家 › 設定 › 世界中で流行しているウイルスは何ですか？ランサムウェアウイルスは世界中の数万台のコンピュータを攻撃しました。石油への攻撃

世界中で流行しているウイルスは何ですか？ランサムウェアウイルスは世界中の数万台のコンピュータを攻撃しました。石油への攻撃

おい！パソコンがウイルスに感染してしまい、
パレスチナ解放機構が作ったものです！
開発レベルが低いため
パレスチナでのプログラミングのコピー
他のコンピュータにウイルスを感染させてすべてを消去する
ファイルはこちらから！

ここ数日の「ホットな」トピックは、コンピュータ上のデータを暗号化し、ランサムウェアに 300 ドルを支払わないとすべてを消去する恐ろしいウイルスです。評判の高いコンピューターの専門家からのアドバイス:
- システムとウイルス対策ソフトウェアを忘れずに更新してください。
- 重要なファイルのコピーを保管することを忘れないでください。
- 紙のコピーを忘れずに用意してください。

その間、病気は蔓延し、成長しており、世界中で数万台のコンピューターが影響を受けており、テレビのメインゾンビ番組「バーデン」では、司会者がホラー、ホラー、ホラーであることを真剣に放送していますが、一般的には何もありません。コンピューターがなくなって、今では原子力発電所さえもすべてがコンピューターによって制御されており、そこにあるものはすべてコンピューターを通してのみ、コンピューターをオフにするスイッチさえありません。それでも、ウイルスは侵入するでしょう、くそー...

私はこのバッカナリアを見て、静かに夢中になります。

世界中で数十、あるいは数十万台のコンピューターがウイルスに感染しています。合計で何台あるでしょうか?
原子力発電所、鉄道のジャンクション、橋などを制御するコンピュータに、インターネット経由で恐ろしいコンピュータウイルスが侵入してくる……実は、重要な機器を制御するコンピュータは、ルール上、インターネットに接続することができないのです。もちろん、それらのかなりの部分は接続されており、システム管理者と彼らに近い信頼できる従業員は勤務時間中にタンクに身を切りますが、そのためには主要な性器のネジを外す必要があります。スイッチや緊急停止ボタンがないことについては、まったくナンセンスです。

恐ろしいコンピュータ攻撃についての叫びは、第一に誇張された感覚を糧とするジャーナリストによって、第二に多数のコンピュータセキュリティ専門家によって常に誇張されています。

たとえば、「2000年問題」を覚えていますか? 新千年紀への移行により、新しいデータ形式を処理できなくなったすべてのコンピューターシステムが消滅しなければならなくなったとき。私も学長室から、準備を整えて警戒するよう求める文書を受け取ったのを覚えています。そして私はそれを読んで夢中になり、次のような報告書を提出しました。
A) 当時、稼働するリアルタイムシステムはまったくありませんでした。
B) このひどい問題にコンピューターがどのように反応するかを確認するには、一日の仕事の終わりに時間を 1 年進めて 30 分作業し、落ち着いてからすべてを元に戻すだけで十分です。
C) もっと簡単にできます。1 年前に時間を巻き戻して、1 年間平和に暮らしてください。

それに対して、次の２点の説明を受けました。
1. 私は恐ろしい2000年問題について何も理解していません。
2. 保健省からの命令があります。

その後、保健省の命令に従って、多額のお金で雇われた奇妙な事務所が私の医科大学全体を巡回し、脆弱性がないかチェックしました。私のコンピュータクラスのコンピュータに対して、BIOS が古いため、新しいものに変更する必要があるとの勧告が出されました。

ウイルスによる実際の被害に目を向けると、パーソナルコンピュータが使用され始めてから 30 年間で、ウイルスはますます普及し、ウイルスを拡散させる手段は何倍にもなり、重要なテクノロジーでの使用も増加しましたが、実際の被害はウイルスによる被害はかなり減りました。

90 年代初頭、ウイルスにより血液が深刻に損なわれました。およそ週に一度はそれらに対処しなければならず、数か月に一度はシステム全体とすべてのプログラムをクリーニングして再インストールする緊急事態を宣言しなければなりませんでした。

ウイルスの蔓延の減少に加えて、その「病原性」も減少しました。当時は、ハードドライブを破壊したり、極端な場合にはすべてを消去して台無しにしてしまうウイルスが頻繁に発生したため、再インストールは可能な限り困難を伴うものでした。現在、ウイルスは通常、恐喝を行うか、パスワードを盗もうとします。

ウイルスの蔓延と「悪質さ」を減らすという問題は、別の問題、つまり実際にウイルスを作成するのは誰なのかという問題と密接に関係しています。以前は、プログラミングを学ぶ学生がウイルスの主な公式供給者とみなされていましたが、ウイルス対策ソフトウェア会社が主な非公式供給者とみなされていました。おそらく、ウイルスによる被害が減少しているのは、ウイルス対策ソフトウェアが事実上、すべてのコンピュータソフトウェアに必須の一部となっているためだと思われますが、なぜこれ以上悩む必要があるのでしょうか。それどころか、ウイルスの蔓延は、ウイルス対策プログラムが実際に保護するわけではないため、ウイルス対策プログラムの恩恵に対する信頼を損なうことになります。

実際、世界中にはウイルスに感染したコンピューターが非常にたくさんありますが、ウイルスは自分自身を宣伝しようとしません。彼らはデータを消去したり暗号化したりせず、ハードドライブを焼き尽くしたり、クレジットカードからお金を請求したりすることさえせず、この猥褻なメッセージに付随して嘲笑している。彼らはスパムや DDOS 攻撃などを送信するためにあなたのコンピュータを利用するだけです。そして彼らは所有者をも密告します。

オペレーティングシステム、ウイルス対策プログラムなどを含むすべての大手ソフトウェア開発会社が諜報機関と積極的に連携していることは明らかです。そうでなければ、彼らは単に仕事をすることを許可されないでしょう。したがって、アメリカの諜報機関は、コンピューターの操作を妨害し、遠隔から制御する機能を導入するウイルスを送信する必要はありません。必要なモジュールはすでに長い間存在していました。

しかし、ご存知のとおり、「コンピュータのハードウェア」はほぼすべて中国で生産されています。そして、実際にはすべてをチェックすることは不可能であるため、そこに「ブックマーク」を導入することはそれほど難しいことではありません。たとえば、最新のプロセッサには 10 億個を超えるトランジスタを備えた回路が搭載されていますが、それが実際にどのように動作するかは誰にもわかりません。

したがって、中国と米国の間のやり取りで誤解が生じた場合、実際には、スマートフォンを含むほぼすべてのコンピューター機器が一日で壊れてしまう可能性があります。したがって、紙の本は捨てないでください。本は読めるだけでなく、溺れてしまう可能性もあります。

アンナ・クルニコワ・ウイルスの名前には理由がありました。受信者は、セクシーなテニス選手の写真をダウンロードしていると思ったのです。ウイルスによる経済的被害はそれほど深刻ではありませんでしたが、このウイルスは大衆文化の中で非常に人気になり、特に 2002 年のテレビシリーズ「フレンズ」のエピソードの 1 つで言及されました。

2. サッサー (2004)

2004 年 4 月、Microsoft は LSASS (Local Security Authentication Server) システムサービスのパッチをリリースしました。その少し後、ドイツの 10 代の若者が Sasser ワームをリリースし、パッチが適用されていないマシン上でこの脆弱性を悪用しました。 Sasser の多数の亜種が航空会社、運送会社、医療提供者のネットワークに出現し、180 億ドルの被害を引き起こしています。

3. メリッサ (1999)

フロリダのストリッパーにちなんで名付けられた Melissa ウイルスは、被害者の Microsoft Outlook アドレス帳の上位 50 人の連絡先に悪意のあるコードを送信することによって拡散するように設計されました。この攻撃は大成功し、世界中のコンピュータの 20% がウイルスに感染し、8,000 万ドルの損害が発生しました。

ウイルスの作成者であるデビッド L. スミスは FBI に逮捕され、20 か月の刑務所で過ごし、5,000 ドルの罰金を支払いました。

私たちのリストにあるマルウェアのほとんどは問題を引き起こしましたが、Zeus (別名 Zbot) はもともと組織犯罪グループによって使用されていたツールです。

このトロイの木馬は、フィッシングおよびキーロギング技術を使用して、被害者から銀行口座を盗みました。このマルウェアは被害者のアカウントから 7,000 万ドルを盗むことに成功しました。

5. ストーム・トロイの木馬 (2007)

Storm Trojan は、2007 年 1 月にリリースされてから 3 日以内に、世界中のコンピュータでの感染率が 8% に達し、最も急速に拡散している脅威の 1 つとなっています。

このトロイの木馬は、100 万台から 1,000 万台のコンピュータで構成される大規模なボットネットを作成し、10 分ごとにコードを変更するアーキテクチャにより、Storm Trojan は非常に永続的なマルウェアであることが判明しました。

ILOVEYOU (Chain Letter) ワームは、ファンからのテキストファイルを装いました。

実際、このラブレターは深刻な脅威でした。2000 年 5 月、この脅威はネットワークに接続されたコンピュータの 10 パーセントに広がり、CIA はさらなる拡散を防ぐためにサーバーのシャットダウンを余儀なくされました。被害額は150億ドルと推定されている。

7. シルカム (2001)

多くの初期の悪意のあるスクリプトと同様に、Sircam はソーシャルエンジニアリング技術を使用して、ユーザーをだまして電子メールの添付ファイルを開かせるようにしました。

このワームは、被害者のコンピュータ上にあるランダムな Microsoft Office ファイルを使用して感染し、アドレス帳の連絡先に悪意のあるコードを送信しました。フロリダ大学の研究によると、サーカムは30億ドルの損害を引き起こしたという。

8. ニムダ (2001)

2001 年 9 月 11 日の攻撃後に解放された Nimda ワームはアルカイダとのつながりがあると広く信じられていましたが、これは証明されず、司法長官のジョンアシュクロフトさえもテロ組織とのつながりを否定しました。

この脅威は複数のベクトルを介して広がり、銀行ネットワーク、連邦裁判所ネットワーク、その他のコンピューターネットワークをダウンさせました。 Nimda の浄化費用は最初の数日間で 5 億ドルを超えました。

SQL Slammer ワームはわずか 376 バイトで、コンパクトなパッケージに多くの破壊機能を詰め込みました。このワームはインターネット、緊急コールセンター、12,000 台のバンク・オブ・アメリカ ATM を停止させ、韓国の大部分をインターネットから締め出しました。このワームは、オハイオ州の原子力発電所で World Wide Web へのアクセスを無効にすることもできました。

10. ミケランジェロ (1992)

Michaelangelo ウイルスは比較的少数のコンピュータに拡散し、実際の被害はほとんどありませんでした。しかし、1992 年 3 月 6 日に「コンピュータを爆破する」というウイルスの概念がユーザーの間に集団ヒステリーを引き起こし、毎年この日に繰り返されました。

11. コード・レッド (2001)

さまざまなマウンテンデューにちなんで名付けられた Code Red ワームは、リリースと同時に Microsoft の IIS Web サーバーの 3 分の 1 に感染しました。

彼は、メインページを「中国人によってハッキングされました!」というメッセージに置き換えることで、whitehouse.gov ウェブサイトを破壊することに成功しました。コードレッドによって世界中で引き起こされた損害は数十億ドルと推定されています。

12. クリプトロッカー (2014)

Cryptolocker に感染したコンピュータは重要なファイルを暗号化し、身代金を要求しました。ハッカーにビットコインで3億ドル以上を支払ったユーザーは暗号化キーにアクセスできるようになったが、他のユーザーはファイルに永久にアクセスできなくなった。

Sobig.F トロイの木馬は 2003 年に 200 万台以上のコンピュータに感染し、エアカナダに大損害を与え、世界中のコンピュータネットワークの速度低下を引き起こしました。このマルウェアの駆除費用は 371 億ドルに達し、史上最も高額な修復キャンペーンの 1 つとなりました。

14. スカルズ.A (2004)

Skulls.A (2004) は、Nokia 7610 およびその他の SymbOS デバイスに感染するモバイルトロイの木馬です。このマルウェアは、感染したスマートフォンのすべてのアイコンを Jolly Roger アイコンに変更し、電話の発着信を除くスマートフォンのすべての機能を無効にするように設計されています。

F-Secure によると、Skulls.A による被害は軽微でしたが、このトロイの木馬は潜伏性が強かったとのことです。

15. スタックスネット (2009)

Stuxnet は、サイバー戦争のために作成された最も有名なウイルスの 1 つです。イスラエルと米国の共同作業の一環として設立されたスタックスネットは、イランのウラン濃縮システムを標的とした。

感染したコンピュータは物理的に破壊されるまで遠心分離機を制御し、すべての操作が通常どおりに進行していることをオペレーターに通知しました。

2004 年 4 月、MyDoom は TechRepublic によって「史上最悪の感染症」と名付けられましたが、それには十分な理由がありました。このワームはページの読み込み時間を 50% 増加させ、感染したコンピュータによるウイルス対策ソフトウェアサイトへのアクセスをブロックし、コンピュータ大手の Microsoft に対して攻撃を開始してサービス障害を引き起こしました。

MyDoom一掃キャンペーンには400億ドルの費用がかかりました。

17. ネットスキー (2004)

Netsky ワームは、Sasser を開発したのと同じ 10 代の少年によって作成され、電子メールの添付ファイルを通じて世界中を旅しました。 Netsky の P バージョンは、2004 年 2 月の発売から 2 年後には世界で最も蔓延したワームでした。

18. コンフィッカー (2008)

Conficker ワーム (Downup、Downadup、Kido とも呼ばれる) は 2008 年に初めて発見され、感染したコンピュータ上のウイルス対策プログラムを無効にし、脅威を除去する可能性のある自動更新をブロックするように設計されました。

Conficker は英国、フランス、ドイツの防衛ネットワークを含む多数のネットワークに急速に拡散し、90 億ドルの被害をもたらしました。

「コンピュータウイルス」という用語は、1984 年の情報セキュリティに関する会議で、リーハイ大学 (米国) の職員である F. コーエンによって初めて使用されたと考えられています。しかし、ウィーナーとフォンノイマンの著作でも、さまざまな種類のウイルスが使用されています。自己再生型を含む有限状態マシンの研究が行われました。いずれにせよ、現時点では、これらの問題は純粋に歴史的な関心事であり、現実とはほとんど関係がありません。では、1997 年の夏の今日、コンピューターウイルスとは何でしょうか?

まず、コンピュータウイルスはプログラムです。このかなり単純な発言でも、コンピュータウイルスの並外れた能力に関する数多くの伝説を払拭することができます。コンピューターウイルスはモニター上の画像を反転させることはできますが、モニター自体を反転させることはできません。オペレーターを殺害する「25 フレーム」ウイルスについても、適切に処理する必要があると話します。確かに、これらのプログラムは異なっており、常に良いものであるとは限りません...

コンピュータウイルスは、自己複製能力を持つプログラムです。この特性は、すべての種類のコンピュータウイルスに固有のものですが、それだけではありません。さらに、それ自体を複製する能力は非常に広範囲に理解されなければなりません。同じウイルスの異なるコピーは完全に一致する必要がないだけでなく、共通のバイトが 1 つも存在しない場合もあります (いわゆる複雑な多型ウイルスについて話しています)。生殖メカニズム自体も非常に多様です。少し前に、DialogueScience の専門家は、DOS および Windows の実行可能ファイル、および DOC ファイル (Word for Windows 文書) に感染するマルチプラットフォームウイルス (Anarchy.6093) を受け取りました。

同時に、DOC ファイルはウイルスコードを配布する手段にすぎません。

コンピュータウイルスの主な種類

異なるウイルス対策ソフトウェア開発者の分類において、同じウイルスが認識できないほど異なる名前を持つという状況を避けるために、コンピューターウイルスを分類し、それらに名前を付けるための完全に正式なシステムがあります。とはいえ、ウイルスの名前や特徴はまだ完全に統一されているとは言えません。これは主に、「ゲームのルール」の一部が策定された時点で、独自の表記法で動作するウイルス対策ツールがすでに存在していたという事実によって決まります。一般的な統合には多大な労力と、プログラムやドキュメントの変更が必要になります。多くの場合、これが行われました。平均的なユーザーは、攻撃対象、感染方法、発現の特徴など、ウイルスの機能のすべての複雑さを掘り下げる必要はないという事実から話を進めます。ただし、ウイルスの種類を知っておくことをお勧めします。彼らの仕事の全体的なスキームを理解することです。

さまざまなウイルスの中で、次の主要なグループを区別できます。

- ウイルスを起動します。

これは、フロッピーディスクやハードドライブのブートセクタに感染するウイルスに付けられた名前です。ブートウイルスには、フロッピーディスクのブートセクタにのみ感染するもの、ハードドライブのブートセクタにも感染するもの、ハードドライブのメインブートセクタに感染するものがあります。ウイルスは多くの場合「雑食性」であり、両方に感染します。

- ファイルウイルス。

最も単純なケースでは、このようなウイルスは実行可能ファイルに感染します。ブートウイルスに関してすべてが多かれ少なかれ明らかであるとすれば、ファイルウイルスははるかに定義が曖昧な概念です。たとえば、ファイルウイルス (サテライトウイルスや Dir ファミリのウイルス) はファイルをまったく変更しない可能性があると言うだけで十分です。また、ファイルウイルスには、いわゆるマクロウイルスも含まれる。それらについては後ほど詳しく説明します。

- ブート - ファイルウイルス。

このようなウイルスは、ブートセクターコードとファイルコードの両方に感染する能力を持っています。このタイプのウイルスはそれほど多くはありませんが、その中には非常に邪悪なウイルスも含まれています (たとえば、有名な OneHalf ウイルス)。

コンピュータウイルスの基本的な性質

一般に、ユーザーはコンピュータウイルスの外部症状に直面し、それらを「文字を流すウイルス」と「ハードドライブをフォーマットするウイルス」に分類します。専門家はウイルスのまったく異なる性質に興味を持っています（ただし、外部症状も研究されています）。コンピューターウイルスの定性的に重要な特性をいくつか考えてみましょう。

ステルス - ウイルス。これが偽装ウイルスと呼ばれるものです。偽装には非常に多くの種類がありますが、それらはすべて BIOS やオペレーティングシステムの割り込みを傍受するウイルスに基づいています。

ウイルスは割り込みを傍受することで、感染したオブジェクトへのアクセスを制御します。たとえば、感染したオブジェクトを表示すると、その場所に健康なオブジェクトを「滑り込ませる」ことができます。さらに、ウイルスは DOS 情報を歪めます (たとえば、ウイルスは誤った長さのファイルを返し、ウイルスの存在を隠します)。ほとんどのウイルス対策プログラムにとって、ステルス技術を使用するウイルスは深刻な問題です。例外は、ADinf ディスクオーディターです。これはロシア独自のプログラムであり、その注目すべき特性の 1 つは、偽装ウイルスを検出する機能です。

多型ウイルス。おそらく、ほとんどの質問は、まず第一に、「多型ウイルス」という用語自体に関連しています。コンピューターウイルスの著名な専門家である Sc 博士が、ポリモーフィックウイルスの種類の 1 つを考慮すると、問題の本質がより明確になるように思えます。 N. N. ベズルコフは、自己変更型の解読子を持つウイルスを呼び出します。しかし、最初から始めましょう。

「素晴らしい瞬間を覚えています...」学びましたか？もちろん彼らはそれを知った。この一文はあまりにも特徴的であり、私たちは学生時代から間違いなく偉大な詩人の有名な詩を認識しています。ウイルス学者の観点から質問を見ると、与えられた行はいわゆる署名、つまり詩を特徴づける特徴的で理想的にはユニークな記号のシーケンスです。一冊の詩を開いてこの一文を見れば、私たちは自分がどの詩を見ているのかを正確に知ることができます。ウイルス分析には、ウイルス内のシグネチャを分離し、ウイルス攻撃の潜在的なターゲット内でシグネチャを検索することも含まれます。したがって、ほんの数年前までは、ウイルスを捕捉し、そのコードを調査し (専門家の場合、これは通常数分の問題でした)、署名を抽出するだけで十分でした。しかし、ウイルス技術は立ち止まっていませんでした。

コードを暗号化するウイルスはかなり前から知られています。このような暗号化の目的も非常に明白です。感染した元のファイルが存在するため、ウイルスを「純粋な形」で分離できるにもかかわらず、従来の逆アセンブリを使用してそのコードを分析することはできません。このコードは暗号化されており、無意味なコマンドのセットです。復号化は、実行中にウイルス自体によって実行されます。この場合、さまざまなオプションが考えられます。ウイルスは自分自身を一度に復号化することも、そのような復号化を「オンザフライ」で実行することもでき、すでに使用されたセクションを再暗号化することもできます（場合によっては、それらの暗号化と同じ方法ではないこともあります）。以前は暗号化されていました) - 一般に、非常に多くの異なるオプションがあります。これはすべて、ウイルスコードの分析を複雑にするためだけに行われます (ちなみに、この目的で行われているのはこれだけではありません。巧妙に暗号化されたウイルスがトレースを効果的に阻止するため、ウイルス対策ソフトウェアの開発者は強制的に攻撃される可能性があります)一生懸命働くためのツール）。

しかし、1992 年まで、ウイルス作成者は実際にその試みを無駄にしていました。ウイルス対策セキュリティの分野における専門家の資格は、専門家自身の資格に決して劣るものではないことは明らかであり、したがって、専門家による数か月にわたる努力はすべて、極端な場合には専門家による追加の作業時間に相当するものでした。結局のところ、すべての暗号化されたウイルスには必ず何らかの暗号化されていないフラグメント、つまり復号化ツール (またはその一部) が含まれています。これを使用すると、このウイルスのシグネチャを構築し、通常の方法でウイルスと戦うことが可能になりました。ウイルスコードの暗号化だけでなく、復号化プログラムの変更も可能にするアルゴリズムが発明されたことで、状況は変わりました。このような問題を定式化すること自体には何の疑問も生じません。さまざまな復号器を構築できることは明らかです。重要なのは、このプロセスが自動化されていることです。ウイルスの新しいコピーには新しい復号化プログラムが含まれており、ウイルスを生成したコピーの復号化プログラムとはあらゆるビットが異なる可能性があります。単純な組み合わせを考慮しても、解読器の数が無限に存在するはずがないことは明らかであり、解読器の長さは通常制限されています。しかし、それらが 2 兆または 3 兆しかない場合、考えられるものをすべて列挙する作業に価値がないことは明らかです... 説明されたテクノロジーを使用するウイルスは、ポリモーフィックと呼ばれます。

誰かがビールかマクロウイルスの勝利に賭ける

ウイルス対策プログラムの作成者間でかなりの量のビールを賭けた賭けが行われたという、もっともらしい噂があります。賭けのテーマは「今年の7月1日までにマクロウイルスの数が1000に達するかどうか」というものだった。冗談はさておき、マクロウイルスはまさに本当の災害となっており、その数は壊滅的に増加し続けています。これはどのようなウイルスで、なぜバケツのように雨が降ってきたのでしょうか？

正式には、マクロウイルスは、一部のドキュメント管理システムのファイルに感染するファイルウイルスです。著者の知る限り、現在、Word for Windows (大量!)、MS Word、Excel for Windows、および AmiPro 用のウイルスが存在します。これらのシステムにはすべてマクロ言語 (Word Basic、Visual Basic) が組み込まれています。これらの言語は、ウイルスが必要とするほぼすべての操作を実行するのに十分な機能を備えています。

暗号化されたポリモーフィックなマクロウイルスさえ存在すると言えば十分でしょう。さらに、ウイルスがますます一般的になってきており、文書と実行可能ファイルの両方 (通常の EXE ファイル、場合によっては NewEXE、場合によっては両方) に影響を及ぼします。このようなウイルスの感染力は非常に高いです。

現在、マクロウイルスの 90% 以上は Word for Windows 用のウイルスです。これは間違いなく、このワードプロセッサのファイルがテキスト文書の事実上の標準になっているという事実によるものです。非常に最初のマクロウイルス (Word.Concept) も DOC ファイルに感染しました。 Microsoft 自体の 2 つの「パンチ」について確実に知られているのは興味深いことです。マクロウイルスに 2 回感染した文書が彼女自身のサーバーに保存されてしまいました。

2 年前に WinWord 用の最初のマクロウイルスが登場したとき、特別なウイルス対策プログラムがリリースされました。このプログラムはウイルス自体と同じ Word Basic で書かれており、実際に特別な方法で配置された文書を表していました。このようにして、ドキュメントマクロに簡単にアクセスできます。これは最も単純な解決策でしたが、時間が経つとその無駄が分かりました。

しかし、これらの最初のウイルス対策ソフトウェアは今でも使用されており、これは間違いなく間違いです。現在、すべての「まともな」スキャナは DOC ファイルの構造を独立して解析できます。 Doctor Web は、これを行う方法を最初に「学習」した企業の 1 つであり、最近そのヒューリスティックマクロウイルスアナライザーが大幅に強化され、ウイルス対策ソフトがまだ認識していない新しいマクロウイルスを検出できるようになりました。視力。"

守りのゼロリングの中で

i386 プロセッサが登場してからすでに何年も経ちましたが (その前に i286 があったことさえ忘れましょう)、ウイルスは今までその最も強力な保護モードを征服することができませんでした。 PMBS ブートウイルス (1994 年) は最初に保護モードをマスターしようとしましたが、どのプログラムやドライバー (EMM386、Windows、OS/2 など) ともうまく調和できませんでした。

Evolution.2761 ウイルスと Evolution.2770 ウイルス (これも 1994 年以降) は、強力な保護モードの一部のみを使用し、プロセッサが実際の動作モードにある場合にのみ使用しました。

しかし、すべては起こったのです！ロシアでは、PM.Wanderer ファイルウイルスが保護モードを使用した「野生型」で発見されました。このウイルスは、ダイアログサイエンスの第一人者ウイルス学者である I.A. ダニロフによって研究されました。彼が見つけたことは次のとおりです。このウイルスは、同様に保護モードを使用する他のプログラムやドライバーと多かれ少なかれ正しく対話します。 PM.Wanderer は、i386 (Pentium プロセッサ) の保護 (仮想) モードを使用する常駐多態性ウイルスです。常駐コピーをメモリにインストールし、プロセッサの保護モード (保護モード) に切り替えるには、EMS 拡張メモリドライバ (EMM386) の文書化された VCPI (仮想制御プログラムインターフェイス) インターフェイスが使用されます。

従来の方法では、プロセッサの保護モードのゼロリングに存在するこのウイルスの常駐コピーを検出することは不可能です。メモリ内のウイルスを検出するには、最高の権限を持つ保護モードに切り替える必要があります。ただし、通常の方法を使用して、システム内のウイルスの兆候を検出することはできます。このウイルスはステルスではなく、メモリ内に常駐コピーが存在する場合でも、ファイル内ではっきりと確認できます。ウイルスを検出した後は、このような場合にはいつものように、システムのフロッピーディスクから再起動し、明らかに無菌状態で治療を実行することをお勧めします。

インターネット上のウイルス。おとぎ話と現実

すでに述べたように、一般にコンピューターウイルスに関連するさまざまな伝説が数多くあります。ただし、これらの伝説は、ウイルス作成者による創造的な処理の後、重大な危険に変わる場合があります。文書がウイルスに感染するという話がこれを証明しています。それでは、インターネットは今日、本当に危険をもたらしているのでしょうか?

はいぜったいに。何百万もの人々がインターネットを徘徊し、あちこちでさまざまなプログラムを「傍受」しています。その後、これらのプログラムはすぐに「動作テスト」されますが、その後は運次第です。ネットワーク上にはギガバイト単位の情報があり、（誤ってまたは意図的に植えられた）ウイルスの数は不明です。そして同時に、すべての「外部」フロッピーディスクを注意深くチェックしながら、ネットワークから受信したプログラムにウイルスが隠されている可能性があるということを「考えもしない」人たちの不注意には驚くほかありません。またはネットワークから受信したドキュメント内。

同時に、さまざまな電子会議では、ウイルスが電子メールメッセージに感染したり、WWW ページを閲覧したときにコンピュータに「ジャンプ」したりするという「恐ろしい話」が定期的に登場します。今日、私たちはそのようなウイルスは存在しないと自信を持って言えます。 Microsoft Mail プログラムを起動し、「緊急!」とマークされたテキストメッセージを送信するウイルス (マクロウイルス) が存在します。アドレス帳からいくつかのランダムなアドレスに送信します。これはまさにウイルスの外部発現であり、ウイルスの複製手段ではないことに注意してください。

もちろん、ウイルスがテキストメッセージの代わりに自分自身のコピーを送信することを妨げるものはありませんが、この特定のウイルスは送信しません。たとえ感染したとしても、メッセージの受信者はウイルスのコピーを実行する必要があります。しかし、文書内でウイルスが拡散する可能性や一部のユーザーの不注意を考慮すると、これはそれほど信じられないことのように思えます。添付された DOC ファイルの内容を確認する前に、必ずチェックしますか?

別のトピックとしては、Java で書かれたとされるウイルスがあります。現在までのところ、Java には単一のウイルスは存在せず、現在のバージョンの言語では基本的にウイルスの増殖が許可されていないと考えられています。もう 1 つは、破壊的と言えるアプレットの例は数多くありますが、その破壊力は小さく、ウイルスではありません。どうやら、マクロウイルスの出現により、システム開発者がセキュリティ問題にある程度注意を払うようになったので、Java を使用する際には多かれ少なかれ冷静になれるようです。 ActivX オブジェクトについても同じことは言えませんが、ほとんどすべての表示プログラムには、これらのオブジェクトの操作を無効にする機能があります。

ウイルス対策製品

ウイルス対策製品はたくさんあります。それぞれの特定のケース (これについては、すでに言及した E. Sudov の記事で説明しました) において、組織の情報セキュリティの一般的な概念と特定のユーザーのニーズに基づいてウイルス対策キットを選択する必要があります。ウイルス対策製品の主な種類を以下に簡単に説明します。

検出器（スキャナー）。検出器の目的はウイルスを検出することです。別のウイルス対策プログラムかシステムプログラマが対処する必要があります。

数年前、検出器はポリファージに取って代わられそうになりましたが、発展するにつれて検出器がコンピュータ市場に戻ってきているのは興味深いことです。ライセンス供与されたソフトウェアを使用している場合は、ファイルの駆除に時間を浪費するよりも、感染したプログラムを配布キットから復元する方が簡単になる可能性があります (ここに棚の上にあり、手を差し出すだけで終わりです)。私たちには異なる伝統があり、純粋な検出器 (スキャナー) はすぐにはファージと競合できなくなります。

ファージ (ポリファージ) (スキャナー/クリーナー、スキャナー/リムーバー)。ファージはウイルスを破壊できるプログラムです (ポリファージは多くのウイルスを破壊できます)。たとえば、Aidstest は現在、約 2,000 種類のウイルスを検出して無力化しています。従来のファージの動作の基本原理は上で説明されています。それは非常に単純であり、秘密ではありません。要点を簡単に繰り返しましょう。各ウイルスについて、そのコード、ファイルの感染方法などを分析することにより、そのウイルスにのみ特徴的な特定のバイトシーケンスが分離されます。このシーケンスは、このウイルスのシグネチャと呼ばれます。

最も単純なケースでは、ウイルスの検索は、ウイルスのシグネチャを検索することになります。現代のファージは、ウイルスを検索する他の方法を使用します。プログラム本体 (またはブートセクター、ただしブートプログラムも含まれている) でウイルスを検出すると、ファージはウイルスを無力化します。これを行うために、ウイルス対策製品の開発者は、それぞれの特定のウイルスの働き、つまり何を破壊するのか、どのように破壊するのか、何を破壊するのかをどこに隠すのか (もちろん、隠れている場合) を注意深く研究します。ほとんどの場合、ファージはウイルスを安全に除去し、損傷したプログラムの機能を復元できます。しかし、これが常に可能であるわけではないことをよく理解する必要があります（理由は後述します）。

監査役。ウイルスは万能ではありません。この忌まわしい作品の作者の創意工夫は、原理的に可能なことの一定の限界に限定されている、ということはすでに述べた。何が起こり得るかはわかっており、コンピュータに対するウイルス攻撃の考えられるすべての方向を制御できれば、ほぼ完全に安全になります。感染拡大の可能性を監視する機能を含むプログラムがあります。ロシアで購入できる監査プログラムのうち、すでに前述した ADinf プログラムに注意を払う必要があります。

監視員。ウォッチマンは、コンピュータのメモリに永続的に常駐し、疑わしいと思われる操作を監視する小さな常駐プログラムです。ウォッチマンの例としては、MS - DOS の一部のバージョンに含まれていた VSAFE があります。私たちの意見では、ソフトウェアウォッチマンは平均的なユーザーにとってはまったく役に立ちません。ウイルスと通常のプログラムはどちらも同じ動作を実行します。

「ウイルス性」のみを伴う操作のクラスを選び出すことさえ不可能です。その結果、監視員は何も制御せず、何が起こっているかを受動的に観察するか、不審な操作が行われるたびに「鳴る」ことを余儀なくされます。同時に、あまりにもうんざりしてしまい、仕事の邪魔にならないように単純に電源をオフにしてしまうこともあります。ウォッチマンを使用する場合は、最小限の制御レベル (ブートセクターの変更の監視など) で使用します。ちなみに、最新の BIOS には、それほど単純ではありませんが、このようなウォッチドッグ機能が備わっているものもあります。この BIOS 機能は一部のオペレーティングシステムと競合する可能性があり、場合によってはまったく機能しない場合があります。

少し前までは、ファイルやブートセクターの処理に使用される特別なワクチンという、別のクラスのウイルス対策エージェントが人気がありました。ワクチンには、受動的なもの (そのようなワクチンの例を以下に説明します) と能動的なものがあります。

アクティブなワクチンは、ウイルスのようにファイルに「感染」し、ファイルをあらゆる変更から保護し、場合によっては感染の事実を検出するだけでなく、ファイルを修復することもできます。パッシブワクチンは、感染の単純な兆候 (「奇妙な」作成日時、特定の文字列など) を使用する特定のウイルスによるファイルの感染を防ぐために (現在では非常にまれですが) 使用されていました。ワクチン接種は現在広く使用されていません。すべての人に無分別にワクチン接種を行うと、存在しないウイルス性疾患の蔓延を引き起こす可能性があります。このようにして、数年間、恐ろしいTIMEウイルスの恐ろしい流行が旧ソ連の領土で猛威を振るいました。このウイルスの犠牲者は、ANTIの外科医であるKOTによって「手術台の上で解体」された、何百もの全く健全なプログラムでした。この物語は簡単に言うとこんな感じです。プログラムに「ハングアップ」する何らかの「ブラックマーク」によってファイルの再感染を防ぐウイルスがかなりの数あります。たとえば、ファイル作成時間の秒フィールドを 62 に設定するウイルスがあります。かなり昔、すべての感染ファイルの末尾に 5 バイトを追加するウイルス「MsDos」が出現しました。通常のファイルにはこのような文字列を末尾に含むものは存在しないため、ウイルスはこの記号をファイル感染の指標として利用しました。ファイルにこのウイルスに対するワクチン接種を行うことは、まったく難しいことではありません。上記の文字列を末尾に追加するだけでウイルスの心配はありません。

もう一つ恐ろしいのは、ウイルスそのものと同じくらい簡単にだまされるウイルス対策プログラム（たとえば、ANTI - KOT）があります（より正確には、存在していました）。ファイルの最後に残念な行があるのを見て、彼らはすぐにそれを処理し、手を洗います。そのような障害者が普通に働く可能性は事実上ありません。同じウイルス (および同じウイルス対策) に関連する別の話があります。もう 1 つの「強力な」ウイルス対策ソフト ANTITIME は、まだ使われなくなっていません。 ANTI - KOT とは異なり、プログラムを機能不全にすることはありませんが、プログラムを治すこともできません。ファイルの最後に同じ行があるのを見て、彼はそれを切り取ります（同時にファイル内に「ひどいTIME」が見つかったことを知らせます。彼は明らかにそれをウイルスとは呼んでいないので、この発言自体は非常に正しいです））。このプログラムは、明らかに反ワクチンとして作成されており、通常のウイルス対策プログラムでは認識されない「恐ろしい時間」も認識するため、最高のウイルス対策の競争に定期的に参加しようとします。

ハードウェア保護。かなり信頼性の高い (ある意味、絶対的な) 保護を提供する特別な追加デバイスがあります。上で説明したすべてのウイルス対策製品とは異なり、Sheriff はウイルス攻撃を防ぐことができます。残念なことに、著者は、自分のコンピュータに保安委員会をインストールしたユーザーが完全に無敵であると確信しすぎて、完全に警戒心を失ったケースを知っています。そのため、彼らは保安官によって保護されていないハードドライブの領域には注意を払いませんでした (そして、そのような領域はほとんど常に存在します。ハードドライブ全体を保護する場合、どのように機能しますか?)。ウイルス対策ツールは包括的に使用する必要があり、信頼できる監査機関 (ADinf)、Doctor Web、Aidstest ファージ、および必要に応じて保安委員会を使用した包括的な保護のみが最大限のセキュリティを提供できることを覚えておく必要があります。

ビリニュス、5月13日 - スプートニク、ゲオルギー・ヴォロノフ。ランサムウェアウイルスが世界中のコンピューターに感染しました。

事の発端はスペインだが、英国の医療機関がサイバー攻撃を受け、病院や診療所のコンピューターがハッキングされ、人々の命が危険にさらされたことで騒ぎが起きた。

このウイルスは、いわゆる暗号ウイルスまたは暗号化プログラムの 1 つで、あらゆるファイルを暗号化し、有料で逆復号化が可能です。ここでは、WannaCry (Wanna Decryptor) または WannaCrypt0r 2.0 としても知られる WCry ランサムウェアウイルスについて話します。彼はコンピュータ上の情報を暗号化し、復号化のためにビットコインで 300 ドルから 600 ドルの身代金を要求しました。

影響力のあるサイバーセキュリティ専門家グループ MalwareHunterTeam によると、ウイルス攻撃の結果、ロシアと台湾のサーバーが最も大きな被害を受けました。英国、スペイン、イタリア、ドイツ、ポルトガル、トルコ、ウクライナ、カザフスタン、インドネシア、ベトナム、日本、フィリピンのコンピュータシステムも大きな被害を受けた。

キャプチャ履歴

「新型ウイルスは恐ろしい速度で拡散している」と MalwareHunterTeam の研究者は報告しています。

アバストアンチウイルスは金曜日、WannaCry ウイルスを使用した 5 万 7,000 件のハッカー攻撃を記録したと同社のブログが報告しています。このウイルスは 2 月に同社の専門家によって注目されましたが、金曜日にハッカープログラムの新バージョンの大量配布が始まりました。

一方、カスペルスキー研究所は金曜日、WannaCry ウイルスを使用したハッカーによる攻撃が世界 74 か国で 4 万 5,000 件あったことを記録し、最も多くの感染試みが行われたのはロシアでした。ズベルバンク、メガフォン、内務省、非常事態省などの大手企業や連邦省庁のコンピュータが攻撃された。

誰が有罪ですか？

米国はウイルス攻撃と戦うために国際支援を提供している。米国土安全保障省 (DHS) は、WannaCry ランサムウェアとの戦いにおいて技術サポートと支援を提供する用意があると発表しました。声明では、このウイルスの脆弱性に対処するパッチが3月にリリースされたと述べている。同省によると、パッチをインストールすることでオペレーティングシステムをこの脅威から守ることができるという。

「私たちはこのイベントに関連する情報を積極的に共有しており、必要に応じて米国内および海外のパートナーに技術サポートと支援を提供する準備ができています」と声明で述べた。

一方、元米国諜報員エドワード・スノーデン氏は、米国家安全保障局（NSA）が独自に開発したコンピュータウイルスが金曜日の世界的なハッカー攻撃に使用された可能性があるとツイッターに投稿した。

スノーデン氏は「米国のソフトウェアを攻撃するツールを作成するというNSAの決定は現在、病院にいる患者の命を脅かしている」と述べた。「警告にもかかわらず、NSAはそのようなツールを開発しました。今日、私たちはその代償を目の当たりにしています。」

自身を守る

専門家は、更新されていないコンピューターには脆弱性があると指摘しています。実際、Windows を最新の状態にしておけば問題はありません。感染症の場合、非常に大きな割合が人的要因です。

このような暗号ウイルスは主に電子メッセージの形で配布されます。これらは、コンピュータがハッキングされた知人から受け取ったり、見知らぬ人から受け取ったりすることがあります。手紙には添付ファイルが含まれています。

感染には2つの経路があります。あるケースでは、それは Excel ファイル、基本的には zip ファイルであり、ユーザーが電子メールの添付ファイルを開くと、ファイルを暗号化するプロセスがすぐに開始されます。 2 番目のオプションはマクロです。 Microsoft Office プログラムには、Word や Excel で動作するいわゆるマクロがあります。これらはいわば追加プログラムです。ここで、「Word」ファイルを起動すると、「ファイルにマクロが含まれていますか? アクティブ化する必要がありますか?」と尋ねられます。 [OK] をクリックすると、マクロがウイルスの読み込みを開始します。」

見知らぬ人から受け取った添付ファイルや、友人から受け取った異常なファイルを開かない限り、暗号化ウイルスに感染する可能性はほとんどありません。

こんにちは、友達！ご存知のとおり、電子フレンドのセキュリティと保護は、膨大な数のユーザーにとって差し迫った問題です。狡猾なワームや陰湿なトロイの木馬が常にインターネット上を徘徊し、PC の抜け穴をすり抜けてハードドライブに大損害を与えようとしています。今日は、現代の最も有名なコンピューターウイルスを思い出していただきたいと思います。

8 つの新時代のマルウェア

まず、これらすべての悪意のあるユーティリティの短いリストを作成してから、最新かつ最もトリッキーなユーティリティを含め、それぞれについて詳しく説明します。そこで、これらの悪党は次のとおりです。

アイラブユー – 2000;
ニムダ - 2001;
SQL スラマー/サファイア – 2003;
サッサー - 2004;
ストームトロイの木馬 - 2007;
Conficker - 2008;
ワナクライ – 2017;
ペティア – 2017年。

愛してます

このウイルスは、世界中で大規模なコンピュータ感染の先駆けと考えられています。 5月5日の夜から、悪意のあるスクリプトが添付されたメールの形で広がり始めた。

この手紙を開いたとき、彼はすぐに Microsoft Outlook コンタクトシートを使用して自分自身に送信を開始しました (当時、このプログラムは電子メール送信の完成度の高さだと考えられていました)。その後数日間で、世界中の約 300 万台の PC に感染し、ファイルが上書きされました。その破壊活動による被害額は約10150億ドルに達した。このため、ILOVEYOU ウイルスはギネスブックに登録され、最も破壊的なウイルスの「名誉」称号を獲得しました。

ニムダ

このマルウェアは数分のうちに拡散しました。そのスクリプトは、一般ユーザーのコンピュータだけでなく、当時非常に強力な保護機能を備えていた Windows NT や 2000 を実行しているサーバーにも影響を与えるような方法で書かれていました。電子メールの配布を通じてハードドライブに侵入しました。感染のターゲットとなったのは、必要な保護システムを備えていないインターネットポータルでした。

このワームはアルカイダ (ロシア連邦で禁止されているテロ組織) の作者であると考えられています。しかし、証拠は得られなかった。大まかな見積もりによると、ウイルスによる被害は5,000万ドル以上に達し、銀行、ホテル、連邦裁判所などのネットワークが崩壊した。

SQL スラマー/サファイア

このワームの注目すべき特徴は、そのサイズの小ささです。その重さはわずか 376 バイトでしたが、これらのバイトは 10 分間で世界中の約 75,000 台のコンピュータに感染しました。彼の攻撃の結果、緊急ネットワークは無効になり、多くのホストがクラッシュし、米国オハイオ州の原子力発電所ではインターネットアクセスが失われました。

サッサー

このワームの流行は 2004 年 4 月末に始まりました。数日以内に、このワームは世界中の約 250,000 台のコンピュータに感染しました。 1 台のデバイスに感染した後、ワームはインターネットにアクセスし、そこに侵入できる脆弱性を持つコンピュータを探しました。このウイルスは特別な害や悪影響を引き起こすわけではなく、単にコンピュータを無限の再起動サイクルに陥らせるだけでした。

興味深いことに、その著者は強力なデスクトップを備えたひげを生やしたハッカーではなく、家庭用 PC を持ったドイツ出身の普通の 17 歳のティーンエイジャーでした。彼はすぐに身元が特定され、その後保護観察処分が言い渡された。彼の作品が航空会社、病院、郵便局、英国沿岸警備隊、その他多くの社会機関の業務を妨害し、180億ドルの損害を引き起こしたため、その理由を説明するのは難しい。

ストームトロイの木馬

世界中のコンピュータの総数のうち 8% が感染しています。これは、Storm トロイの木馬ウイルスが地球上に侵入した結果です。その動作原理は非常に一般的で、PC に感染し、いわゆるボットネットに接続します。その中では、所有者の知らないうちに膨大な数のコンピュータが 1 つのネットワークに接続されており、強力なサーバーに対する大規模な攻撃という唯一の目的を果たしていました。彼は10分ごとにコードを独自に変更していたため、彼を無力化するのは非常に困難でした。

コンフィッカー

Conficker ワームはオペレーティングシステムの脆弱性を悪用し、セキュリティを含む多くのサービスを無効にしました。これは、USB ドライブを介して配布される悪意のあるプログラムの「始祖」と考えられています。その中で、彼は autorun.inf ファイルを作成しました。これは私たちの多くが見たことがあるはずです。

ちなみに、記憶メディア上のファイルを隠し、独自のショートカットに置き換えるタイプのウイルスが今でも見つかります。このようなファイルの可視性を復元する方法については、この記事ですでに説明しました。

その目的は前のものと同じで、感染した PC を共通のボットネットに統合します。このようにして、彼は膨大な数のマシンを「征服」し、一般企業だけでなく、ドイツ、フランス、イギリスの国防省のネットワークも破壊することができました。最も控えめな試算によれば、被害額は 90 億ドルに達します。

泣きたい

今日、Wannacry について聞いたことがない人は、インターネットをサーフィンしたりテレビを見たりしない人だけです。これは、トロイの木馬 Winlock ファミリのウイルスに属します。ランサムウェアとしても知られる、この最先端かつ狡猾で信じられないほど賢いネットワークワームは、次のように動作します。ハードドライブに保存されているファイルの大部分を暗号化し、その後コンピュータをロックして身代金要求ウィンドウを表示します。現代の暗号通貨であるビットコインの形で資金を送金することが提案されました。このワームは 150 か国の約 50 万人に感染する可能性があり、インド、ウクライナ、ロシアが最も大きな影響を受けました。

ハッカーは被害者から 42,000 ドルを入手することができたことが知られています。攻撃は偶然に止められた。ファイルの暗号化を開始する前に、マルウェアは存在しないドメインにアクセスし、そのドメインが存在しない場合にはプロセスが開始されることが判明しました。それは小さな問題でした。ドメインが登録され、Wannacry の行列が止まりました。こうして世界はコンピューター黙示録から救われたのです。現時点での被害額は10億ドルと推定されている。このウイルスにより、多くの銀行、運送会社、配車サービスの業務が中断されています。奇跡的な救出がなかったら、何百万もの人々が破産するか、電車や飛行機の事故で亡くなっていたかもしれません。専門家によると、これは重大な事件でした。今では、現代の異常に複雑で慎重に設計された詐欺計画がいかに危険であるかが誰の目にも明らかになりました。

彼らは我が国を含め、情報犯罪と非常に真剣に闘い始めました。しかし、わずか 1 か月後の 2017 年 6 月に、Petya ウイルスが出現しました。

ペチャ

Petya ランサムウェアウイルスは、2017 年 6 月のトレンドです。 Wannacry に非常に似ていますが、大きな違いがあります。個々のファイルを暗号化するのではなく、ハードドライブ全体をロックするという点です。すべてのユーザーが Microsoft の公式アップデートに従っているわけではないため、その作成者はライセンスのないソフトウェアのファンに依存していました。その中の 1 つでは、Petya が PC に侵入する穴を塞ぐパッチがリリースされました。

電子メールの添付ファイルを通じて配布されます。ユーザーがこのファイルを実行すると、コンピュータが再起動し、エラーのシミュレートされたディスクチェックが画面に表示されます。この後、モニター全体に赤いドクロが目の前に現れます。ハードドライブを復号化するには、一定金額をビットコインで転送する必要があります。