Компьютерный вирус

В отличие от компьютерного червя, компьютерный вирус требует для своего распространения программу-носитель^[5]. Вирусы используют техники социальной инженерии и эксплуатируют уязвимости безопасности для первичного проникновения в системы и последующего распространения^[6]. Причины создания вирусов разнообразны: получение прибыли (например, с помощью вымогательского программного обеспечения), политические или диверсионные мотивы, исследовательские задачи, стремление продемонстрировать уязвимость программного обеспечения, а также творческий или исследовательский интерес к вопросам информационной безопасности и искусственной жизни^[7].

По оценкам, к 2013 году ущерб от компьютерных вирусов по всему миру составлял миллиарды долларов ежегодно^[8]. В ответ на это возникла индустрия антивирусных программ, предлагающих платные или бесплатные средства защиты пользователям различных операционных систем^[9].

Первое научное описание самовоспроизводящейся компьютерной программы дал в 1949 году Джон фон Нейман, читая лекции в Иллинойсском университете по теме «Теория и организация сложных автоматов», а позже опубликовал работу «Theory of self-reproducing automata», где описал возможность проектирования самовоспроизводящихся программ^[10]. Данный проект считается первым в истории теоретическим вирусом, а самого фон Неймана называют «отцом» вирусологии.

В 1972 году Файт Ризак опубликовал труд «Самовоспроизводящиеся автоматы с минимальным обменом информацией», где описал вирус на ассемблере для SIEMENS 4004/35^[11]. В начале 1980-х программой Creeper был заражён ARPANET, предшественник Интернета^[12].

В 1982 году вирус Elk Cloner стал первым вирусом, распространившимся вне стен лаборатории, самовоспроизводясь на персональных компьютерах Apple DOS с помощью дискет^[13].

В 1984 году Фред Коэн впервые ввёл термин «компьютерный вирус»^[14][15]. Позднее появлялись вирусы для различных персональных компьютеров, в том числе Brain, WinVir и другие.

Вирусы распространились на платформы Amiga, Microsoft Windows, Linux и др., достигнув массового распространения к концу 1980-х годов вместе с развитием сетей, BBS и обменом программами через дискеты.

Классический компьютерный вирус состоит из трёх частей:

• Механизм заражения, или вектор заражения — определяет способ поиска и заражения новых файлов^[16];
• Триггер, или логическая бомба — определяет условие выполнения вредоносного действия;
• Полезная нагрузка — собственно вредоносный код, выполняющий разрушительные или иные запрограммированные действия^[17].

Жизненный цикл компьютерного вируса включает:

• Фазу покоя: вирус присутствует, но неактивен;
• Фазу распространения: копирование вируса в другие программы или области диска;
• Фазу активации: активация триггера по заданному событию;
• Фазу исполнения: выполнение вредоносной нагрузки — от повреждения данных до появления сообщений на экране.

Вирусы могут инфицировать исполняемые файлы, макросы документов, загрузочный сектор носителей, оперативную память, сетевые ресурсы и др^[18]. Выделяют резидентные и нерезидентные вирусы, макровирусы, загрузочные вирусы и многочисленные другие типы.

Вирусы используют тактики сокрытия: не изменяют временные метки файлов, «прячутся» в незаполненных частях исполняемых файлов (кавити-вирусы), внедряют руткиты и методы перехвата обращения к файлам. Распространены техники самомодификации: шифрование тела, полиморфизм (мутация кода вируса при каждом заражении) и метаморфизм (полная переработка кода даже для каждого заражения)^[19].

Вирусы вызывают сбои и отказы систем, уничтожают или портят данные, повышают затраты на обслуживание, крадут информацию^[8]. Иногда используются мощности компьютера для разгона процессора до теплового предела^[20].

Для заражения вирус должен получить возможность исполнения кода и записи в память. Обычно вирусы распространяются через исполняемые файлы, макросы в документах, физические носители (диски, флешки)^[21], вложения электронной почты, ссылки в мессенджерах, XSS-уязвимости.

Чаще всего атакам подвергаются операционные системы Windows, однако вирусы для Linux, macOS и других систем также существуют, хотя из-за разнообразия программной среды и ограниченных прав пользователей на большинстве UNIX-подобных систем эти угрозы менее массовы.

В середине 1990-х широкое распространение получили макровирусы, использующие скриптовые возможности в приложениях Microsoft Office.

Основными мерами противодействия являются регулярное обновление программного обеспечения, использование современных антивирусных программ, осторожность при работе с файлами из ненадёжных источников^[22].

Выделяют два основных метода обнаружения: по вирусным сигнатурам (поиску известных последовательностей кода) и эвристический анализ (поиск типичных действий вируса).

Для восстановления поражённых систем используются резервные копии, восстановление системы, специальные загрузочные носители. Иногда требуется форматирование диска и переустановка системы.

Понятие компьютерного вируса активно эксплуатировалось в художественной литературе и кино с 1970-х годов, встречается в фильмах, обсуждается в СМИ и научно-технических публикациях^[23].

Термин «вирус» часто используются для обозначения любого вредоносного ПО: червей, вымогателей, шпионских программ, рекламных вставок, троянов, кейлоггеров, руткитов, bootkit'ов и др. Однако по определению вирус — это только самовоспроизводящаяся программа, внедряющая свой код в другие программы без ведома пользователя^[24].