Компьютердик вирустар

Өзүн-өзү көбөйтүү механизмдеринин теориялык негизин америкалык венгер Джон фон Нейман негиздеген, ал 1951-жылы ушундай механизмдерди түзүүнү сунуш кылган. 1961-жылдан баштап мындай программалардын иштеген мисалдарды белгилүү болгон.

Биринчи вирус катары Apple II персоналдык компьютерине арналган Virus 1,2,3 жана Elk Cloner аталыштагы вирустар болгон, алар 1981-жылы пайда болгон. 1984-жылдын кышында CHK4BOMB жана BOMBSQAD аталган биринчи антивирустук утилиталар жарык көрүп, автору Энди Хопкинс (англисче Andy Hopkins) болгон. 1985-жылдын башында Ги Вонг (англисче Gee Wong) DPROTECT аталган биринчи резиденттик антивирустук программасын жазат.

Биринчи компьютер вирусунун эпидемиялары 1986-1989-жылдарга таандык: Brain (дискеталардын жүктөлүүчү секторлорунда жайылып, ири эпидемияга алып келген), Jerusalem (1988-жылдын 13-майдын жума күнү чыгып, программаларды иштетүүдө алардын жок кылып турган), Моррис курту (6200дөн ашык компьютер, көптөгөн тармактар 5 күн бою иштебей калган), DATACRIME (Нидерландияда гана орточо 100 миңдей персоналдык элетрондук эсептөөчү машиналар жуктуруп алган).

Ошол эле мезгилде негизги экилик вирустардын класстары калыптанган: тармак курттары (Моррис курту, 1987), «Троя аттары» (AIDS, 1989), полиморфтук вирустар (Chameleon, 1990), стелс-вирустар (Frodo, Whale, 1990-жылдын экинчи жарымы).

Буга жарыш про-, ошондой эле антивирустук багыттагы уюшкан кыймылдар калыптанат: 1990-жылы BBS Virus Exchange, Марк Людвигдин «Компьютердик вирустар жөнүндө кичинекей кара китеп», биринчи коммерциялык антивирус Symantec Norton AntiVirus.

1992-жылы персоналдык компьютерлер үчүн VCL аттуу биринчи вирустардын конструктору (Amiga үчүн конструкторлор андан мурда эле бар болчу) пайда болот, ошондой эле даяр полиморфтук (вирустук кодун шифрлеген) модулдар (MtE, DAME, TPE) жана жаңы вируска киргизүү үчүн шифрлөө модулдары.

Кийинки бир нече жылдарда биротоло стелс- жана полиморфтук технологиялар такшалат (SMEG.Pathogen, OneHalf, SMEG.Queeg, 1994; Nostradamus, NightFall, Nutcracker, 1995), ошондой эле системага кирүү жана файлдарга жуктуруунун эң жөнөкөй ыкмалары текшерилет (Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993). Андан тышкары объекттик файлдарга (Shifter, 1994) жана программалардын баштапкы тексттерине (SrcVir, 1994) жугуучу вирустар пайда болот. Microsoft Office пакетинин пайда болуусу менен макровирустар өөрчүйт (Concept, 1995).

1996-жылы Win95.Boza аталыштагы Windows 95 операциялык системасына вирус чыгып, ошол эле жылдын декарында ага Win95.Punch резиденттик (системалык эсте көчүрмөсүн калтыруучу) вирусу чыгат.

Тармактардын жана Интернеттин жайылышы менен файлдык вирустар аны негизги иштөө каналы катары колдоно баштайт (ShareFun, 1997 - MS Word макровирусу, жайылуу үчүн MS-Mail колдонгондор; Win32.HLLP.DeTroie, 1998 - шпион-вирустар тукуму; Melissa, 1999 - жайылуусу боюнча бүт рекорддорду багындырган макровирус жана тармак курту). «Троя аттарынын» гүлдөө доорун тымызын аралыктан башкаруу утилита BackOrifice (1998) жана анын артынан келген аналогдору (NetBus, Phase) ачат.

Win95.CIH вирусу жуктуруп алган электрондук машиналардын FlashBIOSун кайра жазуу өзгөчө ыкмасын пайдаланып өзүнүн апогейине жетет (1998-жылдын июнь айындагы эпидемия мурдагы жылдарга караганда эң кыйратуучу болгон).

1990-жылдын аягында 2000-жылдын башында программалык камсыздоолордун жана системалык чөйрөнүн татаалдашуусу, салыштырмалуу корголгон Windows NT түркүмүндөгү операциялык системага массалык түрдө өтүү, негизги маалымат алмашуу каналы - тармактардын бекемделиши, ошондой эле антивирустук программалардын вирустарды табуудагы ийгиликтери менен антивирустар файлдарга, операциялык системаларга кирүү (автоматтык иштөө, руткиттер) жана ири көлөмдөгү түрлөр мене полиморфизмдин ордун алмаштыруу менен антивирустар көбүрөөк иш алып бара баштайт (белгилүү вирустардын саны дагы экспоненциалдуу өсө баштайт).

Аны менен бирге Windows жана башка кеңири таралган программалык камсыздоолордогу көптөгөн алсыз жактар эксплоид-курттарга жол ачат. 2004-жылы мурда болуп көрбөгөн масштабтагы эпидемияны MsBlast (Microsoft маалыматы боюнча 16 миллиондон ашык системалар), Sasser жана Mydoom (алдын ала балоо зыяны биринчиси 500 миллион жана экинчиси 4 миллиард доллар) вирустары алып келет.

Анын үстүнө монолиттик вирустар зыяндуу программалык камсыздоо комлексине теңелбейт эмеспи, мындай комплекстер ролдорду бөлүштүрүп, жардамчы каражаттарга ээ (троя программалары, жүктөгүч/дропперлер, фишинг сайттары, спам-боттор жана жөргөмүштөр). Коргоо программаларын айланып өтүп, жуктуруу каражаты катары колдонулган спам жана фишинг сыяктуу социалдык технологиялар дагы гүлдөп өсүүдө.

Алгач троя программаларынын негизинде, p2p-тармак технологияларынын өнүгүүсү менен - өз алдынчалары дагы, вирустардын заманбап түрү ботнет-курттар көбөйгөн (Rustock, 2006, орточо 150 миң боттор; Conficker, 2008-2009, 7 млн бот; Kraken, 2009, орточо 500 миң бот). Вирустар зыяндуу программалардан тышкары биротоло кибер кылмыштуулук каражаты катары түптөлүүдө.

Аталышынын этимологиясы

Компьютердик вирус биологиялык вирустун көбөйүүсүнө окшош болгондуктан аталышы дагы ушундан. Сыягы, биринчилерден «вирус» сөзү программага 1970-жылдын май айында Venture журналында жарыяланган Грегори Бенфорддун (Gregory Benford) «Тырыктуу адам» аталган фантастикалык аңгемесинде колдонулган.

Натыйжада «компьютердик вирус» термини бир нече жолу ачылган. Мисалы, PERVADE (1975) программасындагы өзгөрмөнүн мааниси ANIMAL программасынын диск аркылуу жайылышынан көз каранды болуп, анын аты VIRUS болчу. Ошондой эле, Джо Деллинджер өзүнүн программасын вирус деп атаган, балким бул биринчи туура аталыш болгондур.

Бүгүнкү күндө негизги жайылуу ыкмасы жана функционалдуулугу менен айырмаланган вирустардын түрлөрү аз эмес. Эгер, алгач вирустар дискеталар жана башка алып жүрүүчүлөр аркылуу таралса, бүгүнкү күндө локалдык жана глобалдык (интернет) тармактар аркылуу таркаган вирустар көп.

Учурда вирустарды классификациялоонун жалпы бир системасы жок (бирок стандарт түзүү аракеттери 1991-жылдагы CARO чогулушунда болгон). Вирустарды төмөнкүдөй бөлүп кароого болот:

• бузулуу объектилери аркылуу (файлдык вирустар, жүктөөчү/жүктөлүүчү, сценарийлүү вирустар, макровирустар, алгачкы кодду бузуучу вирустар);
• файлдык вирустарды жугузуу механизми боюнча бөлүшөт: мителик кылуучулар өзүн аткарылуучу файлга киргизет, кайра жазуучулар жуктурулган файлды кайтарымсыз бузат, «спутниктер» өзүнчө файл болот.
• жугуучу операциялык системалар жана платформалар боюнча (DOS, Windows, Unix, Linux, Android);
• вирустардын колдонгон технологиялары боюнча (полиморфтук, стелс-вирустар, руткиттер);
• жазылган тили боюнча (ассемблер, жогорку деңгээлдүү программалоо тили, сценариялык тил ж. б.);
• кошумча зыяндуу функционалдуулугу боюнча (кейлоггерлер, бэкдорлор, шпиондор, ботнеттер ж.б.).

Компьютердик вирустардын түрлөрү

Курттар - Worm

Өзүнүн көчүрмөлөрүн жасап, зыяндуулугу компьютерди таштанды файлдарга толтуруу, натыйжада компьютер жай иштеп калат. Өзгөчөлүгү - зыянсыз программанын бөлүгү боло албайт.

Маскировкалоочу вирустар - Rootkit

Булар зыяндуу активдүүлүктү жашыруу үчүн колдонулат. Антивирустар кармап албашы үчүн зыяндуу программаларды жашырат. Ошондой эле өзүн жашыруу максатында rootkit операциялык системаны модификациялап, негизги функцияларын алмаштырат.

Шпион вирустар - Spyware

Аты айтып тургандай эле колдонуучунун иш-аракетин, маалыматтарын чогултат. Негизинен даректер, сыр сөздөр, кредиттик карталар жөнүндө маалыматтар, телефон номерлер кызыктырат.

Зомби - Zombie

Зомби вирустар кибер кылмышкерге колдонуучунун компьютерин башкарууга мүмкүндүк берет. Зомби компьютерлер ботнет аталган бир тармакка биригип, массалык чабуул же спам жөнөтүү үчүн колдонулушу ыктымал.

Жарнамалык вирустар - Adware

Жарнамаларды көрсөтүү максатында колдонуучунун уруксаты жок программаларга кирип кетет. Эрежеге ылайык жарнамалык вирустар ар кандай программалык камсыздоолордун ичинде болуп, анын жумуш интерфейсинде көрсөтүлөт. Көбүнчө мындай вирустар дагы маалыматтарды чогултуп өзүнүн түзүүчүсүнө жөнөтүп турат.

Блокко түшүрүүчү вирустар - Winlock

Булар колдонуучунун операциялык системасына мүмкүндүгүн жабып, компьютерди иштеткенде колдонуучуну лицензиясы жок программаны көчүргөнү же автордук укуктарды бузганы үчүн айыптайт. Компьютердеги бүт маалыматты өчүрүү коркутуусу менен кайсы бир номерге смс жөнөтүүнү талап кылышат же түз эле акча сурашат. Албетте смс жөнөткөндө блок эч жакка кетпейт.

Троя вирустары - Trojan

Троя вирустары коркунучтуулардын бири, анткени ал зыянсыз программалардын артына жашынып, ал программаны иштетмейинче эч кандай зыян келтирбейт. Троя вирустары компьютерге түрдүү зыяндарды келтирет, негизинен маалыматты уурдоо, өзгөртүү же өчүрүү.

Көбүнчө интернет, локалдык тармактар жана чечилме топточулар (флэшкалар) аркылуу таралат.

Механизми

Вирустар өзүнүн көчүрмөсүн жасап, анын кийинки аткарылышын камсыз кылуу менен таралат: башка программалардын аткарылуучу кодуна кирип, программаны алмаштырып, өзүн реестр аркылуу авто иштетүүгө жазат ж.б. Машиналык кодго ээ программалар гана вирус же анын алып жүрүүчүсү болболстон, автоматтык аткарылуучу командарларды камтыган каалаган маалыматтар дагы болушу мүмкүн - мисалы, Microsoft Word жана Excel пакеттик файлдары, документтери. Компьютерге кирүү үчүн вирустар белгилүү программалык камсыздоолордун алсыз жактарын пайдаланышы мүмкүн (Internet Explorer, Adobe Flash, Outlook), бул үчүн вирусту алсыз жактарын колдонгон эксплоид менен кошо кадимки маалыматтарга кошуп коюшат (мисалы, сүрөттөр, тексттер ж.б.).

Вирус программанын, файлдын же документтин кодуна ийгиликтүү кирген соң, компьютер же түзүлүш кодду аткарууга мажбур кылмайынча ал уйку абалында жата берет. Вирус компьютерди жуктуруш үчүн вирусу бар программаны аткаруу (иштетүү) керек, ошондо ал вирустун кодун иштетет. Бул компьютерде вирус болсо дагы, ал эч кандай белгилери жок иштей берет дегенди билдирет. Качан вирус кыймылдай баштаганда ал башка файлдарды, бир тармакта жайгашкан компьютерлерди дагы жуктурат. Вирус жазуучу программисттин максатына ылайык вирустар анча чоң эмес же кыйратуучу зыян келтириши мүмкүн, мисалы, маалыматтарды өчүрүү же конфиденциалдуу маалыматты уурдоо.

Каналдар

• Дискеталар. 1980-1990-жылдардагы эң кеңири жайылган вирус жуктуруу каналы. Учурда эффективдүүрөөк каналдардын болгонуна жана флоппи-дисктин жоктугуна байланыштуу жокко эсе.
• Флеш-топтоочулар («флешкалар»). Бүгүнкү күндө булар флоппи-дисктерди алмаштырып, алардын вирус ташуудагы ролун аткарууда - көптөгөн вирустар чечилме алып жүрүүчүлөр аркылуу тарап, анын ичинде санарип фотоаппараттар, видео камералар, плеерлер, ал эми 2000-жылдан тарта чоң ролду уюлдук телефондор, өзгөчө смартфондор ойноодо (уюлдук телефондор вирустары). Бул каналды пайдалануу көбүн эсе топтоочуда атайын autorun.inf файлын түзүү менен шартталган, ал файлда топтоочуну ачканда Windows коштоочусу иштетүүчү программаны көрсөтүүгө болот. Windows 7 флэшкадагы файлдардын авто иштетүү функциясы өчүрүлгөн.
• Электрондук почта. Адатынча электрондук каттардагы вирустар зыяны жок тиркемелерде жашырынат: сүрөттөр, документтер, музыка, сайттарга шилтемелер. Кээ бир каттарда чындыгында шилтемелер эле болушу мүмкүн, башкача айтканда каттын өзүндө зыяндуу код болбойт, мындай шилтемени ачканда, вирустук код жайгаштырылган веб-сайтка туш болобуз. Көптөгөн почта вирустары колдонуучунун компьютерине түшкөн соң, өзүн жайылтуу максатында ошол электрондук почтанын ичиндеги даректерди колдонот.
• Тез билдирүүлөр менен алмашуу системалары. Мында дагы көбүнчө сүрөт, видео, музыка өңдүү файлдарга шилтемелер берилет, а бирок алар вирус болуп чыга келет. Буларга: ICQ, WhatsApp, Telegram, Viber ж. б. кирет.
• Веб-барактар. Интернет барактары аркылуу дагы вирус жуктуруу мүмкүн, веб-барактарда түрдүү активдүү элементтер көп: скрипттер, ActiveX-компоненттери, флэш ж.б. Бул учурда колдонуучунун компьютеринде орнотулган программалык жабдуунун же сайт ээсинин программалык камсыздоосунун алсыз жактары колдонулат (булар коркунучтуураак, анткени, көп колдонуучулары бар жакшы сайттар жабыркашы мүмкүн), эч нерседен кам санабаган колдонуучулар мындай сайтка кирүү менен компьютерине вирус жуктуруп алышы ыктымал.
• Интернет жана локалдык тармактар (курттар). Курттар - компьютердик вирустардын түрү, алар колдонуучунун компьютерине анын катышуусу жок эле кирип кетет. Курттар операциялык системалардын программалык камсыздоосундагы айтылуу «жыртыктарды» (алсыз жактар) колдонуп компьютерге кирип кетиши мүмкүн. Алсыз жактар - бул программалык камсыздоодогу каталар жана чала жасалган жерлери, булар машиналык коддун аралыктан жүктөлүп, анын аткарылышына жол ачат, натыйжада курт-вирус операциялык системага кирет дагы, шартка ылайык Интернет же ички тармак аркылуу башка компьютерлерге жуктура баштайт. Кибер кылмышкерлер жуктурулган компьютерди спам тарату же DDoS-чабуул үчүн пайдаланат.

MS-DOS мезгилинде операциялык системага кайрылуу үчүн бөлүүлөрдү кармап алуучу стелс-вирустар (жашыруун) көп болгон. Мындай ыкма менен вирус өзүнүн файлдарын тизмелер дарагынан жашырып же жуктурулган файлдын ордуна алгачкы файлдын көчүрмөсүн берчү.

Программаны иштетүү алдында аны күмөн аракеттерге жана башка коддорго текшерүүчү антивирустук сканерлердин кеңири жайылышы менен бул технология жетишсиз болуп калды. Колдонуучунун көңүлүн бурбай вирусту процесстер тизмесинен же тизмелер дарагынан жашыруу вирустардын базалык ыкмасы, бирок антивирустар менен күрөшүү үчүн буларга чеберлик талап кылынат. Сканерлөөгө каршылык көрсөтүү үчүн кодду шифрлөө жана полиморфизмди колдонушат. Бул техникалар көп учурда бирге пайдаланылат, вирустун шифрленген бөлүгүн чечмелөө үчүн шифрлөөчү программаны шифрленбеген абалда калтыруу зарыл, а бул аны сигнатурасы аркылуу табууга жол берет. Ошондуктан шифрлөөчү программаны өзгөртүү үчүн полиморфизмди иштетишет - аткарылуучу иш-аракетти өзгөртпөгөн командалардын ыраатын модификациялоо. Бул Intel процессорлорунун ар түрдүү жана ийкемдүү командалар системасынын аркасынан жакшы ишке ашат, мында, бир эле элементардык иш-аракет бир нече командалар ырааттары аркылуу аткарылат.

Кодду аралаштыруу ыкмасы дагы колдонулат, мында командалардын ирети аралашып, шартсыз өтүүлөр менен кошулат. Вирустук технологиялардын алдыңкы фронту катары метаморфизм эсептелет, муну көп учурда полиморфизм менен алмаштыра беришет. Полиморфтук вирустун шифрин чечмелегичи салыштырмалуу жөнөкөй, анын функциясы - вирус системага кирип, антивирус менен текшерилгенден кийин негизги денесин артка шифрлейт. Ал шифр чечүүчү генерациялаган вирустун шифрленген бөлүгүндө полиморфтук кыймылдаткычка ээ эмес. Мындан айырмаланып, метаморфтук вирус ширфлөөнү таптакыр колдонбойт, анткени ал ар бир репликацияда коддун баарын өзү кайра жазат.

Бүгүнкү күндө вирустун компьютерге кирип кетүүсүн алдын алуучу көптөгөн антивирустук программалар бар. Бирок жаңы вирустар менен кармашууга кепилдик жок. Ошондуктан алдын алуунун бир нече ыкмаларын сактоо абзел:

1. Компьютерде артыкчылыктуу учёттук жазуулар менен зарылдыгы болбосо иштебөө (Windowsдун администратор учёттук жазуусу).
2. Күмөндүү булактардан алынган белгисиз программаларды иштетпөө.
3. Системдик файлдардын санкцияланбаган өзгөртүүлөрүн блокко түшүрүүгө аракет кылуу.
4. Системанын кооптуу функцияларын өчүрүү (алып жүрүүчүлөрдүн жана топтоочулардын авто иштетүүсү, файлдарды жана алардын кеңейтилишин жашыруу ж.б.).
5. Күмөндүү сайттарга кирбөө, браузердин даректик сабындагы сайттын дарегине көңүл буруу.
6. Ишеничтүү дистрибутивтер менен гана иштөө.
7. Маанилүү маалыматтардын резервдик көчүрмөсүн дайыма жасап туруу, аларды өчүрүлбөгөн алып жүрүүчү топтоочуларга жаздыруу (мисалы BD-R же Blu-ray Disc), тез калыбына келтирүү максатында системанын тууралоолору менен кошо жалпы сүрөттөлүшүнө ээ болуу.
8. Көп колдонуучу программаларды дайыма жаңыртып туруу, өзгөчө системанын коопсуздугун камсыз кылуучу программалар.
9. Windows операциялык системасынын брандмауэрин өчүрбөө жана жаңылап тууру.
10. Күмөндүү флэшкаларды компьютерге салбоо, эгер салууга туура келсе антивирустук программалар менен текшерүү.
11. Акысыз антивирустук программаларды компьютерге орнотпоо, лицензиялангандарды гана колдонуу.

Кээ бир антивирус чыгаруучулар вирус жасоо ээн баштыктан олуттуу бизнеске айлангандыгы жана башка мыйзамсыз иш-чаралар менен байланыштырышат.

Ошондой эле вирустун айынан миллиондук, ал гана эмес миллиарддык зыян тартуулар айтылып келет. Мындай ырастоолорго жана баалоолорго кылдат мамиле жасоо керек: зыян тартуу суммалары түрдүү аналитиктердин баалоосу боюнча айырмаланып турат (кээде 3-4 эсеге), ал эми эсептөө методикасы берилбейт.

1988-жылкы Macintosh компьютерлери үчүн жасалган Scores вирусунун түзүүчүсү мыйзам тарабынан айыпталган эмес, анткени, анын иш-аракеттери ошол убактагы АКШнын Computer Fraud and Abuse Act мыйзамына туура келген эмес. Бул кырдаал компьютердик вирустарга таандык мыйзамды иштеп чыгууга алып келген: Computer Virus Eradication Act (1988). Ушуга окшош учур 2000-жылы Филиппинада болгон, анда ILOVEYOU вирусунун түзүүчүсү мыйзамдын жоктугуна байланыштуу жаза алуудан кутулуп кеткен.

Зыяндуу программаларды (анын ичинде вирустарды) түзүү жана жайылтуу кээ бир өлкөлөрдө укук бузуулардын өзүнчө түрү катары эсептелинет: Ал эми көпчүлүк өлкөлөрдө вирустарды түзүү кылмыш катары эсептелинбейт, ал эми алып келинген зыян тартуулар компьютердик укук бузуулардын жалпы мыйзамына туура келет.