Почему вирусы пишут программы
Обновлено: 21.11.2024
Университет Калгари в последнее время привлекает большое внимание. Школа предлагает курс по написанию компьютерных вирусов и вредоносных программ.
В последние дни публиковались истории за историями о плюсах и минусах этики и мудрости обучения молодых людей написанию вредоносного кода. Чаты были полны откликов читателей, а в некоторых случаях возникало небольшое обзывание. "Ты глупый!" — Нет, ты дурак! "Ты глупее!"
Разработчики антивирусного программного обеспечения в большинстве своем возмущены дерзостью университета, обучающего людей написанию вредоносного кода. Генеральный директор Sophos даже заявил, что его компания никогда не возьмет на работу человека, написавшего вирусный код.
Яростные дебаты, похоже, поровну разделились между теми, кто против обучения таким навыкам в школе, и теми, кто считает, что научиться писать код, содержать его и уничтожать — ценный навык.
"Мое мнение о курсе Uni вирусного письма несколько искажено. Для меня это и плохо, и хорошо одновременно. Короче говоря, я думаю, что (смотря на это объективно), я должен сказать, что университет делает Конечно, это "плохо". Я имею в виду, что они могут говорить, что хотят, но любой здравомыслящий человек может видеть, что курс ПРИВЛЕКЕТ некоторых потенциальных новых вирусных кодеров. Я должен согласиться, что это действительно помогает узнать, как конкретный тип вируса заражает Хост-файл.. Но сказать, что им действительно нужно научиться писать вирусы? Честно. Нет.. Нет, теоретическое введение в то, как вирусы могут заражать файлы, как выглядит зараженный хост-файл, может быть полезным, но я не Я не думаю, что изучение того, как их писать, сделает их хорошими экспертами по безопасности или AVers [кто-то, кто работает над написанием антивирусного кода]. мнение полностью меняется... Я думаю, что этот курс действительно может привлечь новых успешных вирусописателей, которые пишут больше, чем просто дерьмо VBS и пакетных сценариев. Больше НАСТОЯЩИХ вирусов и поддержите сцену. Поэтому я думаю, что для мира, выступающего за вирусы, это может быть «позитивным» моментом. А может и нет, в зависимости от того, как писать вирусы собираются учить. к вирусной «сцене» весь университетский курс МОЖЕТ быть просто положительным моментом».
Однако на самом деле никому не нужно ходить в школу, чтобы научиться писать вредоносный код. Все это доступно бесплатно онлайн. Помимо веб-сайта Gigabyte, вот еще несколько примеров:
-
— это группа вирусописателей, на временном веб-сайте которых в разделе политики и целей говорится следующее: «Мы кодируем вирусы для удовольствия, потому что это наше хобби, а не потому, что мы хотим навредить другим людям или навлечь на себя неприятности. ." Сайт включает интервью с другими «кодерами», официальные документы и исходный код вируса. Одна из таких тем озаглавлена «Внедрение «аддонов» TCPIP в ваши вирусные материалы». Кажется, что большей части информации на этом сайте уже несколько лет, но достаточно сказать, что такие сайты существуют. — это сайт, который смело заявляет на своей домашней странице: «Вирусы не вредят невежеству!» Этот сайт полностью открыто заявляет о своей миссии: «Этот сайт содержит обширную, постоянно обновляемую коллекцию журналов, образцов вирусов, источников вирусов, полиморфных движков, генераторов вирусов, руководств по написанию вирусов, статей, книг, архивов новостей и т. д. Некоторые из вас могут обоснованно заявляют, что размещение такого контента в сети является незаконным или что эта информация может быть использована «злоумышленниками». Я только хочу спросить этого человека: «Является ли невежество защитой?»
- Центр торговли вирусами — еще один сайт, посвященный явно темной стороне: «Этот сайт посвящен торговле вирусами. Это означает, что если вы ищете какой-либо вирус или собираете вирусы, вам понравится этот сайт. . Здесь вы найдете все необходимое для торговли со мной, но вы не найдете никаких вирусов, бинарных файлов или исходных файлов."
На основании небольшого количества исследований я пришел к выводу, что размещение двоичных файлов (исполняемого кода) на общедоступном веб-сайте считается недопустимым. Представляется нормальным предоставлять письменные материалы, пояснения и исходный код, но предоставление двоичных файлов может вызвать у вас проблемы.
На всех сайтах имеется заметная оговорка об ответственности за использование информации конечными пользователями. Звучит разумно. Чего я не знал, так это того, что написание вирусов стало таким популярным хобби во всем мире.
Итак, напрашивается вопрос: почему бы не рассказать студентам о вирусах, о том, как они создаются и как бороться с ними в контролируемой среде, при этом не забывая при этом об этике в университетской среде? Я только за. Полностью избавьтесь от тайны. Вы действительно думаете, что кто-то, кто хочет причинить вред, будет сидеть на уроке в колледже и платить за получение информации? Я нашел достаточно опасной информации примерно за 15 минут с помощью поисковой системы Google.
Мое мнение не имеет значения.Важно то, что все наши объединенные мнения могут быть высказаны свободно. Похоже, что поставщики антивирусов объединяются против университета в Калгари, Альберта, и отказываются нанимать студентов, окончивших курс. Антивирусная сеть обмена информацией также опубликовала это письмо в ответ. В письме говорится: «Нет необходимости и бесполезности писать компьютерные вирусы, чтобы научиться защищаться от них».
На одном чате, который я посетил, читатель предположил, что обучение написанию вирусов похоже на преподавание курса по небезопасному сексу 101. Я подумал, что это отличная идея. Это как реверсивная психология. Уберите мистику, раскройте уродство, посмотрите правде в глаза, и вуаля, у вас есть то, с чем вы можете справиться. Один читатель сравнил создание лучшего вирусного программного обеспечения (не антивирусного программного обеспечения) с созданием большей бомбы. Я не был уверен, был ли читатель за или против, основываясь только на этом комментарии. Один человек, явно противный, сравнил написание вирусов с прогулкой по живому минному полю. Читатель спросил: «Зачем подвергать себя такому риску?» Некоторые сравнивали запись компьютерных вирусов с вирусами здоровья. Вы знаете, как ОРВИ. Другие утверждали, что написание вирусов в основном выявляло недостатки безопасности в различных операционных системах и приложениях и что писатели оказывали услугу всему свободному миру, публикуя свои результаты.
Думаю, я голосую за Университет Калгари, хотя все «официальные» антивирусные компании и организации голосуют против его курса. Я считаю, что чем больше информации, тем лучше. Не говорите мне, что университет будет нести ответственность за очередное уничтожение Интернета, когда люди со всего мира, обладающие огромным опытом, занимаются написанием вирусов в качестве ежедневного хобби. Пусть дети получают образование. Доверьте ответственность университету.
У меня есть предложение для противников программы Калгари. Почему бы не послать инженера из вашей компании помочь профессору в написании первоклассной программы и не послать кого-то еще, чтобы убедиться, что приняты надлежащие меры безопасности? Если вы собираетесь ныть об этом, вам нужно что-то с этим делать. Измени ситуацию.
Эта информация дает представление о вирусах и способах их защиты.
Часто задаваемые вопросы
Для получения дополнительной информации
US-CERT предлагает множество ресурсов, которые помогут вам создать более безопасную домашнюю вычислительную среду. Эти документы могут представлять особый интерес, если у вас есть опасения по поводу вирусов и троянских коней:
Часто задаваемые вопросы
Что такое вирус?
Компьютерный вирус – это программа, которая распространяется, сначала заражая файлы или системные области компьютера или жесткого диска сетевого маршрутизатора, а затем создавая свои копии. Некоторые вирусы безвредны, другие могут повредить файлы данных, а некоторые могут уничтожить файлы. Раньше вирусы распространялись, когда люди совместно использовали дискеты и другие портативные носители, теперь вирусы в основном распространяются через сообщения электронной почты.
В отличие от червей, для распространения вирусов часто требуется какое-либо действие пользователя (например, открытие вложения электронной почты или посещение вредоносной веб-страницы).
Что делают вирусы?
Вирус — это просто компьютерная программа. Он может делать все то же, что и любая другая программа, которую вы запускаете на своем компьютере. Некоторые вирусы предназначены для преднамеренного повреждения файлов, а другие могут просто распространяться на другие компьютеры.
Что такое червь?
Червь – это тип вируса, который может распространяться без участия человека. Черви часто распространяются от компьютера к компьютеру и занимают ценную память и пропускную способность сети, что может привести к тому, что компьютер перестанет отвечать на запросы. Черви также могут позволить злоумышленникам получить удаленный доступ к вашему компьютеру.
Что такое троянский конь?
Троянский конь — это компьютерная программа, скрывающая вирус или другую потенциально опасную программу. Троянский конь может быть программой, которая претендует на выполнение одного действия, когда на самом деле она выполняет вредоносное действие на вашем компьютере. Троянские кони могут быть включены в программное обеспечение, которое вы загружаете бесплатно, или в виде вложений в сообщения электронной почты.
Могу ли я заразиться вирусом, читая сообщения электронной почты?
Большинство вирусов, троянских коней и червей активируются, когда вы открываете вложение или переходите по ссылке, содержащейся в сообщении электронной почты. Если ваш почтовый клиент позволяет использовать сценарии, то можно получить вирус, просто открыв сообщение. Лучше ограничить доступный HTML-код в сообщениях электронной почты. Самый безопасный способ просмотра сообщений электронной почты — это обычный текст.
Как избежать заражения вирусами через электронную почту?
Большинство пользователей заражаются вирусами, открывая и запуская неизвестные вложения электронной почты. Никогда не открывайте ничего, что прикреплено к сообщению электронной почты, если вы не знаете содержимое файла. Если вы получили вложение со знакомого адреса электронной почты, но ничего не ожидали, вам следует связаться с отправителем, прежде чем открывать вложение. Если вы получили сообщение с вложением и не узнали отправителя, вам следует удалить это сообщение.
Выбор варианта просмотра сообщений электронной почты в виде обычного текста, а не HTML, также поможет вам избежать заражения вирусом.
Какие советы помогут избежать вирусов и уменьшить их воздействие?
Любой, кто когда-либо сталкивался с вирусом, атакующим его систему, слишком хорошо знает, что это может быть невероятно стрессовым.
Как бы странно это ни звучало, компьютерный вирус — нечто вроде чуда информационной эпохи. С одной стороны, вирусы показывают нам, насколько мы уязвимы — правильно спроектированный вирус может иметь разрушительный эффект, снижая производительность и причиняя ущерб на миллиарды долларов. С другой стороны, они показывают нам, насколько сложными и взаимосвязанными стали люди.
Например, по оценкам экспертов, в январе 2004 г. червь Mydoom заразил около четверти миллиона компьютеров за один день. В марте 1999 г. вирус Melissa был настолько мощным, что заставил Microsoft и ряд других очень крупных компаний полностью отключить свои системы электронной почты, пока вирус не будет локализован. Вирус ILOVEYOU в 2000 году имел такой же разрушительный эффект. В январе 2007 года появился червь Storm — к октябрю, по оценкам экспертов, было заражено до 50 миллионов компьютеров. Это впечатляет, если учесть, что многие вирусы невероятно просты.
- Вирусы. Вирус – это небольшой фрагмент программного обеспечения, который подключается к реальным программам. Например, вирус может присоединиться к такой программе, как программа для работы с электронными таблицами. Каждый раз, когда запускается программа для работы с электронными таблицами, запускается и вирус, который может размножаться (путем присоединения к другим программам) или наносить ущерб.
- Вирусы электронной почты. Вирус электронной почты распространяется как вложение к сообщениям электронной почты и обычно размножается, автоматически рассылая себя десяткам людей из адресной книги электронной почты жертвы. Некоторые почтовые вирусы даже не требуют двойного щелчка — они запускаются, когда вы просматриваете зараженное сообщение на панели предварительного просмотра вашего почтового программного обеспечения [источник: Джонсон].
- Троянские кони. Троянский конь — это просто компьютерная программа. Программа утверждает, что делает одну вещь (она может называться игрой), но вместо этого причиняет вред, когда вы ее запускаете (она может стереть ваш жесткий диск). Троянские кони не могут воспроизводиться автоматически.
- Черви. Червь — это небольшая программа, которая использует компьютерные сети и бреши в системе безопасности для своего воспроизведения. Копия червя сканирует сеть в поисках другой машины, имеющей определенную брешь в системе безопасности. Он копирует себя на новую машину, используя дыру в безопасности, а затем также начинает репликацию оттуда.
В этой статье мы обсудим вирусы — от «традиционных» вирусов до вирусов электронной почты и эксплойтов, которые могут быть нацелены на ваш мобильный телефон, — чтобы вы могли узнать, как они работают, и понять, как защитить себя. р>
Компьютерные вирусы называются вирусами, потому что они имеют некоторые общие черты с биологическими вирусами. Компьютерный вирус передается от компьютера к компьютеру так же, как биологический вирус передается от человека к человеку.
В отличие от клетки вирус не может воспроизводиться сам по себе. Вместо этого биологический вирус должен ввести свою ДНК в клетку. Затем вирусная ДНК использует существующий механизм клетки, чтобы воспроизвести себя. В некоторых случаях клетка наполняется новыми вирусными частицами, пока не лопнет, высвобождая вирус. В других случаях новые вирусные частицы отпочковываются от клетки по одной, и клетка остается живой.
Подобно тому, как биологический вирус должен цепляться за клетку, компьютерный вирус должен запускаться поверх какой-либо другой программы или документа. После запуска компьютерный вирус может заразить другие программы или документы. Очевидно, что аналогия между компьютерными и биологическими вирусами немного преувеличена, но сходства достаточно, чтобы название запомнилось.
Люди пишут компьютерные вирусы. Человек должен написать код, протестировать его, чтобы убедиться, что он правильно распространяется, а затем выпустить его. Человек также проектирует фазу атаки вируса, будь то глупое сообщение или разрушение жесткого диска. Почему они это делают?
Есть как минимум четыре причины. Во-первых, это та же самая психология, которая движет вандалами и поджигателями. Зачем кому-то хотеть разбить окно в чьей-то машине, нарисовать вывески на зданиях или сжечь красивый лес? Для некоторых людей это кажется кайфом. Если такой человек знает компьютерное программирование, то он или она может направить энергию на создание разрушительных вирусов.
Вторая причина связана с острыми ощущениями от наблюдения за тем, как что-то взрывается. Некоторые люди увлекаются такими вещами, как взрывы и автокатастрофы. Когда вы росли, в вашем районе мог быть ребенок, который научился делать порох. И этот парень, вероятно, строил бомбы все больше и больше, пока ему не стало скучно, или он не причинил себе серьезного вреда.Создание вируса немного похоже на это: он создает виртуальную бомбу внутри компьютера, и чем больше компьютеров заражается, тем "веселее" взрыв.
Третья причина связана с хвастовством. Что-то вроде Эвереста — гора есть, значит, кто-то вынужден взобраться на нее. Если вы относитесь к определенному типу программистов, которые видят дыру в безопасности, которую можно использовать, вы можете просто быть вынуждены использовать дыру самостоятельно, прежде чем кто-то другой опередит вас в этом.
А еще есть холодные наличные деньги. Вирусы могут заставить вас купить поддельное программное обеспечение, украсть вашу личную информацию и использовать ее для получения ваших денег или быть проданными на цифровом эквиваленте черного рынка. Мощные вирусы являются ценными и потенциально прибыльными инструментами.
Конечно, большинство создателей вирусов упускают из виду тот факт, что они наносят реальный ущерб реальным людям своими творениями. Уничтожение всего на жестком диске человека — это настоящий ущерб. Заставлять крупную компанию тратить тысячи часов на уборку после вирусной атаки — это реальный ущерб. Даже глупое сообщение — это реальный ущерб, потому что кто-то должен тратить время на то, чтобы избавиться от него. По этой причине правовая система продолжает разрабатывать более строгие меры наказания для людей, создающих вирусы.
Каждого второго вторника месяца Microsoft публикует список известных уязвимостей в операционной системе Windows. Компания одновременно выпускает исправления для этих дыр в безопасности, поэтому этот день известен как вторник исправлений. Вирусы, написанные и запущенные во вторник исправлений для поражения неисправленных систем, известны как атаки «нулевого дня». К счастью, основные поставщики антивирусов сотрудничают с Microsoft, чтобы заблаговременно выявлять уязвимости, поэтому, если вы постоянно обновляете свое программное обеспечение и своевременно устанавливаете исправления для своей системы, вам не придется беспокоиться о проблемах нулевого дня.
<р>2. Репликация является преднамеренной, а не просто побочным эффектом. <р>3. По крайней мере, некоторые из репликантов также являются вирусами по этому определению. <р>4. Вирус должен прикрепиться к хосту в том смысле, что выполнение хоста подразумевает выполнение вируса.Итак, мы видим, что определение компьютерного вируса очень близко соответствует определению биологического вируса.
Какие основные типы вирусов существуют? Наверх
Существует несколько основных типов вирусов: вирусы загрузочного сектора, файловые инфекторы и макровирусы. Согласно нашему определению, черви технически не являются вирусами, поскольку они не атакуют хост-программу, но поскольку они стали настолько распространенными, мы обсудим их здесь.
Вирус загрузочного сектора – это вирус, находящийся в части диска компьютера, который читается только при загрузке компьютера, когда вирус загружается в память. Вирусы загрузочного сектора часто распространяются через гибкие диски, у которых также есть загрузочный сектор, который может быть заражен. Если зараженная дискета остается в дисководе при загрузке компьютера, вирус загружается в память и может распространиться на другие диски и компьютеры. Известным вирусом загрузочного сектора является вирус Микеланджело.
Файловые инфекторы, как следует из их названия, «заражают» файлы на компьютере, присоединяясь к исполняемым файлам. Они делают это, либо добавляя свой код к файлу, либо перезаписывая части кода файла. Это имя также используется для описания вирусов, которые не прикрепляются к файлу, а ассоциируют себя с именем файла. Вирус «Ромео и Джульетта», который недавно распространился по университетскому городку, имеет часть, заражающую файлы. Этот файловый заразитель берет файлы с определенными расширениями, такими как .jpg или .doc, создает вирусный файл с тем же именем, но с расширением .exe, чтобы пользователь мог непреднамеренно запустить код вируса, когда он пытается открыть один из своих файлов. документы.
Многочастный вирус сочетает в себе черты вируса загрузочного сектора и вируса-заражателя файлов. В большинстве случаев зараженный файл используется для заражения загрузочного сектора.
Макровирусы появились относительно недавно, но, по оценкам экспертов, они являются наиболее распространенным типом вирусов. Макрос — это набор инструкций в приложении, которые можно использовать для автоматизации задач. Хотя это звучит относительно безобидно, макросы часто могут выполнять системные операции, такие как создание или удаление файлов или запись в уже существующие файлы, и, таким образом, могут нанести большой ущерб. Большинство макросов написано для Microsoft Word и Excel. Они часто работают, заражая шаблон для нового документа. Поэтому каждый раз, когда создается новый документ, вирус реплицируется и запускается. Макросы особенно опасны, потому что они часто могут быть кроссплатформенными, в отличие от большинства вирусов, которые написаны только для ПК.
Черви распространяются по компьютерным сетям и отличаются от вирусов тем, что у них нет основного файла. Однако сегодня черви обычно распространяются через электронную почту. Часто к электронному письму прилагается вложение, и когда пользователь открывает вложение, червь запускается.Черви обычно пытаются рассылать свои копии всем в адресных книгах пользователей. Эта тактика гарантирует, что червь будет распространяться, так как многие неосведомленные пользователи компьютеров откроют любое вложение, если оно от кого-то, кого они знают. Как правило, вложению дается имя, предназначенное для того, чтобы обмануть пользователя, заставив его думать, что он открывает файл другого типа. Например, недавний вирус «Анна Курникова» использовал вложение с именем «AnnaKournikova.jpg.vbs». Некоторые пользователи не заметят расширение .vbs (обозначающее скрипт Visual Basic) и откроют вложение, ожидая увидеть фотографию Анны Курниковой. Однако еще более пугает то, что теперь существуют вирусы, которые могут запускаться на компьютере пользователя, даже если пользователь не открывает вложение. Эти вирусы используют функцию многих программ электронной почты для отображения встроенного HTML-кода в теле сообщения электронной почты и используют дыру в безопасности в Microsoft Outlook и Outlook Express, которая позволяет копировать файлы на компьютер пользователя без его участия. знания или согласия. Вирус Ромео и Джульетты является таким вирусом. Однако пользователи могут защитить себя от этих вирусов, установив исправления безопасности. Помимо уничтожения файлов на зараженных компьютерах, некоторые черви просто рассылают по электронной почте столько своих копий, что это приводит к выходу из строя почтовых серверов, что доставляет большие неудобства школам и компаниям.
Что такое стелс-вирус? А как насчет полиморфного вируса? Какие еще формы вирусов существуют? Популярные
Вирусы-невидимки — это вирусы, активно пытающиеся скрыться от антивирусного программного обеспечения. Они делают это, беря на себя некоторые системные функции, так что даже если вирус изменил часть жесткого диска, например, он вернет правильную, незараженную версию, чтобы его нельзя было обнаружить
Полиморфные вирусы — это вирусы, которые слегка изменяются при каждом запуске. Они предназначены для поражения антивирусных сканеров, которые ищут определенные строки кода для идентификации вирусов. Некоторые вирусописатели написали наборы инструментов, чтобы начинающие пользователи могли писать свои собственные вирусы. Один из таких инструментов называется «Dark Avenger's Mutation Engine» и создает полиморфные вирусы.
Как видно из их названий, быстрые и медленные заразители пытаются избежать обнаружения, либо быстро заражая все файлы в системе, либо медленно заражая их. Быстрые заразители часто используют антивирусное программное обеспечение, поэтому при запуске сканирования каждый раз, когда антивирусное программное обеспечение открывает файл для его сканирования, вирус заражает этот файл. После завершения сканирования каждый файл, к которому прикоснулась антивирусная программа, будет заражен. Медленные инфицирующие используют противоположный подход. Они заражают файл только при его изменении или создании. Это сделано для того, чтобы время модификации файлов казалось пользователю законным.
Разрозненные вирусы заражают только изредка, чтобы избежать обнаружения. Например, вирус, который заражает только 20-й раз при запуске файла, будет разреженным заразителем.
Бронированные вирусы — это вирусы, которые усложняют разборку. Исследователям антивирусов часто приходится дизассемблировать код вируса, чтобы узнать, как он работает и как его победить. Бронированные вирусы намеренно усложняют этот процесс, чтобы снизить вероятность обнаружения контрмер.
Одним из способов, которым пользователь может заподозрить зараженную программу, является внезапное увеличение размера файла, поскольку вирус прикрепил свой код к файлу программы. Cavity-вирусы пытаются обойти это, внедряясь в пустое пространство, которое иногда существует в программах. Таким образом, зараженный файл сохраняет постоянный размер.
Некоторое антивирусное программное обеспечение имеет компонент, который работает в фоновом режиме и постоянно сканирует файлы в системе. Туннельный вирус пытается установить себя под антивирусным программным обеспечением, напрямую перехватывая обработчики прерываний ОС, тем самым избегая обнаружения.
Что такое «троянские кони»? А "капельницы"? Какое отношение они имеют к вирусам? Наверх
Как и в Илиаде Гомера, троянский конь — это программа, которая имеет некоторые скрытые, как правило, вредоносные функции, которые пользователь не ожидает и о которых не знает. Одной из функций может быть запуск вируса. Некоторые трояны кажутся антивирусными программами, но на самом деле сами выполняют вирусный код. Однако общепринятое различие между вирусами и троянскими программами заключается в том, что троянские программы не размножаются самостоятельно.
Дропперы — это программы, которые устанавливают вирусы на компьютеры. Часто цель состоит в том, чтобы сам дроппер не был заражен вирусом и, следовательно, не мог быть обнаружен антивирусным программным обеспечением. Некоторые дропперы также имеют компонент, который может подключаться к Интернету и загружать обновления для вируса. Такой дроппер есть у вируса MTX.
Итак, мы видим, что существует множество типов вирусов, и между авторами вирусов и исследователями антивирусов ведется постоянная борьба за то, чтобы оставаться впереди друг друга.Однако бдительность и надлежащие меры безопасности могут защитить от любого компьютерного вируса.
Читайте также: