами операционной системы, либо средствами BIOS, либо и теми и другими одновременно. Проникая в различные выполняемые файлы, сектора дисков и в оперативную память, вирусы обживают новую среду обитания: плодятся и размножаются. Создаются новые копии вируса и поражаются новые объекты. Обычно эти вирусы довольно примитивны. Обнаружить их можно практически сразу по некорректной работе компьютерной системы, уменьшению количества доступных системных ресурсов(например, дисковой и оперативной памяти) либо по изменению длины выполняемых файлов.
"Стелс"-вирусы.
Полный стелс! - Компьютерный жаргон, означающий, что вирус захватил большинство системных функций операционной системы.
Более "достойным" объектом изучения являются так называемые "стелс"(Stealth)-вирусы. Представители этого класса используют различные средства для маскировки своего присутствия в системе. Обычно это достигается путём перехвата ряда системных функций, ответственных за работу с файлами. "Стелс"- технологии делают невозможным обнаружение вируса без специального инструментария. Вирус маскирует и приращение длины поражённого объекта (файла), и своё тело в нём, "подставляя" вместо себя "здоровую" часть файла.
Хотя большинство качественных антивирусных средств в состоянии обнаружить и блокировать действие активной резидентной части известного "стелс"- вируса, они оказываются практически беззащитными перед новыми вирусами.
Полиморфные вирусы.
Многие из вас наверняка слышали такой термин, как полиморфные (polymorphic) вирусы. Эти вирусы используют специальные механизмы, которые затрудняют их обнаружение. Обычно такие вирусы содержат код генерации шифровщика и расшифровщика собственного тела. Создаваемые генератором шифровщики (и соответствующие расшифровщики) обычно изменяются во времени. В полиморфных вирусах расшифровщик не является постоянным - для каждого инфицированного файла он свой. По этой причине зачастую нельзя установить инфицированный файл по характерной для данного вируса строке (сигнатуре). Вследствие этого некоторые антивирусные средства в принципе не ловят полиморфные вирусы (наглядный пример такого рода - весьма популярный антивирус Aidstest).
Macro-вирусы.
В последнее время появились и практически молниеносно распространились так называемые macro-вирусы. Они используют возможности макроязыков, встроенных в различные системы обработки информации (текстовые редакторы, электронные таблицы и т.п.). Сегодня подобные вирусы широко распространены в системах MS Word и Exel. В этих пакетах вирусы захватывают управление при открытии или закрытии заражённого файла, перехватывают некоторые файловые функции и затем заражают файлы, к которым происходит обращение. В какой-то степени подобные вирусы можно назвать "резидентными", так как они активны только в своей среде - соответствующем приложении. Особенностью таких вирусов является то, что они способны "жить" не только на отдельных компьютерах, а быстро распространяться по сети на все машины, где возможна работа соответствующих приложений.
Трояны.
Как и вирусы, трояны - это программы. Сами по себе они не заводятся, а, как правило, попадают на ваш компьютер вместе с какими-то другими программами. Изначально троянами назывались программы, которые, помимо своей основной работы, выполняли еще что-то, - как правило, давали возможность после ввода некоего специального кода попасть в систему (так называемые "back doors"). Теперь трояны способны, например, перехватывать введенные пользователем пароли и записывать их в файл или пересылать автору. В этом и заключается основное, на мой взгляд, отличие троянов от вирусов: вирусы самодостаточны, а трояны должны "связываться" со своим автором. То есть если бороться с вирусами можно только одним способом - вылавливать и уничтожать, - то для защиты от троянов можно перекрыть им возможность связи с автором. Разумеется, это никак не исключает необходимости вылавливать их и удалять, - просто еще одна мера защиты.
Еще одно - непринципиальное - различие между вирусами и троянами заключается в том, что вирусы встраиваются в нормальные программы ("заражают" их), после чего при запуске зараженной программы сначала выполняется код вируса, а потом вирус выполняет настоящую программу. Трояны же в последнее время создаются в виде отдельного файла, который работает сам по себе. Для выполнения своей функции (дать доступ в компьютер или переслать ваши пароли) троян должен запуститься. Таким образом, если контролировать, какие именно программы запускаются на компьютере, то можно защититься от довольно большого числа вредителей.
Подобная защита - запрещение запуска файлов - успешно работает против абсолютного большинства ныне действующих троянов, но я подозреваю, что не за горами то время, когда "в свободное распространение" поступят трояны, встраивающиеся в различные системные библиотеки. С ними бороться будет намного сложнее - библиотек этих огромное количество и поди разберись, какая из них что делает... Когда это произойдет, единственной защитой пользователей станут те "бойцы невидимого фронта", которые сейчас пишут антивирусные программы.
Следующий этап защиты - блокирование связи трояна с автором. Большинство современных троянов рассчитано на Интернет, поэтому здесь вам понадобится firewall. Firewall - это такая специальная программа, которая пропускает "разрешенные" данные и не пропускает "не разрешенные". Установка и настройка профессионального firewall'а - дело достаточно сложное и требующее изрядных знаний о том, как что работает, но существуют и более простые версии для начинающих пользователей. Например, ZoneAlarm. Когда вы его установите, при каждой попытке какой-либо программы связаться с Интернетом он будет спрашивать, санкционировано соединение или нет.
Напоследок...
Итак, следует принять за правило: любой файл, полученный из сети, если вы заранее не договаривались о его отправке вам, может оказаться трояном или вирусом. Даже самый безобидный, скажем, картинка - она может оказаться замаскированной программой. Каждый такой файл надо либо сразу удалить, если он вам не нужен, либо сохранить на диске и проверить антивирусом, а заодно и посмотреть, что он собой представляет, например, щелкнуть по нему правой кнопкой мыши и выбрать пункт "свойства". Любую новую программу стоит запускать со включенным антивирусом и firewall'ом, а если она пытается связаться с Интернетом, то проводить более детальную проверку. И главное не забывать производить переодическую проверку системы антивирусом, не забывать производить обновление антивирусеых баз, иначе ваш антивирус станет значительно менее эффективным.
(с)