Два вируса из десятки самых опасных

Министерство  науки и образования  Украины

Одесский  государственный  экологический университет 
 

Факультет компьютерных наук

Кафедра информационных технологий 
 

Доклад

по интернет-технологиям

На тему: «Два вируса из десятки самых опасных» 
 
 

Выполнила: студентка группы К-43

Рашковская Анна Юрьевна 
 
 
 
 
 
 

Одесса  – 2011

Новые вирусы могут  не просто уничтожить информацию на винчестере компьютера, но и уничтожить ваш  компьютер полностью.

Идея компьютерных вирусов, как это ни странно, зародилась задолго до появления самих персональных компьютеров. В 1959 г. L.S. Penrose опубликовал в журнале “Scientific American” статью, посвященную самовоспроизводящимся механическим структурам, в которой была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Вскоре F.G. Stahl практически реализовал эту модель с помощью машинного кода на IBM 650.

В дальнейшем, начиная  с 20 апреля 1977 года (в этот день был  выпущен первый компьютер для  массового пользования), условия  реализации самовоспроизводящихся  программ улучшились. Значительно расширился ассортимент доступных рядовому пользователю персональных компьютеров. Шло интенсивное развитие как компьютеров, так и программного обеспечения для них. Появлялись первые банки данных. И тогда же начали появляться программисты, реализующие идею L.S. Penrose.

90-е годы —  расцвет глобальной сети Интернет, что облегчило распространение  вирусов. Но тогда увеличивалось  их количество. Сейчас же вирусы  становятся более умными и  хитрыми. Они способны приспособиться  за короткий период времени  к новым условиям. Некоторые, шутливые, могут просто перезагрузить компьютер,  проиграть мелодию и не принести  никакого вреда. Но таких вирусов  осталось очень мало.

Сейчас речь пойдет именно о таких вирусах, которые  уничтожают и данные на винчестере компьютера, и сам компьютер перестает  загружаться.

Стоит ли включать компьютер 26 апреля?

Наверное, нет  ни одного пользователя, хакера и даже ламера, который не знает о роковом дне 26 апреля. Да, это день активации одного из самых опасных вирусов, имя которого Win95.CIN, известного также, как “Чернобыль”. Этот вирус разрушает аппаратную часть компьютеров. 26-го числа каждого месяца (только некоторые версии вируса), после срабатывания деструктивного кода вируса, материнские платы компьютеров становятся практически неработоспособными. Но только в том случае, если в этих компьютерах, инфицированных вирусом Win95.CIH, переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры поставляются и продаются именно с таким положением переключателя.

Что же представляет собой  этот “Computer Killer”?

Вирус Win95.CIH был  написан в Тайване, распространялся  автором этого детища в Интернете, и в настоящее время поразил  большинство стран Юго-Восточной  Азии, а также некоторые европейские  страны (в частности, очень серьезно пострадала Швеция). 

Вирус Win95.CIH очень  опасный резидентный вирус. Заражает файлы в формате EXE PE под управлением  операционной системы Windows 95. При заражении файлов вирус не увеличивает их длины, а использует довольно интересный механизм заражения файлов. Каждая кодовая секция EXE PE файла выровнена на определенное количество байт, обычно не используемых программой. В такие области вирус и записывает части своего кода, “разбрасывая” их иногда по всему файлу (или по всем кодовым секциям). Кроме того, вирус может записать свою стартовую процедуру (процедуру, первой получающую управление при запуске программы) или даже весь свой код в область заголовка EXE PE файла и установить точку входа программы на эту стартовую процедуру. Таким образом, точка входа файла может не принадлежать ни одной кодовой секции файла.

При получении  управления вирус выделяет себе блок памяти посредством вызова функции  PageAllocate и “собирает себя по частям” в единое целое в этом выделенном участке памяти. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии файлов с расширением EXE и форматом PE вирус инфицирует их.

26-го числа  каждого месяца вирус уничтожает  содержимое Flash BIOS, записывая в него случайные данные (“мусор”). В результате после первой же перезагрузки компьютер перестает загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.

В настоящее  время существует три модификации  вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:

— Win95.CIH.1003 — CIH v1.2 TTIT

— Win95.CIH.1010 — CIH v1.3 TTIT

— Win95.CIH.1019 — CIH v1.4 TATUNG

Что же произошло 26 апреля 1999 года в России?

26 апреля 1999 года  за первые 9..10 часов с утра было  зафиксировано только по России  более чем в 20 городах срабатывание  вируса Win95.CIH. В офисы разработчиков  антивирусных программ поступало  множество звонков и сотни  электронных писем. За последние  несколько лет это самый крупный  случай срабатывания компьютерного  вируса, к тому же приводящий  к потере данных и временному  выводу из строя компьютеров.

При работе 26 апреля в Windows 95/98 вирус, определив, что наступило нужное число, запускает деструктивную функцию. В результате чего произошло следующее:

— Деструктивная  функция пытается записать “мусор”  во FLASH BIOS компьютера. Если эта операция удается, то компьютер можно восстановить только заменой микросхемы BIOS или  перешивкой этой микросхемы на специальном  оборудовании. К сожалению, иногда это  практически невозможно. В частности, на некоторых типах портативных  компьютеров придется менять материнскую  плату, что может стоить практически  столько же, что и новый компьютер;

— Параллельно  записи “мусора” во FLASH BIOS затирались данные на дисках, в них был записан  случайный “мусор”.

Восстановление  данных на дисках практически невозможно. В любом случае, в результате этих операций компьютер не грузится, и  зачастую это выглядит как поломка. В службу технической поддержки  фирмы “Красная волна”, занимающейся сборкой и продажей компьютеров, за 1-ю половину дня 26 апреля 1999 г. обратились более 50 клиентов, которые были уверены, что у них вышел из строя  блок питания.

Вирус Win95.CIH уверенно входит в 10 самых распространенных вирусов в мире. Причем из этой десятки  данный вирус единственный, в который  встроены серьезные деструктивные  функции. Срабатывает этот вирус  один раз в год — 26 апреля. Hекоторые, появившиеся позже модификации срабатывают 26-го числа каждого месяца.

В целом вирус Win95.CIH давно известен (подробное  описание его можно найти на сайтах антивирусных фирм). Антивирусные программы, к примеру, такие, как “DrWeb”, “AntiViral Toolkit Pro” и другие подобные, давно знают и умеют лечить этот вирус. Естественно, до того, как вирус активируется и похоронит себя вместе с другими данными. Но, как показывает произошедшее, большая часть пользователей, несмотря на предостережения, не пользуется антивирусами. Причем у многих из пострадавших были антивирусные программы более-менее свежих версий, но они их не запускали для проверки дисков компьютера. И вирус все-таки сработал!

Старые избитые  советы “не пользуйтесь непроверенными источниками”, “регулярно проверяйте диски антивирусными программами” помогают и в этом случае. Те, кто  заботится о сохранности данных и пользуется свежими версиями антивирусных программ, защищен от таких вирусных атак.

Результаты  второго пришествия злосчастного вируса

В 2000 году компьютерщики всего мира ждали два “конца света”. Первый — в ночь на 1 января 2000 года. Второй, поскольку первый так и не произошел, был назначен на 26 апреля. Именно в этот день в прошлом году были “убиты” сотни тысяч компьютеров, пораженные вирусом Win95.CIN (неформальное название — “Чернобыль”). Второй “конец света” также, к счастью, не состоялся, хотя и в этом году в России и других странах было повреждено довольно большое количество компьютеров.

В течение 26-27 апреля в “ДиалогHауку” (один из крупных разработчиков антивирусных программ) обратились около 200 пользователей, на компьютерах которых сработал вирус “Чернобыль”. Конечно, по сравнению с прошлым годом, когда количество обращений превысило 1000, это немного (что, впрочем, мало утешает тех, кто пострадал от вируса). По общему мнению специалистов, повторной эпидемии удалось избежать благодаря широкой распространенности и доступности современных антивирусных средств, посредством которых данный вирус может быть обнаружен и уничтожен.

“ДиалогHаука” 15 апреля объявила о бесплатной раздаче последней, полнофункциональной версии сканера Doctor Web. К 26 апреля в рамках этой акции Doctor Web бесплатно получили более 20 000 человек. Основной целью этой акции было предоставление пользователям надежного средства защиты именно от вируса Win.CIH. 

Еще один “Убийца”

Как люди общались между собой, когда были далеко друг от друга лет десять назад и  раньше? Они писали прекрасные письма. Писали на бумаге, от руки... Сейчас же люди могут посылать письма, даже не просто в пределах своей страны, по всему  миру за секунды. Все, что для этого  нужно это компьютер и Интернет. Электронная почта во многом, в  десятки или даже в сотни раз  превосходит обычную почту. Но она  также имеет недостатки. Разве  вы можете в конверте с обычным  письмом получить от друга, знакомого, любимого или любимой вирус, который  убьет вас или причинит вам  вред. Нет!!! А через электронную  почту, к сожалению, даже от любимого или любимой ваш компьютер  может поразить вирус.

Вирусы, распространяемые по электронной почте, способны к  самораспространению. Т.е. человек, якобы  отправивший вам письмо, даже не подозревает о том, что он отправил данное письмо. Подобные вирусы, при  открытии пользователем прикрепленного файла-вируса к полученному письму, “залезают” в адресную книгу и  создают письма со своими файлами, которые  благополучно отправляются (в большинстве  случаев сразу же) по всем адресам  из адресной книги. Адресат, увидев письмо от друга, без опаски открывает прикрепленный  файл, и сразу же заражает свой компьютер, а также непроизвольно посылает вирус другим адресатам. Вирус может  быть замаскирован под, скажем, файл MS Word. Кто догадается, что лучший друг прислал вирус, да еще и в Word-файле?

Любовные  письма

В начале мая 2000 года количество признаний в любви  как минимум в 3 раза превысило  среднестатистические показатели. Признавались в любви все — от секретарш  до парламентариев и министров, причем настойчиво и без разбору —  всем, кому они могли это сделать.

Началась эта  сокрушающая любовь 4 мая 2000 года, когда  один из пользователей (возможно, студент) разослал свой новый вирус-червь  в конференции Интернет. Дальнейшее распространение червя шло фантастически  быстро по причине “веерной рассылки”  — он отправлял свои копии по всем адресам электронной почты  из адресной книги Outlook.

Евгений Касперский (разработчик одной из лучших антивирусных программ) прокомментировал глобальную эпидемию нового червя: “Этот червь  рассылает себя САМ и СРАЗУ  в момент его запуска (а не приклеивается  к отсылаемым пользователем письмам, как это делает нашумевший в начале 2000 года скрипт-червь KakWorm). Червь рассылает себя по ВСЕМ адресам адресной книги (а не по 50-ти первым, как делала Melissa). В результате распространение зараженных писем имело взрывной эффект, сравнимый с ядерной цепной реакцией. Допустим, в адресной книге сервера примерно 300 адресов, в компании работает 50 человек, и примерно 20% персонала не понимают, что запускать файлы из вложений нельзя — получаем примерно следующее. Если в такую компанию попадает письмо с вирусом, то от компании уходит примерно 0.20*50*300 = 3000 зараженных писем. Как мне помнится, в атомных бомбах соотношение “разлетабельности” нейтронов примерно 3 на 1 прилетевший. То есть, компьютерная любовь бьет в 1000 раз сильнее”.

Первыми от вируса Love.Letter пострадали страны Азии, поскольку вирус был выпущен на свободу именно там (Филиппины). Затем он пришел в Европу, из Европы в Америку и к нам в Россию. В “Лабораторию Касперского” первое, но далеко не последнее, зараженное письмо поступило первый раз в 13:08 минут по московскому времени.

В 17:30 по московскому  времени, когда в США началось утро, весь мир лежал у ног новоявленного  компьютерного монстра — поступили  сообщения о массовых заражениях компаний и частных пользователей. По оценкам различных, компаний поражению  подверглось огромное количество компьютерных сетей (от 30% до 80% в зависимости от страны). Количество зараженных компьютеров  на третий день нашествия червя оценивается  в 3 миллиона. Ориентировочные данные об убытках колеблются от сотен миллионов  до 10 миллиардов долларов США.

Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле “Тема” письма запись “I Love You” или “Love Letter”, впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины. По оценке экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.

По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося по миру: “за четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран”.