ВВЕДЕНИЕ
На сегодняшний момент, компьютеры осуществляют огромное количество целей и задач. Большинство людей используют их для повседневных задач, работы и отдыха. Миллионы пользователей по всему миру не могут представить и дня без использования компьютера. И их можно понять, ведь за последнее десятилетие компьютерные технологии сильно шагнули вперед, с одной стороны становясь все более сложными, а с другой упрощая жизнь тысячам людей ежедневно. С развитием сети интернет, возникли онлайн версии утилит*, появилось великое множество социальных сетей. Благодаря этим факторам люди стали больше времени проводить у монитора.
Конечно, благодаря компьютерам, люди могут за доли секунды найти необходимую им информацию, отыскать старых друзей и знакомых, познакомиться с новыми людьми, почти мгновенно произвести сложные математические задачи, и выполнять свою работу в сотни раз быстрее, нежели без них. Прямо сейчас, вы можете общаться с человеком который может быть в тысячах километрах от вас, проконсультироваться с врачом или даже поступить в заграничный университет. Множество людей хранят свои данные в сети интернет: фотографии, документы, банковские счета. Безусловно это удобно и практично, но в связи с этим появилось множество вирусных программ. Они препятствуют нормальной работе компьютера, крадут информацию о пользователе, такую, как пин-коды банковских карт, пароли от учетных записей, документы, ваши фото и видео, а также вымогают денежные средства.
Поэтому защита личной информации, в настоящее время является очень актуальным вопросом. В новостях все чаще мелькают заголовки о вирусных атаках, которые, с каждым годом становятся все более опасными и массовыми. Многие страны приняли законы о борьбе с компьютерными преступлениями. Большие компании разрабатывают специальные решения для защиты данных своих пользователей от вирусов. В то же время, злоумышленники также не дремлют, производя все более сложные, менее уязвимые, а главное опасные вирусные программы. Поэтому многим из нас, кто использует компьютер почти ежедневно, следует знать некоторую информацию о том, как себя защитить, что из себя представляют вирусы, их разновидности и методы «лечения».
*Небольшое вспомогательное приложение. Как правило, является дополнением к основному приложению и служит для предварительной настройки аппаратуры, операций с файлами или для обеспечения расширенных пользовательских функций.
Актуальность проекта:
Исходя из статистики за 2020 год, россияне потеряли около 260млн рублей в связи с хакерскими атаками, вредоносным ПО и фишинг-программами, из чего можно сделать вывод о низкой осведомленности населения об устройстве, работе, и методах борьбы с подобными проблемами. Поэтому, считаю проект более чем актуальным на сегодняшний день.
Цели проекта:
Рассказать о работе вредоносного ПО, методах борьбы с ним, также показать наглядно как оно устроено, создав собственную вирус-программу.
Задачи:
Создание вирус-программы
Освещение информации о работе вредоносного ПО
1.1 Общие сведения о компьютерных вирусах
Что же такое компьютерный вирус? Вообще, существует множество значений слова «вирус», они меняются в зависимости от типа, строения и времени, когда был создан вирус. Вот как трактует это понятие сайт Wikipedia:
Компью́терный ви́рус — вид вредоносных программ, способных внедряться в код других программ, системные области памяти, загрузочные секторы и распространять свои копии по разнообразным каналам связи. Основная цель вируса — его распространение.
Разные источники дают множество трактовок этого слова, но если обобщить, то можно прийти к выводу что вирус – это вид вредоносного ПО, основными задачами которого является распространение и извлечение выгоды из компьютера жертвы.
При заражении компьютера, вирус важно обнаружить, и желательно на ранних стадиях. Для этого следует знать основные признаки его проявления:
- прекращение работы или неправильная работа ранее успешно функционировавших программ;
- медленная работа компьютера;
- невозможность загрузки операционной системы;
- исчезновение файлов и каталогов или искажение их содержимого;
- изменение даты и времени модификации файлов;
- изменение размера файлов;
- неожиданное значительное увеличение количества файлов на диске;
- существенное уменьшение размера свободной оперативной памяти;
- вывод на экран непредусмотренных сообщений или изображений;
- подача непредусмотренных звуковых сигналов;
- частые зависания и сбои в работе компьютера.
Следует также отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других проблем связанных с персональным компьютером.
1.2 Классификация компьютерных вирусов
Попав в среду систему, вирус может и не вызвать серьезных проблем (например, некоторые из них могут ограничиться безобидными визуальными или звуковыми эффектами), а может уничтожить или изменить ваши данные. Также вашей личной информации может угрожать выгрузка в интернет, или использование злоумышленником в его личных целях. Но есть сценарий и похуже: существует вероятность того, что компьютер станет неисправным, и контролировать его сможет только автор вируса. Также стоит отметить, что вредоносные программы обычно занимают некоторое место на накопителе, и в буфере оперативной памяти. Потому вирусы относят к вредоносному ПО. Разные вирусы работают, соответственно по разному, поэтому их делит на типы:
- вирусы-паразиты;
Это вирусы, которые работают с файлами программ и которые неполностью выводят их из строя. Такие вирусы нетрудно обнаружить и ликвидировать. Тем не менее, в основном, файлноситель восстановлению не полежит.
- вирусы-репликаторы;
Это вирусные программы, целью которых является быстрое создание собственных копий и их распространение по всем возможным местам хранения данных и каналам сообщения. Сами по себе вирусы-репликаторы часто не совершают никаких разрушительных для операционной системы действий, а являются «перевозчиком» для других видов вредоносного кода.
- трояны;
Это вирусы, получившие свое название в честь знаменитого “Троянского коня”, потому что действуют подобным образом. Этот вид вирусов стягивает свои модули в одно место под модули действующих программ, создавая файлы со схожими названиями и характеристиками, меняют записи в системном реестре, изменяя ссылки рабочих модулей программ на свои, вызывающие модули вируса. Разрушительная деятельность ведет к ликвидации данных пользователя, рассылке спама и полному контролю злоумышленника за действиями владельца компьютера. Трояны не обладают способностью к репликации. Их довольно сложно обнаружить, потому что обычно сканирования файловой системы мало.
- вирусы-невидимки;
Это вирус, полностью или частично скрывающий своё присутствие в системе, путём перехвата обращений к операционной системе, осуществляющих чтение,
запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)
- вирусы-майнеры;
Это вредоносная программа, использующая ресурсы зараженного компьютера для добычи (майнинга) криптовалюты. Особенно популярны в последнее время.
Также, у вирусов выделяют несколько стадий функционирования:
- латентная стадия (на данной стадии код вирусной программы располагается в системе, но не совершает никаких действий. Вирус является незаметным для пользователя. Обнаружить его можно только посредством сканирования системы);
- инкубационная стадия (на данной стадии код вируса активируется и начинает создавать свои копии, рассылая их по программам, файлам, всем данным, которые хранятся в памяти компьютера. Пользователь может заметить, что производительность системы падает, он начинает медленнее работать);
- активная стадия (на данной стадии вирус продолжает копировать и распространять свой код известными ему вариантами, начинает действия, для осуществления которых и создан. Здесь вирусная программа становится очевидной для пользователя, потому что вредоносное ПО начинает выполнять свое прямое предназначение – исчезают файлы, изменяется в негативную сторону функционирование сети, перестают быть активными некоторые программы, в некоторых случаях происходит поломка оборудования).
Но далеко не все компьютерные вирусы являются крайне опасными. Некоторые из них и вовсе не влекут за собой серьезных последствий. Например, они могут завершить работу некоторых программ, отображать определенные визуальные эффекты, воспроизводить звуки, открывать сайты, или просто снижать производительность компьютера. И такие вирусы, к счастью, доминируют в современном мире. Но существуют и на самом деле опасные вирусы, которые способны уничтожать данные пользователя, воровать пароли, выводить из строя операционную систему и т.д. Но, в независимости от типа вируса, и принципа его работы, очень важно уметь защищаться от вирусов, и «лечить» последствия которые они оставляют.
1.3 Методы защиты персонального компьютера от вирусов
Главным помощником в борьбе с вирусами выступают антивирусные программы. Они позволяют не только найти вирусы, но и ликвидировать их.
Что же из себя представляет антивирус? Есть мнение, что антивирусная программа способна обнаружить любой вирус, то есть является «лекарством» от всех болезней. Но это не совсем так. Антивирус может распознавать и уничтожать только известные ему вредоносные ПО. Конечно, современные антивирусы имеют огромную базу вредоносного ПО, которая пополняется ежедневно. Они могут выявлять даже те вирусы, которых нет в базе, путем сравнения их исходного кода с уже имеющимся. Но в настоящее время вирусы создаются с просто молниеносной скоростью, а для создания антипода (антивируса) требуется образец хотя бы одного такого вируса.
Вовремя обнаруженные зараженные файлы и ликвидация выявленных вирусов помогут избежать распространения вирусных программ по системе, и на другие компьютеры.
Существует несколько основных методов ведения поиска вирусов, применяемых антивирусными программами. Как раз в зависимости от способа избавления от негативных проявлений компьютерных вирусов выделяют следующие виды антивирусов:
- программы-детекторы, ведут поиск свойственной конкретному вирусу сигнатуры в файлах системы, когда находят, уведомляют об этом пользователя. Недостаток таких антивирусных программ заключается в том, что они способны искать только вирусы, известные создателям программ детекторов.
- программы-доктора (фаги), не только находят файлы, зараженные вирусами, но и «лечат» их, то есть ликвидируют тело программы-вируса из файла, возвращая его в первоначальное состояние. Сначала фаги ведут поиск вирусов в системе, ликвидируя их, и только потом приступают к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.
- программы-ревизоры (инспектора), являются одними из самых надежных средств защиты от вирусов. Ревизоры сканируют данные на диске с целью выявления вирусов-невидимок, проверяют, не внедрился ли вирус в файлы, нет ли несанкционированных изменений реестра системы.
- программы-вакцины или иммунизаторы, относятся к резидентным программам, которые предотвращают заражение файлов. Вакцины используют, если у пользователя нет в наличии программ-докторов, которые «лечат» этот вирус, аналогично с программами-детекторами, они способны нейтрализовать только вирусные программы, которые известны создателям антивирусной
программы. Вакцина изменяет программу или диск так, чтобы это не отражалось на их работе, а вирус будет воспринимать их как зараженные и поэтому не внедрится.
В настоящее время существует огромное количество антивирусов, но нет никаких гарантий, что они справятся с новейшими разработками «вирусоделов».
Потому следует придерживаться некоторых мер предосторожности, например:
- не запускать незнакомые программы из непроверенных источников;
- стараться блокировать возможность несанкционированного изменения системных файлов;
- не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя;
- пользоваться только доверенными дистрибутивами;
-постоянно делать резервные копии важных данных и иметь образ системы со всеми настройками для быстрого развёртывания;
- выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.
-стараться пользоваться только лицензированным ПО от проверенного издателя
2.1 Создание вирус-программы
Обдумав вопрос создания вредоносного ПО, я принял решение сделать вирус типа “keylogger” (от англ “key” – клавиша, “logger” – регистрирующее устройство, ).
Keylogger относится к вирусам – шпионам. Его основная задача работать фоновым процессом, и считывать данные о нажатиях пользователя, а после отправлять информацию злоумышленнику. Я посчитал что создать вирус такого типа будет достаточно интересно, и увлекательно в рамках школьного проекта.
При создании своего вируса я использовал язык программирования Python 3.1
Ознакомившись с материалом, и посмотрев видеоролики на платформе YouTube я принялся за создание продукта.
2.2 Обзор продукта. Принцип его работы.
Как он работает? Данный вирус представляет собой скрипт* который крепится к любому другому файлу, программе, документу. Пользователь, скачивает и запускает нужный ему файл, не замечая ничего подозрительного, но уже на этом этапе keylogger начинает свою работу.
Всего папка с вирусом включает в себя два файла: сам keylogger и текстовый файл с расширением .json (Рис 1). Текстовый файл хранит в себе все нажатия пользователя, и когда надо будет, файл будет отправлен автору вируса, и данные будет использованы в его целях.
*скрипт - это небольшая программа, которая содержит последовательность действий, созданных для автоматического выполнения задачи.
Как все работает на практике? Приведу пример, допустим, вам понадобилось зайти на почту, вы открываете браузер (в моем случае это Google Chrome) заходите на нужный сайт и начинаете вбивать свои данные(Рис 2)
Уже на этом этапе, абсолютно каждый символ который вы нажали хранится текстовом файле, который в свою очередь будет передан злоумышленнику (Рис 3).
Как мы видим, действительно каждый символ программа запомнила, и записала в файлик.
В нашем случае, создатель вируса уже получил логин и пароль от почты. Это не самое страшное что может произойти, ведь если злоумышленник получит доступ к вашему банковскому аккаунту, или облачному хранилищу, где хранятся документы, это повлечет куда больше проблем.
2.3 Диагностика вируса. Способы его обнаружения.
Так как вирус написан максимально примитивно, обнаружить его способен почти любой антивирус. Например, AVG AntiVirusрешил даже не сообщать о вирусе, и перманентно удалил его.
Также, я прогнал диагностику своего вируса на зарубежном сайте VirusTotal.
Сайт пропускает файл через сотню популярных антивирусов, и показывает статистику сколько из них выявили проблему, и готовы предоставить ее решение.
Антивирусы VirusTotalпочти все обнаружили keyloggerв моем файле, что, безусловно хорошо.
Но к сожалению, рядовой пользователь вряд-ли заметит вирус подобного типа на своем компьютере. Он не влияет на работу компьютера, а лишь ворует данные, что может всплыть не сразу, и усложнить ситуацию в дальнейшем.